Après Apple la semaine dernière avec iOS 11.1 (ainsi que macOS 10.13.1), c'est au tour de Google de proposer un patch pour les failles KRACK. Une correction qui intervient dans la mise à jour de sécurité d'Android de novembre.

KRACK - Key Reinstallation AttaCK - est un ensemble de vulnérabilités qui a été découvert (et divulgué le mois dernier) dans le protocole de sécurité Wi-Fi WPA2. Un attaquant à portée du réseau Wi-Fi d'une victime peut lire le trafic chiffré (pas d'exploitation à distance).

Le problème réside dans la procédure d'initialisation 4-Way Handshake. Pendant l'authentification entre le point d'accès et le client, ce dernier peut être amené à réutiliser des paramètres utilisés dans le chiffrement des données échangées. Un attaquant sur le réseau peut rejouer des messages Handshake.

Dans le bulletin de sécurité d'Android, les failles KRACK ne sont pas cataloguées critiques, contrairement à un peu moins d'une dizaine d'autres vulnérabilités affectant le Media Framework et des composants Qualcomm.

Les corrections spécifiquement apportées aux appareils Pixel et Nexus font l'objet d'une publication à part (aucune faille critique).

Comme à chaque fois, une préoccupation se porte sur le fait que tous les appareils Android ne profiteront pas des correctifs. Loin s'en faut.