Plus d'un milliard d'appareils, y compris les smartphones et tablettes Android , les iPhones , les iPad et même les haut - parleurs intelligents d'Amazon, les points d'accès Raspberry et ASUS et Huawei, sont affectés par une vulnérabilité de la puce Wi-Fi dont ils sont équipés. Et les estimations sont «prudentes» : les dispositifs réellement impliqués pourraient être bien plus nombreux. Apparemment, un pirate informatique conscient de cette vulnérabilité pourrait déchiffrer les données envoyées à ces appareils même s'il s'agissait de données correctement chiffrées. Non seulement cela: le problème concerne à la fois le protocole de sécurité WPA2-Personal(c'est-à-dire pour les réseaux domestiques ou les petites entreprises) que WPA2-Enterprise .

La vulnérabilité remonte à une série de puces Wi-Fi produites par Cypress Semiconductor et Broadcom . Entre autres, la division Wi-Fi de Broadcom a été achetée par Cypress en 2016. La vulnérabilité a été découverte par ESET , la société slovaque qui s'occupe de sécurité numérique, et a été surnommée KrOOk . Le rapport n'est pas très clair sur le modèle ou les modèles de puces affectés par le problème. La puce CYW4356 est explicitement mentionnée. Plus loin dans le rapport, nous lisons également qu'il s'agit de puces WLAN FullMAC qui, comme le rappelle ESET, sont répandues sur le marché. Celles produites par Cypress sont principalement utilisées dans le domaine de l'IoT. Apparemment, les fabricants concernés auraient déjà préparé des correctifs pour résoudre le problème, mais il n'est pas clair comment ils seront publiés. Il n'y a pas de véritable liste complète des appareils sur lesquels les puces affectées par la vulnérabilité KrOOk sont utilisées, mais ESET a néanmoins réalisé une série de tests en laboratoire impliquant les produits listés ci-dessous, tous affectés par la vulnérabilité dont nous vous parlons:

Amazon Echo 2e génération
Amazon Kindle 8e génération
Apple iPad mini 2
Apple iPhone 6
Apple iPhone 6S
Apple iPhone 8
Apple iPhone XR
Apple MacBook
Apple iPad Air
Google Nexus 5
Google Nexus 6
Google Nexus 6P
Raspberry Pi 3
Samsung Galaxy S4
Samsung Galaxy S8
Xiaomi Redmi 3S

Comme déjà spécifié, ce sont des appareils dont ESET disposait réellement. La liste est donc partielle . En ce qui concerne les points d' accès , la liste (toujours partielle) établie par ESET est la suivante:

Asus RT-N12
Huawei B612S-25d
Huawei EchoLife HG8245H
Huawei E5577Cs-321

Cependant, ESET spécifie qu'un correctif ou une version corrective du système d'exploitation actuel sera suffisant pour fermer la vulnérabilité. Les routeurs et les appareils IoT nécessiteront évidemment des mises à jour ad hoc du firmware.