La vulnérabilité critique touchant le protocole WPA2 de sécurisation des échanges WiFi, baptisée KRACK, ne touche a priori pas les box des opérateurs et fournisseurs français Orange, Free, Bouygues Télécom et SFR.
« Nos équipes étaient pleinement mobilisées pour investiguer sur la potentielle vulnérabilité décrite sous l’appellation « KRACK ». Orange confirme qu’aucune de ses box n’est concernée par cette dernière ». C’est la réponse que nous a adressé Orange après que nous l’ayons sollicité suite à la vulnérabilité KRACK dévoilée lundi.
Même son de cloche chez Free, qui était le premier à avoir réagi sur son forum de développeurs. « Je vous confirme que nos APs ne sont pas affectés, la Freebox Crystal et la Freebox Révolution/Mini4k n'activent pas le mode FT (802.11r). Quant à nos clients (Crystal, Mini4k), elles utilisent un VPN par-dessus le wifi, donc pas grand-chose à décrypter... », écrit Maxime Bizon de Free.
Enfin, l’AFP rapporte que pour SFR et Bouygues Telecom « on précise travailler avec les constructeurs de box afin de s'assurer qu'aucune n'est concernée par la vulnérabilité ». A priori, rien n’a émergé de leur côté ; sollicités par nos soins lundi, nous sommes toujours en attente de leurs réponses.
Rappelons que du côté des constructeurs de points d’accès, là aussi des mesures ont rapidement été prises. Nous expliquions hier que la majorité d’entre eux a déjà mis à disposition des correctifs, ou est en passe de le faire.
Dernier point : Microsoft a discrètement patché Windows, et Apple s’apprête à le faire pour tous ses OS. Plusieurs distributions Linux ont aussi eu droit à des patches. En revanche, Android est plus incertain, dans la mesure où le patch prévu par Google ne devrait pas être disponible avant le 6 novembre prochain. Et encore, faiblesse du système, il le sera sur les appareils Google. Pour le reste, il faudra s’en remettre au bon vouloir des constructeurs.