Ouvrir le menu principal

MacGeneration

Recherche

Kr00k : la faille Wi-Fi a été corrigée par Apple en octobre dernier

Mickaël Bazoge

mercredi 26 février 2020 à 22:44 • 9

macOS

En octobre dernier, Apple bouchait une faille Wi-Fi affectant des iPhone, des iPad et des Mac utilisant des puces sans fil de Cypress Semiconductor et Broadcom. Eset, une société spécialisée dans la sécurité informatique, a mis au jour la faille CVE-2019-15126, baptisée Kr00k, qui a été présentée aujourd'hui pendant une conférence RSA.

Cette vulnérabilité permet à un malandrin de déchiffrer des données sensibles sur des centaines de millions d'appareils équipés des puces FullMAC WLAN des deux fournisseurs (sachant que l'activité Wi-Fi de Broadcom a été achetée par Cypress en 2016). Pour ce qui concerne Apple, il s'agit des iPhone 6, 6s, 8 et XR ; de l'iPad mini 2 ; du MacBook Air 13 pouces Retina (2018). Le constructeur de Cupertino n'est pas le seul concerné : la faille est aussi présente dans des appareils Echo et Kindle (Amazon), Nexus (Google), Galaxy (Samsung), Redmi (Xiaomi), dans le Raspberry 3, ainsi que dans des routeurs Huawei et Asus.

La faille a été corrigée par le biais de macOS 10.15.1 et les mises à jour de sécurité correspondantes pour Mojave et High Sierra, ainsi qu'avec iOS et iPadOS 13.2. Les autres appareils ont également été patchés par leurs fabricants, sans qu'on sache combien d'entre eux l'ont réellement été. Le plus embêtant, c'est pour les routeurs touchés, ces appareils étant la cinquième roue du carrosse au niveau des mises à jour. Malheureusement, il suffit d'être connecté à un point vulnérable pour tomber dans le piège de Kr00k, même si l'appareil mobile ou l'ordinateur est à jour.

Le principe de Kr00k est le suivant : plutôt que de chiffrer les données avec une clé de session dûment négociée en amont, les appareils vulnérables utilisent une clé composée uniquement de zéros. Évidemment, cela facilite énormément le travail du bandit. Pour parvenir à ses fins, ce dernier doit se trouver non loin de l'appareil de la victime afin d'activer la vulnérabilité, puis il peut siphonner les données pour les déchiffrer très facilement, au vu de la clé.

Les chercheurs d'Eset ont testé la vulnérabilité avec des puces Qualcomm, Realtek, Ralink et Mediatek, en faisant chou blanc. Il est probable que d'autres appareils dotés des composants sans fil de Broadcom et de Cypress soient vulnérables, Eset n'ayant pas pu tous les tester.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Un SMS, un clic… et des données envolées : pourquoi Incogni devient indispensable  📣

06/07/2025 à 10:00

• 0


Aperçu des nouveautés de Raccourcis dans iOS 26 et macOS 26 : Apple intègre (presque) un chatbot

06/07/2025 à 08:00

• 18


Test du Twelve South AirFly Pro 2 : pour s’enfiler en l’air

05/07/2025 à 11:00

• 9


Sortie de veille : un MacBook avec une puce d’iPhone, attrape-nigaud ou coup de génie ?

05/07/2025 à 08:00

• 27


Un dirigeant de Microsoft conseille aux plus de 9 000 employés licenciés de se faire aider par l’IA

04/07/2025 à 22:00

• 199


Apple fait ses emplettes dans les start-up, entre avatars virtuels et monitoring de l’IA

04/07/2025 à 21:00

• 1


Un premier pas vers le jailbreak de la Touch Bar : le système démarre en mode verbose

04/07/2025 à 17:45

• 28


MacBook Air M2 à 750 € ou Mac Studio M2 Max à 1 300 € ? Entre portable et fixe, il faut choisir

04/07/2025 à 15:22

• 28


Un (faux) traceur GPS sur les cartons des MacBook Air, pour dissuader les livreurs de les voler

04/07/2025 à 13:02

• 84


Un site web pour décoder les pages sauvées en .webarchive par Safari

04/07/2025 à 11:00

• 7


Ulanzi présente une station d'accueil au look de petit Mac Pro

04/07/2025 à 10:15

• 17


Promo : une batterie chameau de 27650 mAh capable de recharger Mac et iPhone à 114 € (-56 €)

04/07/2025 à 09:18

• 13


Développeurs : Technotes ajoute des notes de la communauté sur la documentation d’Apple

04/07/2025 à 08:33

• 5


L’iPhone redécolle en Chine, le Mac cartonne aux États-Unis : Apple souffle un peu avant les trimestriels le 31

04/07/2025 à 07:52

• 43


Apple a creusé l’idée de proposer des services de cloud computing aux développeurs pour concurrencer AWS

03/07/2025 à 21:45

• 51


Apple sort des fonds d’écran aux couleurs de son nouvel Apple Store à Osaka

03/07/2025 à 21:00

• 10