Il existe une nouvelle vulnérabilité dans WPA2 appelée KRACK (abréviation de Key Reinstallation Attack), décrite dans l'article de The Guardian: " Tous les réseaux WiFi" sont vulnérables au piratage, découvre l'expert en sécurité "
Selon l'article:
La vulnérabilité affecte un certain nombre de systèmes d'exploitation et de périphériques, indique le rapport, notamment Android, Linux, Apple , Windows, OpenBSD, MediaTek, Linksys et autres.
Y at-il eu des versions de sécurité pour iOS corrigeant cela?
Réponses:
Mises à jour publiées le 31 octobre 2017
Apple a publié des mises à jour qui incluent un correctif pour la vulnérabilité KRACK pour macOS, iOS, tvOS et watchOS. Pour obtenir les mises à jour:
Lancez l'App Store et sélectionnez l'onglet Mises à jour.
Accédez à Réglages> Général> Mise à jour de logiciel.
Lancez l'application Watch sur votre iPhone, puis sélectionnez Général> Mise à jour du logiciel.
Pour Apple TV 4 (et 4K), allez dans Paramètres> Système> Mises à jour de logiciels et sélectionnez Mettre à jour les logiciels.
Pour Apple TV (2e / 3e génération), accédez à Paramètres> Général> Mettre à jour le logiciel.
Apple a pour politique de ne pas commenter les vulnérabilités en matière de sécurité tant qu'elles ne sont pas corrigées. Même lorsqu'elles le sont, elles sont souvent assez vagues à ce sujet.
Cependant, avec un peu de travail de détective, nous pouvons obtenir un aperçu. En regardant les CVEs affectés à cette vulnérabilité particulière , * nous pouvons obtenir la liste des questions qui devraient être abordées par Apple quand ils décident de publier un correctif de sécurité:
En outre, cet article de ZDNet - Voici chaque correctif pour la vulnérabilité KRACK Wi-Fi disponible actuellement (16 octobre 2017) indique que les fournisseurs répondent rapidement et Apple a confirmé que les correctifs sont en version bêta.
* Common Vulnerabilities and Exposures (CVE®) est une liste d'identifiants communs des vulnérabilités de cyber-sécurité connues du public. L'utilisation des «identifiants CVE (identifiants CVE)», attribués par les autorités de numérotation (CNA) CVE du monde entier, garantit la confiance entre les parties lorsqu’ils sont utilisés pour discuter ou partager des informations sur une vulnérabilité logicielle unique. et permet l'échange de données pour l'automatisation de la cybersécurité.
la source
Rene Ritchie, rédacteur en chef d'iMore, indique que cette vulnérabilité est corrigée dans tous les bêtas actuelles de macOS, watchOS, tvOS et iOS .
Jusqu'à l'envoi des mises à jour, de nombreux blogs sur la sécurité recommandent d'utiliser un réseau privé virtuel (VPN) et des sites protégés avec SSL pour protéger toute information transmise par Wi-Fi.
Bien que SSL ne garantisse pas la sécurité des données suite à une attaque KRACK, cela le rend beaucoup plus difficile. Cependant, KRACK obtient un accès suffisamment profond pour pouvoir éventuellement accéder aux données avant le cryptage.
la source
Considérant que la vulnérabilité vient d'être publiée (au moment de poser cette question) et je doute qu'elle ait été envoyée à un fabricant en premier (car cela serait très difficile compte tenu du nombre de parties à informer à ce sujet) - il faudra un certain temps à Apple pour regroupez la nouvelle mise à jour pour tous les périphériques existants et publiez-la.
Comme cela a toujours été le cas auparavant, Apple ne fait pas de correctif urgent pour iOS / Mac OS pour une seule vulnérabilité, il regroupe quelques-uns des correctifs / modifications dans une mise à jour.
Également, réparer, tester, vérifier, publier, etc. prend du temps. Donc, cela ne sera pas traité instantanément.
la source