Passer au contenu

Amazon a laissé traîner la faille Wi-Fi « Krack » durant un an sur ses enceintes Echo

Il a fallu attendre que la firme américaine soit alertée par une entreprise tierce pour qu’elle détecte, puis colmate la faille. C’est surprenant, car le problème était connu depuis plus d’un an.

La sécurité  de la plupart des objets connectés est, on le sait, assez pitoyable. Beaucoup de fabricants de seconde zone ne cherchent qu’à mettre le plus rapidement possible leur produit sur le marché, tirant un trait sur les mesures de protection les plus élémentaires. On pensait que les géants high-tech avaient une philosophie différente, question d’image. Mais les chercheurs en sécurité d’Eset nous prouvent que ce n’est pas forcément vrai. 

En octobre 2018, ils ont découvert que la première génération d’enceintes connectées Amazon Echo était vulnérable à la faille « Krack », tout comme les liseuses Kindle de 8e génération. « Cette faille permettait de déchiffrer les flux Wi-Fi WPA2, d’y injecter des données ou d’extraire des informations sensibles », précise Stefan Svorencik, chercheur chez Eset, à l’occasion d’une conférence de presse. 

Une attitude pas très proactive 

Le souci, c’est que la faille Krack avait été découverte un an auparavant, à la fin 2017. Elle avait même été largement médiatisée, en raison du grand nombre d’appareils affectés et du risque qu’elle pouvait engendrer. L’attaque était particulièrement triviale sur les appareils qui s’appuient sur système Android, ce qui est justement le cas des enceintes Echo. Il n’est pas très étonnant que le produit d’Amazon ait été touché… En revanche, il est surprenant qu’une entreprise de cette taille soit alertée par une entreprise tierce dans un cas aussi flagrant. 

Il n’y que deux hypothèses possibles : soit Amazon n’a pas vérifié la présence de cette vulnérabilité, ce qui serait très négligent ; soit l’entreprise a bien vu le problème, mais a estimé que le risque était faible, ce qui serait présomptueux. Amazon a également traîné un peu des pieds pour la résolution. Eset a révélé la faille auprès d’Amazon le 23 octobre 2018, mais ce dernier ne l’a confirmée que le 8 janvier 2019. Un patch a finalement été diffusé un mois plus tard. On aurait aimé un plus d’effort pour un appareil aussi sensible que cette enceinte connectée.  

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn