 En tant qu'objets communicants via la norme Wi-Fi, les cartes mémoire SDHC/SDXC Toshiba FlashAir n'échappent pas à la faille de sécurité KRACK (Key Reinstallation Attacks) qui affecte le protocole d'authentification WPA2 (Wi-Fi Protected Access II).
Toshiba a effectivement publié un bulletin d'alerte qui confirme que le dernier modèle FlashAir W-04 (SD-UWA) est bien vulnérable à une attaque de type KRACK. Cela signifie donc que les photos transférées entre la carte mémoire et l'ordinateur peuvent être interceptés par un tiers !
Modèles affectés
- FlashAir W-04 16 Go (SD-UWA016G)
- FlashAir W-04 32 Go (SD-UWA032G)
- FlashAir W-04 64 Go (SD-UWA064G)
Pour corriger cette faille de sécurité, Toshiba propose le nouveau firmware 4.00.01 (F15DBW3BW4.00.01) pour les cartes FlashAir W-04. Le constructeur précise que pour être parfaitement protégé, l'ensemble des équipements Wi-Fi de l'installation doivent être patchés. Ce simple firmware ne se suffit donc pas à lui seul et il faut s'orienter vers les fabricants des autres équipements Wi-Fi du réseau local pour sécuriser son installation (point d'accès, routeur, carte réseau, imprimante, TV...).
En ce qui concerne les précédentes générations de cartes mémoire FlashAir comme les FlashAir W-03 et FlashAir W-02, elles ne sont pas vulnérables à KRACK d'après Toshiba mais, là encore, si l'appareil Wi-Fi qui réceptionne les photos n'est pas patché, il y a un risque de vol des données. On constate toutefois que le modèle W-03 a vu son firmware mis à jour en version 3.00.02BW (FA9CAW3AW3.00.02) la semaine dernière mais en l'absence de changelog, dur à dire s'il s'agit de corriger une faille de sécurité ou autre chose.
Sachez aussi que l'application FlashAirTool, qui sert à configurer les fonctionnalités Wi-Fi des cartes FlashAir, a également été actualisée en version 4.0.0B ces derniers jours sans que l'on sache pour le moment dans quel but... Toshiba, un peu plus de transparence ne ferait pas de mal !
Le Canvio AeroMobile Wireless SSD aussi touché
Pour finir, on apprend que les cartes mémoire communicantes FlashAir ne sont pas les seuls produits Toshiba concernés par KRACK. Le SSD externe sans fil Canvio AeroMobile est aussi affecté par la vulnérabilité du protocole WPA2. Toshiba annonce d'ailleurs qu'un nouveau firmware a été mis en ligne avant le 30 novembre 2017 afin de corriger le problème. Si ce firmware est effectivement disponible, il est possible de faire la mise à jour depuis l'interface de configuration du lecteur après avoir activé le Bridge Mode. La mise à jour est très fortement recommandée par Toshiba qui déconseille d'utiliser le SSD ou à minima de désactiver le mode Station tant que le firmware n'a pas été actualisé.
Téléchargement
Mise à jour du 21/12/2017
Toshiba vient de publier un nouveau firmware 4.00.02 pour les cartes mémoire FlashAir W-04 qui est, lui aussi, censé corriger la faille KRACK dans le protocole WPA2. L'application du firmware correctif 4.00.01 ne suffit donc pas !
|
Modérateur TLD
|
|
Actualités
16/04/24 Le logiciel Portable SSD Software tire sa révérence pour les SSD USB Samsung
23/04/24 Nikon Z 8 2.01
23/04/24 Microsoft Surface Studio 2+ 22621 24.033.38738.0 WHQL
23/04/24 Creative Stage SE/SE mini 3.01.00.00 WHQL
22/04/24 Redragon S101-KS Wireless Gaming Keyboard and Mouse Combo 1.0.0.1
22/04/24 Razer Hammerhead HyperSpeed for Playstation 1.3.0 R1
