En tant qu'objets communicants via la norme Wi-Fi, les cartes mémoire SDHC/SDXC Toshiba FlashAir n'échappent pas à la faille de sécurité KRACK (Key Reinstallation Attacks) qui affecte le protocole d'authentification WPA2 (Wi-Fi Protected Access II).

Toshiba a effectivement publié un bulletin d'alerte qui confirme que le dernier modèle FlashAir W-04 (SD-UWA) est bien vulnérable à une attaque de type KRACK. Cela signifie donc que les photos transférées entre la carte mémoire et l'ordinateur peuvent être interceptés par un tiers !

Modèles affectés

• FlashAir W-04 16 Go (SD-UWA016G)
• FlashAir W-04 32 Go (SD-UWA032G)
• FlashAir W-04 64 Go (SD-UWA064G)

Pour corriger cette faille de sécurité, Toshiba propose le nouveau firmware 4.00.01 (F15DBW3BW4.00.01) pour les cartes FlashAir W-04. Le constructeur précise que pour être parfaitement protégé, l'ensemble des équipements Wi-Fi de l'installation doivent être patchés. Ce simple firmware ne se suffit donc pas à lui seul et il faut s'orienter vers les fabricants des autres équipements Wi-Fi du réseau local pour sécuriser son installation (point d'accès, routeur, carte réseau, imprimante, TV...).

En ce qui concerne les précédentes générations de cartes mémoire FlashAir comme les FlashAir W-03 et FlashAir W-02, elles ne sont pas vulnérables à KRACK d'après Toshiba mais, là encore, si l'appareil Wi-Fi qui réceptionne les photos n'est pas patché, il y a un risque de vol des données. On constate toutefois que le modèle W-03 a vu son firmware mis à jour en version 3.00.02BW (FA9CAW3AW3.00.02) la semaine dernière mais en l'absence de changelog, dur à dire s'il s'agit de corriger une faille de sécurité ou autre chose.

Sachez aussi que l'application FlashAirTool, qui sert à configurer les fonctionnalités Wi-Fi des cartes FlashAir, a également été actualisée en version 4.0.0B ces derniers jours sans que l'on sache pour le moment dans quel but... Toshiba, un peu plus de transparence ne ferait pas de mal !

Le Canvio AeroMobile Wireless SSD aussi touché

Pour finir, on apprend que les cartes mémoire communicantes FlashAir ne sont pas les seuls produits Toshiba concernés par KRACK. Le SSD externe sans fil Canvio AeroMobile est aussi affecté par la vulnérabilité du protocole WPA2. Toshiba annonce d'ailleurs qu'un nouveau firmware a été mis en ligne avant le 30 novembre 2017 afin de corriger le problème. Si ce firmware est effectivement disponible, il est possible de faire la mise à jour depuis l'interface de configuration du lecteur après avoir activé le Bridge Mode. La mise à jour est très fortement recommandée par Toshiba qui déconseille d'utiliser le SSD ou à minima de désactiver le mode Station tant que le firmware n'a pas été actualisé.

Téléchargement

• Firmware 4.00.01 (F15DBW3BW4.00.01) pour les cartes mémoire Toshiba FlashAir W-04
• Firmware 3.00.02BW (FA9CAW3AW3.00.02) pour les cartes mémoire Toshiba FlashAir W-03
• Application Toshiba FlashAirTool 4.0.0B pour Windows Vista/7/8.1/10

Mise à jour du 21/12/2017

Toshiba vient de publier un nouveau firmware 4.00.02 pour les cartes mémoire FlashAir W-04 qui est, lui aussi, censé corriger la faille KRACK dans le protocole WPA2. L'application du firmware correctif 4.00.01 ne suffit donc pas !

Actualité publiée par Julien Sambourg le mardi 05 décembre 2017 à 20:15
Commenter cette actualité
Marque associée : Toshiba
Catégories associées : Carte réseau Routeur Solid-State Drive (SSD) Carte mémoire Lecteur de stockage
Flux RSS des actualités TousLesDrivers.com