La norme de sécurité WPA2

29/10/2004 à 00h00

La norme IEEE 802.11i (ou WPA2) fournit un chiffrement plus élaboré que celui de la solution intérimaire WPA (Wi-Fi Protected Access).

Beaucoup d'encre a coulé au sujet de l'insuffisant niveau de sécurité du protocole WEP (Wired Equivalent Privacy) et de son chiffrement à clé fixe, défini en 1999, le seul mécanisme de protection intégré aux technologies Wi-Fi jusqu'à début 2003. La norme IEEE 802.11i, qui devait mettre fin à cette faiblesse, a tardé à être validée. Du coup, en fin 2002, la Wi-Fi Alliance a défini un sous-ensemble de ce qu'allait être 802.11i, sous la désignation de WPA (Wi-Fi Protected Access). WPA spécifie notamment l'utilisation d'un chiffrement TKIP (Temporal Key Integrity Protocol) qui recourt au même algorithme que WEP, mais renouvelle la clé tous les dix mille paquets. Puis, fin juin 2004, le standard IEEE 802.11i a enfin été ratifié.La principale évolution entre WPA et WPA2 le nom de la certification de conformité à la norme IEEE 802.11i concerne l'usage du chiffrement AES (Advanced Encryption Standard), un standard déjà largement utilisé par ailleurs, notamment par le gouvernement américain. La Wi-Fi Alliance a commencé à attribuer de telles certifications dès le début du mois de septembre.

Un chiffrement avancé et une authentification centralisée pour les entreprises

Chiffrement AES

802.11i spécifie l'utilisation du standard AES (Advanced Encryption Standard), le principal apport de WPA2 par rapport à WPA. Celui-ci met en ?"uvre un chiffrement CCMP (Counter Mode CBC-MAC [Cipher Block Chaining-Message Authentication Code] Protocol). Il s'agit d'une méthode de chiffrement par blocs, alors que RC4, algorithme employé par WEP (Wired Equivalent Privacy) et TKIP (Temporal Key Integrity Protocol) avec une clé à 64 ou 128 bits, effectue le chiffrement au fil de l'eau, dans l'ordre des bits transmis ou reçus. La longueur de clé d'AES reste la même qu'avec TKIP (128 bits), mais l'algorithme de chiffrement est plus puissant.

Mode personnel : une clé partagée

Pour vérifier l'identité de l'utilisateur, le mode personnel tient compte du fait que les réseaux sans fil de résidences ou de très petites structures ne disposent pas de serveur d'authentification. Il exploite donc une clé partagée (c'est-à-dire un mot de passe commun au point d'accès et aux postes), sans laquelle la communication ne s'établira pas.

Mode entreprise : support de 802.1x et d'EAP

Le mode entreprise de WPA et de WPA2 impose l'utilisation du mécanisme d'authentification 802.1x entre le client, le point d'accès et un serveur d'authentification généralement un serveur Radius (Remote Authentication Dial-In User Service). Il est à noter que le point d'accès désigne ici l'infrastructure réseau sans fil : la fonction d'authentification pourra être déportée, dans le cas d'une architecture à point d'accès léger, vers un commutateur ou un autre matériel centralisant certaines fonctions.

Le 802.1x tire parti du protocole EAP (Extensible Authentication Protocol, une extension de PPP), qui se décline en plusieurs variantes. EAP-MD5 a le désavantage de faire transiter les messages EAP en clair. EAP-TLS (EAP Transport Layer Security), quant à lui, recourt à une infrastructure à clé publique pour l'authentification et impose en conséquence d'installer des certificats sur tous les postes clients. En revanche, EAP-TTLS (Tunneled TLS), PEAP (Protected EAP) et le protocole propriétaire de Cisco LEAP (Lightweight EAP) permettent de s'en affranchir.

Demain : Un facteur de déploiement de Wi-Fi en entreprise

La norme étant encore récente, les produits certifiés WPA2 ne sont pas encore légion. Ainsi, seule une petite dizaine de points d'accès a reçu le label WPA2 ; à titre de comparaison, près de deux cents points d'accès se sont vu attribuer la certification WPA Entreprise et environ deux cent trente la certification WPA Personnelle. Pour le passage à la norme WPA2, certains produits nécessiteront seulement une mise à jour logicielle. Cependant, un grand nombre d'entre eux devront subir une évolution matérielle, en raison de la puissance de traitement requise. Avec la disponibilité de produits certifiés WPA2, la Wi-Fi Alliance s'attend à une augmentation des déploiements Wi-Fi en entreprise, mais souligne que lapparition de WPA2 ne rend pas pour autant WPA obsolète : ce dernier convenant aux besoins de nombreuses sociétés.

Annabelle Bouard

Votre opinion

1 opinion

Lefebvre Paul 20/10/2017 à 12h17

Utilisez toujours le réseau privé virtuel (VPN) comme PureVPN pour masquer tout votre trafic réseau car il dispose d’un système permettant de créer un lien direct entre les ordinateurs distants. La connexion entre les ordinateurs est gérée de manière transparente par le logiciel VPN, créant un tunnel entre eux. Dans le même temps, le VPN crypte la communication. Ainsi, même si Krack Attack décrypte le trafic sur votre routeur Wi-Fi, la seule chose qu’il obtient est le trafic crypté en amont, donc inutilisable.