Wi-Fi Protected Access
Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.

Wi-Fi Protected Access (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans-fil de type Wi-Fi. Ils ont été créés en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. WPA (Wi-Fi Protected Access (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans-fil de type Wi-Fi. Ils ont été créés en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme...) respecte la majorité de la norme (Une norme, du latin norma (« équerre, règle ») désigne un état habituellement répandu ou moyen considéré le plus souvent comme une règle à suivre. Ce terme...) IEEE 802 (IEEE 802 est un comité de l'IEEE qui décrit une famille de normes relatives aux réseaux locaux (LAN) et métropolitains (MAN) basés sur la transmission de données numériques par...).11i et a été prévu comme une solution intermédiaire pour remplacer le WEP en attendant que la norme 802.11i soit terminée. WPA a été conçu pour fonctionner, après mise à jour (Une mise à jour, souvent abrégé en MAJ ou MàJ, est l'action qui consiste à mettre « à jour », ou bien « à niveau », un outil informatique,...) de leur micro-logiciel, avec toutes les cartes Wi-Fi (Le wifi ou wi-fi (prononcé /wifi/) est une technologie de réseau informatique sans fil mise en place pour fonctionner en réseau interne et, depuis, devenue un moyen d'accès à haut débit à Internet. Il...), mais pas nécessairement avec la première génération des points d'accès Wi-Fi. WPA2 quant à lui respecte la norme entière, mais ne peut pas être implémenté sur les matériels anciens. Les deux mécanismes fournissent une bonne sécurité, si l'on respecte deux points importants :

  • L'utilisateur doit encore souvent faire le choix explicite d'activer WPA ou WPA2 en remplacement du WEP, car le WEP reste habituellement le choix de chiffrement (En cryptographie, le chiffrement (parfois appelé à tort cryptage) est le procédé grâce auquel on peut rendre la compréhension d'un document impossible à...) par défaut sur la plupart des équipements.
  • lorsque le mode Personal (le choix le plus probable pour les individuels et les PME) est utilisé, une phrase secrète plus longue que les classiques mots de passe de 6 à 8 caractères utilisés par les utilisateurs est nécessaire pour assurer une sécurité complète.

Historique

WPA a été créé par la Wi-Fi Alliance, une association d'entreprises, qui possède les droits sur le sigle Wi-Fi et qui certifie le matériel portant ce sigle. Les certifications des implantations du WPA ont commencé en avril 2003 et sont devenues obligatoires en novembre 2003. La norme 802.11i complète a été ratifiée en juin 2004.

WPA a été conçu pour être utilisé en collaboration avec un serveur d'identification 802.1X chargé de distribuer les différentes clés à chaque utilisateur. Cependant, il peut aussi être utilisé dans un mode moins sécurisé, appelé pre-shared key (PSK), dans lequel tous les utilisateurs partagent une même phrase secrète. La Wi-Fi Alliance désigne la version pre-shared key, WPA-Personal ou WPA2-Personal et la version avec identification 802.1X WPA-Enterprise ou WPA2-Enterprise.

Les données sont chiffrées en utilisant l'algorithme de chiffrement par flot RC4, avec une clé de 128 bits et un vecteur (En mathématiques, un vecteur est un élément d'un espace vectoriel, ce qui permet d'effectuer des opérations d'addition et de...) d'initialisation (initialization vector ou IV en anglais) de 48 bits. Une des améliorations majeures du WPA par rapport au WEP est le protocole Temporal Key Integrity Protocol (TKIP), qui échange de manière dynamique (Le mot dynamique est souvent employé désigner ou qualifier ce qui est relatif au mouvement. Il peut être employé comme :) les clés lors de l'utilisation du système. Ce protocole, associé au vecteur d'initialisation beaucoup plus grand que dans le WEP, empêche certaines attaques sur WEP aujourd'hui bien connues.

Le protocole TKIP s'avère en fin de compte possible à contourner. Cela nécessite beaucoup de temps : quelques minutes ( Forme première d'un document : Droit : une minute est l'original d'un acte. Cartographie géologique ; la minute de terrain est la...) de capture (Une capture, dans le domaine de l'astronautique, est un processus par lequel un objet céleste, qui passe au voisinage d'un astre, est retenu dans la gravisphère de ce...) de paquets et de l'ordre de 30 000 jours de calcul sur un Pentium IV. Cependant il est possible d'accélérer la recherche (La recherche scientifique désigne en premier lieu l’ensemble des actions entreprises en vue de produire et de développer les connaissances scientifiques. Par extension métonymique, la recherche...) en utilisant le calcul distribué, grâce à des clusters ou des machines zombies. Le protocole CCMP, utilisé dans WPA2, est donc à préférer.

En plus de l'identification et du chiffrement, WPA garantit aussi une intégrité nettement améliorée des données. Le cyclic redundancy check (CRC) utilisé pour le WEP est, de manière intrinsèque, peu sûr : il est possible d'altérer les données et de mettre à jour (Le jour ou la journée est l'intervalle qui sépare le lever du coucher du Soleil ; c'est la période entre deux nuits, pendant laquelle les rayons du Soleil éclairent...) le CRC du message (La théorie de l'information fut mise au point pour déterminer mathématiquement le taux d’information transmis dans la communication d’un message par un canal de communication,...) sans connaître la clé WEP. Un algorithme d'identification des messages (message authentication code ou MAC en anglais, mais appelé MIC pour Message Integrity Code dans le cadre du WPA) plus sécurisé est utilisé pour le WPA : il s'agit d'un algorithme prénommé " Michael ". Le MIC utilisé pour le WPA inclut, de plus, un compteur de trame (Le mot trame peut désigner :) qui empêche les attaques par rejeu, une autre faiblesse du WEP.

Le WPA a été conçu comme une étape intermédiaire sur le chemin vers une meilleure sécurité de la norme 802.11. Ceci pour deux raisons. Premièrement, le travail sur la norme 802.11i a duré beaucoup plus longtemps que prévu, s'étalant sur quatre ans pendant lesquels l'inquiétude au sujet de la sécurité des réseaux sans fil allait grandissante. Deuxièmement, il rassemble, dans un sous-ensemble (En mathématiques, un ensemble A est un sous-ensemble ou une partie d’un ensemble B, ou encore B est sur-ensemble de A, si tout élément du sous-ensemble A est aussi...) de la norme 802.11i, les éléments qui sont compatibles avec le WEP des tous premiers adaptateurs 802.11b. Des mises à jour (Le jour ou la journée est l'intervalle qui sépare le lever du coucher du Soleil ; c'est la période entre deux nuits, pendant laquelle les rayons du Soleil...) WPA ont été fournies pour la très grande majorité des cartes Wi-Fi déjà existantes. Les points d'accès vendus avant 2003 ont généralement besoin (Les besoins se situent au niveau de l'interaction entre l'individu et l'environnement. Il est souvent fait un classement des besoins humains en trois grandes catégories : les besoins primaires,...) d'être remplacés.

En augmentant la taille des clés et des vecteurs d'initialisation, en réduisant le nombre (La notion de nombre en linguistique est traitée à l’article « Nombre grammatical ».) de paquets envoyés avec des clés (re)liées, et en ajoutant un mécanisme d'identification des messages, le WPA rend la pénétration d'un réseau local (Un réseau local, souvent désigné par l'acronyme anglais LAN de Local Area Network, est un réseau informatique à une échelle géographique relativement restreinte, par exemple une salle informatique, une habitation...) sans fil beaucoup plus difficile. L'algorithme Michael est l'algorithme le plus résistant que les concepteurs du WPA pouvaient inclure sans abandonner la compatibilité avec la plupart des anciennes cartes réseaux. Cependant, cet algorithme est sujet à une attaque par contrefaçon de paquets. Pour limiter ce risque, les réseaux WPA s'arrêtent pendant 30 secondes dès qu'une tentative d'attaque est détectée.

WPA2

WPA2 est la version de la norme IEEE 802.11i certifiée par la Wi-Fi Alliance. WPA2 inclut tous les éléments obligatoires de la norme 802.11i[1]. En particulier, WPA2 utilise un chiffrement basé sur AES plutôt que sur RC4. Le protocole basé sur AES, CCMP, est considéré comme complètement (Le complètement ou complètement automatique, ou encore par anglicisme complétion ou autocomplétion, est une fonctionnalité informatique permettant...) sécurisé : en mai 2004, le NIST (National Institute of Standards and Technology) l'a approuvé.

La prise en charge (La charge utile (payload en anglais ; la charge payante) représente ce qui est effectivement transporté par un moyen de transport donné, et qui donne lieu à un paiement ou un bénéfice non pécuniaire pour être...) officielle de WPA2 dans Microsoft Windows XP (Windows XP est une ligne de systèmes d'exploitation multitâche propriétaire développé par Microsoft pour tout usage de l'ordinateur. Comprenant les ordinateurs...) a été annoncée[2] le 1er mai 2005. Une mise à jour des pilotes pour cartes réseau (Un réseau informatique est un ensemble d'équipements reliés entre eux pour échanger des informations. Par analogie avec un filet (un réseau est un « petit rets », c'est-à-dire un petit...) peut s'avérer nécessaire. Apple (Apple, Inc. (Apple Computer, Inc. jusqu'en janvier 2007 ; apple signifie « pomme » en anglais) (NASDAQ : AAPL) est une société multinationale...), Inc. prend en charge le WPA2 sur tous les Macintoshs comportant une carte AirPort (AirPort est un système réseau local sans fil (WLAN) du fabricant informatique Apple basé sur le standard IEEE 802.11b appartenant au groupe de normes IEEE 802.11...) Extreme, sur l' AirPort Extreme Base Station, et l' AirPort Express. Les mises à jour du firmware nécessaires sont incluses dans AirPort 4.2, sorti le 14 juillet 2005.

La sécurité dans le mode pre-shared key

Le mode pre-shared key (PSK, aussi connu comme Personal mode) a été conçu pour les réseaux individuels ou de PME qui ne peuvent se permettre le coût et la complexité (La complexité est une notion utilisée en philosophie, épistémologie (par exemple par Anthony Wilden ou Edgar Morin), en physique, en biologie (par exemple par Henri Atlan), en sociologie, en...) d'une solution utilisant un serveur d'identification 802.1X. Chaque utilisateur doit saisir une phrase secrète pour accéder au réseau. La phrase secrète peut contenir de 8 à 63 caractères ASCII ou 64 symboles hexadécimaux (256 bits). Une clé donnée (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction d'affaire, d'un événement, etc.) sous la forme de caractères ASCII est convertie vers la clé de 256 bits grâce à une fonction de hachage cryptographique (la Pairwise Master Key, PMK). Utiliser une suite aléatoire de caractères hexadécimaux reste plus sûr (en effet, une passphrase reste, toutes proportions gardées, sujette à une attaque par dictionnaire), mais la clé est alors plus difficile à écrire et à retenir. La plupart des systèmes d'exploitation permettent à l'utilisateur de stocker la phrase secrète sur l'ordinateur (Un ordinateur est une machine dotée d'une unité de traitement lui permettant d'exécuter des programmes enregistrés. C'est un ensemble de circuits électroniques permettant de manipuler des données sous forme...) afin de ne pas avoir à la saisir à nouveau mais cependant sous forme PMK, c'est-à-dire déjà hachée. La phrase secrète doit rester stockée dans le point (Graphie) d'accès Wi-Fi.

La sécurité est renforcée par l'emploi d'une fonction PBKDF2 de génération de clés dérivées. Cependant, les phrases secrètes que les utilisateurs ont l'habitude d'utiliser rendent le système vulnérable aux attaques sur les mots de passe. Des programmes réalisant ce type d'attaque sont disponibles sur Internet (Internet est le réseau informatique mondial qui rend accessibles au public des services variés comme le courrier électronique, la messagerie instantanée et le World Wide Web, en utilisant le protocole...), c'est le cas de WPA Cracker[3]. Ces attaques peuvent être contrecarrées en utilisant conjointement à WPA et à WPA2 un secret d'au moins 5 mots générés par la méthode Diceware ou 14 caractères complètement aléatoires. Pour une sécurité maximum, 8 mots générés par la méthode Diceware ou 22 caractères aléatoires devraient être utilisés. Les phrases secrètes devraient, de plus, être changées dès qu'une personne ayant un accès au réseau n'est plus autorisée à l'utiliser ou bien dès qu'un équipement connecté au réseau est perdu ou compromis.

Certains constructeurs ont tenté d'éviter l'emploi par les utilisateurs de phrases secrètes faibles en fournissant une procédure permettant de générer et de distribuer des clés robustes. Cette procédure est accessible par le biais d'une interface (Une interface est une zone, réelle ou virtuelle qui sépare deux éléments. L’interface désigne ainsi ce que chaque élément a besoin de connaître de l’autre pour pouvoir fonctionner...) logicielle ou matérielle utilisant un mécanisme externe pour ajouter un adaptateur Wi-Fi à un réseau. Ces mécanismes incluent la pression (La pression est une notion physique fondamentale. On peut la voir comme une force rapportée à la surface sur laquelle elle s'applique.) d'un bouton (pour Broadcom (Broadcom Corporation (appelée plus couramment Broadcom, NASDAQ : BRCM) est une entreprise américaine de l'industrie de l'électronique, qui développe des...) SecureEasySetup[4] et Buffalo AirStation One-Touch Secure Setup[5]) et la saisie logicielle d'un challenge (pour Atheros JumpStart[6]).

Les différents mécanismes EAP disponibles pour WPA-Enterprise et WPA2-Enterprise

La Wi-Fi Alliance a annoncé l'inclusion de mécanismes EAP (Extensible Authentication Protocol) supplémentaires dans son programme de certification pour les modes WPA-Enterprise et WPA2-Enterprise. Ainsi, a-t-on la certitude que les produits certifiés WPA-Enterprise peuvent interopérer entre eux. Auparavant, seul le mécanisme EAP-TLS (Transport Layer Security) était certifié par la Wi-Fi Alliance.

Les différents mécanismes EAP inclus dans le programme de certification sont :

  • EAP-TLS (précédemment testé)
  • EAP-TTLS/MSCHAPv2
  • PEAPv0/EAP-MSCHAPv2
  • PEAPv1/EAP-GTC
  • EAP-SIM

D'autres mécanismes EAP peuvent être supportés par les clients et les serveurs 802.1X. Cette certification est une tentative pour faire interopérer les mécanismes EAP les plus courants. L'échec de la Wi-Fi Alliance à réaliser cette interopérabilité (L'interopérabilité est la capacité que possède un produit ou un système dont les interfaces sont intégralement connues à fonctionner avec d'autres produits ou systèmes existants ou futurs.) est actuellement un des problèmes majeurs empêchant le déploiement de solutions 802.1X au sein de réseaux hétérogènes.

Page générée en 2.689 seconde(s) - site hébergé chez Amen
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
Ce site est édité par Techno-Science.net - A propos - Informations légales
Partenaire: HD-Numérique