Extensible Authentication Protocol - Définition

Introduction

Extensible Authentication Protocol (EAP) est un mécanisme d'identification universel, fréquemment utilisé dans les réseaux sans fil (ex : de type Wi-Fi) et les liaisons point à point.

Introduction

EAP est donc :

• un protocole : au sens réseau c'est-à-dire qu'il est constitué d'un échange de trames dans un format spécifique à EAP
• extensible : quelques méthodes d'authentification sont prédéfinies (MD5, OTP, Generic Token Card, ...) mais d'autres peuvent être ajoutées sans qu'il soit nécessaire de changer le protocole réseau ou pire d'en définir un nouveau

L'authentification peut être demandée par chaque extrémité. A l'origine EAP a plus particulièrement été conçu pour être transporté par PPP (RFC-2284) il a ensuite été complété (RFC-3748)pour être utilisable sur d'autre réseaux filaires. Et bien qu’il soit utilisable sur des réseaux filaires, ce mécanisme est le plus souvent utilisé dans les réseaux sans fils.

Quand le protocole EAP est utilisé en conjonction avec un point d'accès réseau compatible 802.1X ( sans-fil ou filaire ), certaines méthodes EAP permettent de négocier une clé PMK (Pair-wise Master Key) entre le client et le point d'accès. Cette clé PMK peut ensuite être utilisée pour chiffrer les sessions TKIP ou CCMP.

Les standards WPA et WPA2 ont officiellement adopté 5 types d’EAP comme mécanismes officiels d’identification :

• EAP-TLS
• EAP-TTLS/MSCHAPv2
• PEAPv0/EAP-MS-CHAPv2
• PEAPv1/EAP-GTC
• EAP-SIM

Mais EAP ne se limite pas à ces 5 protocoles. Vous trouverez ci-dessous des informations sur les EAP les plus connus.

EAP-TLS

EAP-TLS est un Standard ouvert IETF. On le retrouve implanté chez de nombreux fabricants de matériel sans fil. C’est le seul protocole EAP qui doit obligatoirement être implanté sur un matériel pour pouvoir porter le logo WPA ou WPA2.

Il offre une bonne sécurité. En effet il utilise deux certificats pour la création d'un tunnel sécurisé qui permettra ensuite l'identification : un côté serveur et un côté client. Cela signifie que même si le mot de passe est découvert, il ne sera d'aucune utilité sans le certificat client. Bien que EAP-TLS fournisse une excellente sécurité, l'obligation de disposer d'un certificat client est peut-être son talon d'Achille. En effet lorsque l'on dispose d'un grand parc de machines, il peut s'avérer difficile et coûteux de gérer un certificat par machine. C'est pour se passer du certificat client que les protocoles PEAP et EAP-TTLS ont été créés.

TLS est considéré comme le successeur du standard SSL. Il utilise une Infrastructure à clés publiques pour sécuriser les communications d'identification entre les clients et le serveur RADIUS.

Il existe des implémentations client ou serveur pour : Microsoft, Cisco, Apple, Linux, ... EAP-TLS est présent nativement dans MAC OS 10.3 et supérieur, Windows 2000 SP4, Windows XP, Windows Mobile 2003 et supérieur, et Windows CE 4.2.

LEAP

Lightweight Extensible Authentication Protocol (LEAP) est une implémentation propriétaire de EAP conçu par Cisco Systems

Cisco a fait beaucoup d'efforts pour promouvoir ce protocole. Il a permis à d'autres fabricants de réaliser des produits « LEAP Compatible » au travers du programme CCX (Cisco Certified Extensions). Ce protocole n'est pas présent nativement sous Windows. Il était connu pour être vulnérable aux attaques par dictionnaire comme EAP-MD5. Mais il ne l'est plus depuis la version ASLEAP (2003) de Joshua Wright. Cisco continue de soutenir que LEAP est une solution sécurisée si l'on utilise des mots de passe suffisamment complexes. Mais tout le monde sait bien que dans la réalité les mots de passe complexes sont rarement utilisés. De nouveaux protocoles comme EAP-TTLS ou PEAP ne rencontrent pas ce type de fragilité car ils créent un tunnel TLS pour sécuriser l'identification. De plus ces nouveaux protocoles étant plus ouverts, ils peuvent être utilisés sur des points d'accès de marque Cisco ou non.