WPA3 : Quoi de neuf dans la sécurité WiFi ?

L’alliance WiFi a introduit la première amélioration majeure de la sécurité du protocole WiFi depuis environ 14 ans : le WPA3. Les ajouts les plus importants au nouveau protocole de sécurité sont : une meilleure protection des mots de passes simples, un chiffrage individualisé pour les réseaux personnels et pour les réseaux ouverts et un chiffrage encore plus sécurisé pour les réseaux d’entreprise.

La norme Wi-Fi Protected Access (WPA) a été créé à l’origine en 2003 pour remplacer la norme WEP et la deuxième version de WPA est apparue l’année suivante. La troisième version de WPA est une mise à jour très attendue et très appréciée qui profitera à l’industrie du WiFi, aux entreprises et aux millions d’utilisateurs WiFi autours du monde, même s’ils ne le savent pas…

WPA3 a été annoncé en Janvier 2018 et officialisé en Juin de la même année par le lancement de le programme de certification de l’Alliance WiFi « WPA3-personnel » pour les particuliers et « WPA3-Entreprise » pour les professionnels avec un chiffrage encore plus performant pour les données sensibles. Parallèlement à ces deux lancements, l’Alliance WiFi a aussi dévoilé « WiFi Easy-Connect » une fonctionnalité qui permet de simplifier le processus de couplage des appareils qui n’ont pas d’écran – tels que les appareils IoT; et « WiFi Enhanced Open », une fonctionnalité optionnelle qui permet un chiffrage transparent des données sur les réseaux WiFi invités ouverts.

Remédier aux lacunes du WPA2

Le protocole WPA2 avec « Advanced Encryption Standard » (AES) a certainement corrigé certaines failles de sécurité du WPA d’origine, qui utilisait le protocole de chiffrement « Temporal Key Integrity Protocol » (TKIP). WPA2 était considéré comme beaucoup plus sûr que la sécurité WEP, qui était depuis longtemps morte. Cependant, WPA2 présentait toujours des vulnérabilités importantes qui sont apparues au cours de la dernière décennie.

La possibilité de déchiffrer le mot de passe WPA2-Personal avec des attaques par force brute – cela consiste à essayer des mots de passe encore et encore jusqu’à ce qu’une correspondance soit trouvée – est une vulnérabilité critique de WPA2. Encore pire, une fois que les pirates avaient capturé les bonnes données sur les ondes WiFi, ils pouvaient effectuer des tentatives pour trouver le mot de passe en « hors site », ce qui etait plus pratique pour eux. Une fois cracké, ils pouvaient alors dechiffrer toutes les données qu’ils avaient capturées avant ou aprés le crack.

De plus, la complexité du mot de passe WPA2-Personal du réseau était corrélée à la complexité du crack. Ainsi un réseau avec un mot de passe simple était plus facile à cracker.

Une autre vulnérabilité majeure de WPA2-Personal, en particulier sur les réseaux d’entreprise, est qu’un utilisateur avec la phrase de passe pourrait espionner le trafic réseau d’un autre utilisateur et effectuer des attaques. Bien que le mode entreprise de WPA / WPA2 offre une protection contre le snooping d’utilisateur à utilisateur, il nécessite un serveur RADIUS ou un service cloud pour déployer le mode entreprise.

La pire lacune du Wi-Fi depuis sa création est sans doute l’absence de sécurité intégrée, de chiffrage ou de confidentialité sur les réseaux publics. Toute personne disposant des bons outils peut espionner les utilisateurs connectés aux points d’accès Wi-Fi publics dans les cafés, les hôtels et autres espaces publics. Cette surveillance peut être passive, pour simplement surveiller les sites Web visités ou capturer des identifiants de connexion de messagerie non sécurisés; ou actives, comme le détournement de session pour accéder à la connexion d’un utilisateur au site Web.

WPA3-Personal offre un chiffrage plus sécurisé et personnalisé

WPA3 apporte des améliorations au chiffrage Wi-Fi général, grâce à l’authentification simultanée des égaux (SAE) remplaçant la méthode d’authentification par clé pré-partagée (PSK) utilisée dans les versions antérieures de WPA. Cela permet une meilleure fonctionnalité, de sorte que les réseaux WPA3-Personal avec de simples mots de passe ne sont pas aussi simples à craquer pour les pirates informatiques à l’aide de tentatives de piratage hors site, par force brute, basées sur un dictionnaire, comme c’était le cas avec WPA / WPA2. Bien sûr, il sera toujours aussi facile pour quelqu’un de deviner un mot de passe très simple lorsqu’il tente de se connecter directement au Wi-Fi avec un appareil, mais c’est une méthode de craquage moins pratique et donc moins utilisée.

Le cryptage avec WPA3-Personal est plus individualisé. Les utilisateurs d’un réseau WPA3-Personal ne peuvent jamais espionner le trafic WPA3-Personal d’un autre, même lorsque l’utilisateur possède le mot de passe Wi-Fi et est connecté avec succès. De plus, si un étranger détermine le mot de passe, il n’est pas possible d’observer passivement un échange et de déterminer les clés de session, assurant le secret de transmission du trafic réseau. De plus, ils ne peuvent pas non plus déchiffrer les données capturées avant le craquage.

Wi-Fi Easy Connect est une fonctionnalité optionnelle récemment annoncée qui apparaîtra probablement avec de nombreux appareils WPA3-Personal, qui peuvent remplacer ou être utilisés en plus de la fonction Wi-Fi Protected Setup (WPS) fournie avec WPA / WPA2. Wi-Fi Easy Connect est conçu pour faciliter la connexion d’appareils sans écran et IoT au Wi-Fi. Cela peut inclure une méthode de bouton similaire à WPS, mais peut également ajouter des méthodes supplémentaires, comme la numérisation d’un code QR de l’appareil à partir d’un smartphone afin de connecter l’appareil en toute sécurité.

WPA3-Enterprise cible le Wi-Fi à grande échelle

Pour WPA3-Enterprise, une sécurité 192 bits en option est ajoutée pour une protection encore meilleure. Cela peut être une fonctionnalité bienvenue pour les entités gouvernementales, les grandes entreprises et d’autres environnements très sensibles. Toutefois, selon l’implémentation du serveur RADIUS spécifique, le mode de sécurité 192 bits dans WPA3-Enterprise peut nécessiter des mises à jour liées au composant serveur EAP du serveur RADIUS.

Wi-Fi Enhanced Open offre un cryptage pour les réseaux publics

L’une des plus grandes améliorations apportées par Wi-Fi Alliance est le « Wi-Fi Enhanced Open ». Il permet aux communications Wi-Fi des réseaux ouverts (ceux sans mot de passe) d’être cryptées de manière unique entre le point d’accès et les clients individuels, ce qui est basé sur le « Opportunistic Wireless Encryption » (OWE) ou chiffrage sans fil opportuniste. Il utilise également des cadres de gestion protégés pour sécuriser le trafic de gestion entre le point d’accès et les appareils des utilisateurs.

Le Wi-Fi Enhanced Open empêche les utilisateurs de surveiller mutuellement le trafic Web ou d’effectuer d’autres attaques, comme le détournement de session. Il fait tout cela en arrière-plan, sans que les utilisateurs n’aient à entrer de mot de passe ou à faire autre chose que de simplement se connecter comme nous en avons l’habitude sur les réseaux publics.

Bien que Enhanced Open ne fasse pas officiellement partie de la spécification WPA3, il sera probablement ajouté aux produits en même temps que WPA3. Il s’agit d’une fonctionnalité facultative que les fournisseurs peuvent inclure dans leurs produits. En outre, la prise en charge des connexions ouvertes héritées non chiffrées est également facultative. Il est donc possible que certains fournisseurs de points d’accès et de routeurs à l’avenir imposent l’utilisation du Wi-Fi Enhanced Open (ou l’activent par défaut), si WPA3 n’est pas utilisé.

  • Updated juin 1, 2021
S’abonner
Notifier de
0 Commentaires
Inline Feedbacks
Voir tous les commentaires
0
Nous voulons connaitre votre avis, commentez !x
()
x