Qu’est-ce que le WPA3 ? Et quelques pièges à surveiller au niveau de la nouvelle mise à jour de sécurité Wi-Fi

La norme de sécurité WPA3 Wi-Fi s’attaque aux défaillances de WPA2 pour mieux sécuriser les réseaux sans fil personnels, d’entreprise et IoT (Internet des objets)

WPA3La Wi-Fi Alliance a introduit la première amélioration majeure au niveau de la sécurité du Wi-Fi de ces 14 dernières années : le WPA3. Les ajouts les plus importants de ce nouveau protocole sont une meilleure protection des mots de passe simples, un cryptage individualisé pour les réseaux personnels et ouverts et un cryptage encore plus sécurisé pour les réseaux d’entreprise.

La première norme WPA (Wi-Fi Protected Access) a été mise en place en 2003 pour remplacer WEP et la deuxième édition a été publiée l’année suivante. La troisième édition de la WPA est donc attendue depuis bien longtemps et elle est très bien reçue car elle profitera à l’industrie du Wi-Fi, aux entreprises et aux millions d’utilisateurs de Wi-Fi de par le monde – même s’ils ne s’en rendent pas forcément compte.

WPA3 a été annoncé en janvier et officialisé en juin avec le lancement du programme de certificationWPA3-Personnal par la Wi-Fi Alliance qui offre un cryptage plus individualisé, ainsi que de WPA3-Entreprise renforçant la force cryptographique des réseaux transmettant des données sensibles. Parallèlement à ces deux modes de déploiement, la Wi-Fi Alliance a également dévoilé le Wi-Fi Easy Connect, une fonctionnalité censée simplifier le processus d’appairage de périphériques Wi-Fi sans écran, tels que les périphériques IoT, ainsi que le Wi-Fi Enhanced Open, une fonctionnalité optionnelle permettant un cryptage facile sur les réseaux des points d’accès Wi-Fi ouverts.

Remède aux faiblesses de WPA2

Le protocole WPA2 avec la norme AES (Advanced Encryption Standard) a certainement corrigé certaines des failles de sécurité de la première version du protocole WPA qui utilisait le protocole de cryptage TKIP (Temporal Key Integrity Protocol). WPA2 était d’ailleurs considéré comme beaucoup plus sûr que l’ancien protocole de sécurité WEP. Cependant, WPA2 présentait encore d’importantes vulnérabilités apparues au cours de la dernière décennie.

La possibilité de craquer les phrases mot de passe personnelles de WPA2 avec des attaques par force brute – c’est à dire pour simplifier en essayant toutes les combinaisons possibles encore et encore, jusqu’à ce qu’une correspondance soit trouvée – est une vulnérabilité critique de WPA2. Et pour aggraver ce problème, une fois que les pirates ont réussi à obtenir les bonnes données depuis les ondes, ils peuvent continuer leurs attaques hors site, ce qui est encore plus pratique pour eux. Une fois forcées, ils peuvent décrypter toutes les données capturées avant ou après le piratage.

De plus, c’est à la complexité de cette phrase secrète qu’était corrélée la difficulté à craquer la sécurité de WPA2. Donc, si un simple mot de passe était utilisé sur le réseau (ce que la majorité des utilisateurs semblaient faire) alors craquer la sécurité était encore plus facile.

Une autre vulnérabilité majeure de WPA2-Personal, particulièrement sur les réseaux d’entreprise, est qu’un utilisateur possédant la phrase secrète pourrait surveiller le trafic réseau d’un autre utilisateur et effectuer des attaques. Bien que le mode entreprise de WPA / WPA2 offre une protection contre l’espionnage d’utilisateur à utilisateur, il nécessite l’utilisation d’un serveur RADIUS ou un service cloud pour être déployé.

Sans conteste, la pire déficience du Wi-Fi depuis sa création est l’absence de sécurité, de cryptage ou de confidentialité intégrés sur les réseaux publics ouverts. N’importe qui disposant des bons outils est en mesure d’espionner les autres utilisateurs d’un point d’accès ouvert, comme on en trouve dans les cafés, les hôtels et autres zones publiques. Cet espionnage peut être passif, comme la surveillance des sites web visités ou la capture d’identifiants de connexion de courrier électronique non sécurisés, ou des attaques actives, comme un détournement de session pour accéder au site Web d’un utilisateur par exemple.

WPA3-Personal offre un cryptage plus individualisé et plus sécurisé

WPA3 apporte des améliorations au cryptage Wi-Fi général, grâce à l’authentification unique (SAE) qui remplace la méthode d’authentification par clé pré-partagée (PSK) utilisée dans les versions antérieures WPA. Ce qui permet de meilleures fonctionnalités, il est donc beaucoup moins facile pour les pirates de forcer un réseau WPA3-Personal disposant d’une phrase secrète simple avec les techniques alphabétiques ou de force brute hors sites utilisées précédemment avec WPA/WPA2. Mais tout de même, il est toujours facile de deviner le mot de passe de quelqu’un s’il est trop simple et si l’on essaie de se connecter directement à un réseau Wi-Fi précis, mais ce n’est pas une méthode de piratage très efficace.

Le cryptage offert par WPA3-Personal est plus individualisé. Les utilisateurs d’un réseau WPA3-Personal ne peuvent pas espionner le trafic d’un autre utilisateur WPA3-Personal, même quand cet utilisateur a entré le mot de passe du Wi-Fi et y est connecté. En outre, si un utilisateur externe détermine le mot de passe, il n’est pas possible d’observer de manière passive un échange et de déterminer les clés de session, ce qui assure la confidentialité du trafic réseau. De plus, il n’est pas non plus possible de déchiffrer des données antérieures à un piratage.

Wi-Fi Easy Connect est une fonctionnalité optionnelle annoncée récemment qui sera probablement associée à de nombreux périphériques WPA3-Personal et pourra remplacer ou être utilisée en complément de la fonctionnalité WPS (Wi-Fi Protected Setup) fournie avec WPA / WPA2. Wi-Fi Easy Connect est conçu pour faciliter la connexion des périphériques sans écran et IoT au Wi-Fi. Cela pourra inclure une méthode de bouton similaire à WPS, ou encore ajouter des méthodes supplémentaires, comme le scan du QR code du périphérique à partir d’un smartphone, afin de le connecter en toute sécurité.

WPA3-Enterprise cible le Wi-Fi à grande échelle

Pour WPA3-Enterprise, une sécurité optionnelle de192 bits a été ajoutée pour renforcer encore plus la protection. C’est une fonctionnalité intéressante pour les entités gouvernementales, les grandes entreprises et autres environnements très sensibles. Toutefois, selon l’implémentation spécifique du serveur RADIUS, le mode de sécurité 192 bits de WPA3-Enterprise pourra nécessiter des mises à jour liées au protocole EAP du serveur RADIUS.

Wi-Fi Enhanced Open offre un cryptage pour les réseaux publics

L’une des améliorations les plus importantes apportées par la Wi-Fi Alliance est la technologie Wi-Fi Enhanced Open. Elle permet aux communications Wi-Fi des réseaux ouverts (ceux sans mot de passe ou phrase secrète) d’être cryptées de manière unique entre le point d’accès et le destinataire, en se basant sur le cryptage OWE (Opportunistic Wireless Encryption). Il utilise des cadres de gestion protégés pour sécuriser également le trafic de gestion entre le point d’accès et les machines des utilisateurs.

Wi-Fi Enhanced Open empêche les utilisateurs de s’espionner entre eux ou d’effectuer des attaques, comme des détournements de session. Tout se fait en arrière-plan, sans que l’utilisateur n’ait à entrer de mot de passe ou faire quoi que ce soit de plus que se connecter comme il avait l’habitude de la faire précédemment sur un réseau ouvert.

Bien que la fonctionnalité Enhanced Open ne fasse pas officiellement partie de la spécification WPA3, elle sera probablement ajoutée aux produits en même temps que WPA3. C’est une fonctionnalité optionnelle que les fabricants peuvent choisir ou non d’intégrer à leurs produits. De plus, la prise en charge des connexions non cryptées anciennes est également optionnelle. Il est donc possible que certains vendeurs forcent l’utilisation du Wi-Fi Enhanced Open (ou l’activent par défaut), si le WPA3 n’est pas utilisé.

L’adoption du WPA3 pourrait prendre des années

Pour ce qui est du calendrier, l’adoption généralisée du WPA3 ne se fera pas du jour au lendemain. Quelques périphériques Wi-Fi prenant en charge WPA3 devraient commencer à apparaître d’ici fin 2018, mais la prise en charge de WPA3 reste une fonctionnalité facultative et pourrait ne pas être obligatoire pour obtenir la certification Wi-Fi Alliance avant deux ans. Certains fournisseurs pourront éventuellement publier des mises à jour logicielles incluant la fonctionnalité WPA3 pour des produits existants, mais il n’y a aucune garantie. En outre, il est important de noter que certaines fonctionnalités WPA3 pourront nécessiter une mise à jour matérielle des produits.

De plus, cela pourra prendre des années avant que les consommateurs et les entreprises se mettent à jour.

Et même si un utilisateur achète un smartphone ou un ordinateur portable compatible WPA3, il ne faut pas oublier que le réseau également doit pouvoir prendre en charge la norme WPA3 pour que toutes les améliorations au niveau de la sécurité soient prises en compte, même si un périphérique WPA3 pourra toujours se connecter sur un réseau WPA2.

À domicile, les utilisateurs ont le contrôle sur leur réseau et peuvent choisir de mettre à niveau leur routeur et les appareils vers la norme WPA3. Cependant, le coût de mise à niveau pour un grand réseau fera que le délai d’adoption du standard WPA3 pour les commerces et les entreprises pourra être long. Ce sera pourra également être le cas pour les petits points d’accès Wi-Fi publics, car ce sont des services généralement gratuits. Ainsi, les utilisateurs soucieux de leur sécurité qui utilisent toujours une connexion VPN sur des réseaux publics devront probablement continuer encore de le faire pendant quelques années.

WPA3-Personal offre un mode de transition permettant une migration progressive vers un réseau WPA3-Personal tout en permettant toujours aux périphériques WPA2-Personal de se connecter. Cependant, tous les bénéfices de WPA3-Personal ne pourront être effectifs qu’une fois que ce sera le seul mode actif. La perte en termes de bénéfices et de sécurité au niveau du mode de transition est encore inconnue. Cela pourrait être l’une des raisons qui incitent certains à retarder le déploiement du réseau WPA3 jusqu’à ce qu’il y ait davantage de périphériques WPA3 pour les utilisateurs sur le marché.

Limitations potentielles du Wi-Fi Enhanced Open

Un autre problème à considérer à propos du Wi-Fi Enhanced Open est qu’il pourrait donner à certains utilisateurs un faux sentiment de sécurité. Il est important de comprendre que même si les utilisateurs reçoivent un cryptage individualisé pour les protéger contre toute surveillance indiscrète de leur trafic, la sécurité n’est pas pour autant totale. Les utilisateurs ne sont pas authentifiés comme s’ils étaient sur un réseau WPA3. Par conséquent, ils sont plus vulnérables que s’ils se connectaient à leur réseau privé à la maison, au travail ou à l’école, par exemple.

Quand vous utilisez un réseau Wi-Fi Enhanced Open, n’oubliez pas que tout ce qu’un réseau ouvert partage sur l’appareil de l’utilisateur doit toujours rester ouvert pour que d’autres s’y connectent. Et étant donné que l’accès n’est pas protégé par un mot de passe, il n’est pas imprudent d’affirmer que le Wi-Fi Enhanced Open ne changera rien au problème des faux réseaux Wi-Fi.

Actuellement, la plupart des appareils Wi-Fi n’indiquent pas clairement le type de sécurité Wi-Fi mise en place sur leur réseau. Cela pourra poser problème avec le Wi-Fi Enhanced Open, car même pour des utilisateurs avec des appareils compatibles, il est difficile de déterminer si la protection est activée sur les réseaux tiers, comme des points d’accès publics par exemple. Il incombera donc aux vendeurs et aux systèmes d’exploitation de déterminer comment ils pourraient mieux faire savoir les capacités de sécurité de leurs réseaux. Nous espérons par exemple qu’ils signaleront si Wi-Fi Enhanced Open est activé sur le réseau et qu’ils signaleront également, comme certains le font déjà, les réseaux ouverts sans aucune sécurité.

Lire la suite:
Comment Amplifier un signal WIFI
Meilleur Repeteur WIFI

Vous aimez l'article? Soutiens nous!
0

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *