See also ebooksgratis.com: no banners, no cookies, totally FREE.

CLASSICISTRANIERI HOME PAGE - YOUTUBE CHANNEL
Privacy Policy Cookie Policy Terms and Conditions
Wi-Fi Protected Access - Wikipédia

Wi-Fi Protected Access

Un article de Wikipédia, l'encyclopédie libre.

Wi-Fi Protected Access (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans-fil de type Wi-Fi. Ils ont été créés en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. WPA respecte la majorité de la norme IEEE 802.11i et a été prévu comme une solution intermédiaire pour remplacer le WEP en attendant que la norme 802.11i soit terminée. WPA a été conçu pour fonctionner, après mise à jour de leur micro-logiciel, avec toutes les cartes Wi-Fi, mais pas nécessairement avec la première génération des points d'accès Wi-Fi. WPA2 quant à lui respecte la norme entière, mais ne peut pas être implémenté sur les matériels anciens. Les deux mécanismes fournissent une bonne sécurité, si l'on respecte deux points importants :

  • L'utilisateur doit encore souvent faire le choix explicite d'activer WPA ou WPA2 en remplacement du WEP, car le WEP reste habituellement le choix de chiffrement par défaut sur la plupart des équipements.
  • lorsque le mode Personal (le choix le plus probable pour les individuels et les PME) est utilisé, une phrase secrète plus longue que les classiques mots de passe de 6 à 8 caractères utilisés par les utilisateurs est nécessaire pour assurer une sécurité complète.

Sommaire

[modifier] Historique

WPA a été créé par la Wi-Fi Alliance, une association d'entreprises, qui possède les droits sur le sigle Wi-Fi et qui certifie le matériel portant ce sigle. Les certifications des implantations du WPA ont commencé en avril 2003 et sont devenues obligatoires en novembre 2003. La norme 802.11i complète a été ratifiée en juin 2004.

WPA a été conçu pour être utilisé en collaboration avec un serveur d'identification 802.1X chargé de distribuer les différentes clés à chaque utilisateur. Cependant, il peut aussi être utilisé dans un mode moins sécurisé, appelé pre-shared key (PSK), dans lequel tous les utilisateurs partagent une même phrase secrète. La Wi-Fi Alliance désigne la version pre-shared key, WPA-Personal ou WPA2-Personal et la version avec identification 802.1X WPA-Enterprise ou WPA2-Enterprise.

Les données sont chiffrées en utilisant l'algorithme de chiffrement par flot RC4, avec une clé de 128 bits et un vecteur d'initialisation (initialization vector ou IV en anglais) de 48 bits. Une des améliorations majeures du WPA par rapport au WEP est le protocole Temporal Key Integrity Protocol (TKIP), qui échange de manière dynamique les clés lors de l'utilisation du système. Ce protocole, associé au vecteur d'initialisation beaucoup plus grand que dans le WEP, empêche certaines attaques sur WEP aujourd'hui bien connues.

Le protocole TKIP s'avère en fin de compte possible à contourner. Cela nécessite beaucoup de temps : quelques minutes de capture de paquets et de l'ordre de 30 000 jours de calcul sur un Pentium IV. Cependant il est possible d'accélérer la recherche en utilisant le calcul distribué, grâce à des clusters ou des machines zombies. Le protocole CCMP, utilisé dans WPA2, est donc à préférer.

En plus de l'identification et du chiffrement, WPA garantit aussi une intégrité nettement améliorée des données. Le cyclic redundancy check (CRC) utilisé pour le WEP est, de manière intrinsèque, peu sûr : il est possible d'altérer les données et de mettre à jour le CRC du message sans connaître la clé WEP. Un algorithme d'identification des messages (message authentication code ou MAC en anglais, mais appelé MIC pour Message Integrity Code dans le cadre du WPA) plus sécurisé est utilisé pour le WPA : il s'agit d'un algorithme prénommé « Michael ». Le MIC utilisé pour le WPA inclut, de plus, un compteur de trame qui empêche les attaques par rejeu, une autre faiblesse du WEP.

Le WPA a été conçu comme une étape intermédiaire sur le chemin vers une meilleure sécurité de la norme 802.11. Ceci pour deux raisons. Premièrement, le travail sur la norme 802.11i a duré beaucoup plus longtemps que prévu, s'étalant sur quatre ans pendant lesquels l'inquiétude au sujet de la sécurité des réseaux sans fil allait grandissante. Deuxièmement, il rassemble, dans un sous-ensemble de la norme 802.11i, les éléments qui sont compatibles avec le WEP des tous premiers adaptateurs 802.11b. Des mises à jour WPA ont été fournies pour la très grande majorité des cartes Wi-Fi déjà existantes. Les points d'accès vendus avant 2003 ont généralement besoin d'être remplacés.

En augmentant la taille des clés et des vecteurs d'initialisation, en réduisant le nombre de paquets envoyés avec des clés (re)liées, et en ajoutant un mécanisme d'identification des messages, le WPA rend la pénétration d'un réseau local sans fil beaucoup plus difficile. L'algorithme Michael est l'algorithme le plus résistant que les concepteurs du WPA pouvaient inclure sans abandonner la compatibilité avec la plupart des anciennes cartes réseaux. Cependant, cet algorithme est sujet à une attaque par contrefaçon de paquets. Pour limiter ce risque, les réseaux WPA s'arrêtent pendant 30 secondes dès qu'une tentative d'attaque est détectée.

[modifier] WPA2

WPA2 est la version de la norme IEEE 802.11i certifiée par la Wi-Fi Alliance. WPA2 inclut tous les éléments obligatoires de la norme 802.11i[1]. En particulier, WPA2 utilise un chiffrement basé sur AES plutôt que sur RC4. Le protocole basé sur AES, CCMP, est considéré comme complètement sécurisé : en mai 2004, le NIST (National Institute of Standards and Technology) l'a approuvé.

La prise en charge officielle de WPA2 dans Microsoft Windows XP a été annoncée[2] le 1er mai 2005. Une mise à jour des pilotes pour cartes réseau peut s'avérer nécessaire. Apple, Inc. prend en charge le WPA2 sur tous les Macintoshs comportant une carte AirPort Extreme, sur l' AirPort Extreme Base Station, et l' AirPort Express. Les mises à jour du firmware nécessaires sont incluses dans AirPort 4.2, sorti le 14 juillet 2005.

[modifier] La sécurité dans le mode pre-shared key

Le mode pre-shared key (PSK, aussi connu comme Personal mode) a été conçu pour les réseaux individuels ou de PME qui ne peuvent se permettre le coût et la complexité d'une solution utilisant un serveur d'identification 802.1X. Chaque utilisateur doit saisir une phrase secrète pour accéder au réseau. La phrase secrète peut contenir de 8 à 63 caractères ASCII ou 64 symboles hexadécimaux (256 bits). Une clé donnée sous la forme de caractères ASCII est convertie vers la clé de 256 bits grâce à une fonction de hachage cryptographique (la Pairwise Master Key, PMK). Utiliser une suite aléatoire de caractères hexadécimaux reste plus sûr (en effet, une passphrase reste, toutes proportions gardées, sujette à une attaque par dictionnaire), mais la clé est alors plus difficile à écrire et à retenir. La plupart des systèmes d'exploitation permettent à l'utilisateur de stocker la phrase secrète sur l'ordinateur afin de ne pas avoir à la saisir à nouveau mais cependant sous forme PMK, c'est-à-dire déjà hachée. La phrase secrète doit rester stockée dans le point d'accès Wi-Fi.

La sécurité est renforcée par l'emploi d'une fonction PBKDF2 de génération de clés dérivées. Cependant, les phrases secrètes que les utilisateurs ont l'habitude d'utiliser rendent le système vulnérable aux attaques sur les mots de passe. Des programmes réalisant ce type d'attaque sont disponibles sur Internet, c'est le cas de WPA Cracker[3]. Ces attaques peuvent être contrecarrées en utilisant conjointement à WPA et à WPA2 un secret d'au moins 5 mots générés par la méthode Diceware ou 14 caractères complètement aléatoires. Pour une sécurité maximum, 8 mots générés par la méthode Diceware ou 22 caractères aléatoires devraient être utilisés. Les phrases secrètes devraient, de plus, être changées dès qu'une personne ayant un accès au réseau n'est plus autorisée à l'utiliser ou bien dès qu'un équipement connecté au réseau est perdu ou compromis.

Certains constructeurs ont tenté d'éviter l'emploi par les utilisateurs de phrases secrètes faibles en fournissant une procédure permettant de générer et de distribuer des clés robustes. Cette procédure est accessible par le biais d'une interface logicielle ou matérielle utilisant un mécanisme externe pour ajouter un adaptateur Wi-Fi à un réseau. Ces mécanismes incluent la pression d'un bouton (pour Broadcom SecureEasySetup[4] et Buffalo AirStation One-Touch Secure Setup[5]) et la saisie logicielle d'un challenge (pour Atheros JumpStart[6]).

Note : le ^ de l'ASCII correspond à l'accent circonflexe (touche tréma/accent circonflexe), et pas au sigle exposant de la touche 9. Pour l'utiliser dans une clé WPA, il faudra appuyer deux fois à la suite sur la touche tréma/accent circonflexe, ce qui donnera ^, et pas une fois sur les touches AltGr + touche 9.

[modifier] Les différents mécanismes EAP disponibles pour WPA-Enterprise et WPA2-Enterprise

La Wi-Fi Alliance a annoncé l'inclusion de mécanismes EAP (Extensible Authentication Protocol) supplémentaires dans son programme de certification pour les modes WPA-Enterprise et WPA2-Enterprise. Ainsi, a-t-on la certitude que les produits certifiés WPA-Enterprise peuvent interopérer entre eux. Auparavant, seul le mécanisme EAP-TLS (Transport Layer Security) était certifié par la Wi-Fi Alliance.

Les différents mécanismes EAP inclus dans le programme de certification sont :

D'autres mécanismes EAP peuvent être supportés par les clients et les serveurs 802.1X. Cette certification est une tentative pour faire interopérer les mécanismes EAP les plus courants. L'échec de la Wi-Fi Alliance à réaliser cette interopérabilité est actuellement un des problèmes majeurs empêchant le déploiement de solutions 802.1X au sein de réseaux hétérogènes.

[modifier] Voir aussi

Références
  1. (en) Le WPA2 inclut les éléments obligatoires de la norme 802.11i
  2. (en) Annonce de la prise en charge de WPA2 dans Windows XP
  3. (en) WPA Cracker (site temporairement inactive)
  4. (en) Broadcom SecureEasySetup
  5. (en) Buffalo AirStation One-Touch Secure Setup
  6. (en) Atheros JumpStart
Sources
Liens externes


aa - ab - af - ak - als - am - an - ang - ar - arc - as - ast - av - ay - az - ba - bar - bat_smg - bcl - be - be_x_old - bg - bh - bi - bm - bn - bo - bpy - br - bs - bug - bxr - ca - cbk_zam - cdo - ce - ceb - ch - cho - chr - chy - co - cr - crh - cs - csb - cu - cv - cy - da - de - diq - dsb - dv - dz - ee - el - eml - en - eo - es - et - eu - ext - fa - ff - fi - fiu_vro - fj - fo - fr - frp - fur - fy - ga - gan - gd - gl - glk - gn - got - gu - gv - ha - hak - haw - he - hi - hif - ho - hr - hsb - ht - hu - hy - hz - ia - id - ie - ig - ii - ik - ilo - io - is - it - iu - ja - jbo - jv - ka - kaa - kab - kg - ki - kj - kk - kl - km - kn - ko - kr - ks - ksh - ku - kv - kw - ky - la - lad - lb - lbe - lg - li - lij - lmo - ln - lo - lt - lv - map_bms - mdf - mg - mh - mi - mk - ml - mn - mo - mr - mt - mus - my - myv - mzn - na - nah - nap - nds - nds_nl - ne - new - ng - nl - nn - no - nov - nrm - nv - ny - oc - om - or - os - pa - pag - pam - pap - pdc - pi - pih - pl - pms - ps - pt - qu - quality - rm - rmy - rn - ro - roa_rup - roa_tara - ru - rw - sa - sah - sc - scn - sco - sd - se - sg - sh - si - simple - sk - sl - sm - sn - so - sr - srn - ss - st - stq - su - sv - sw - szl - ta - te - tet - tg - th - ti - tk - tl - tlh - tn - to - tpi - tr - ts - tt - tum - tw - ty - udm - ug - uk - ur - uz - ve - vec - vi - vls - vo - wa - war - wo - wuu - xal - xh - yi - yo - za - zea - zh - zh_classical - zh_min_nan - zh_yue - zu -