Un guide de la norme WiFi WPA3

Nous utilisons tous le WiFi tout le temps. Il existe plus d'appareils Wi-Fi que de personnes. C'est la façon dont la plupart d'entre nous se connectent à Internet et une grande partie de cette activité sur Internet implique la communication de données très sensibles et personnelles.

Il est donc dommage que WPA2, la norme utilisée pour protéger les données lors de leur déplacement sur les ondes radio entre votre appareil et le routeur qui le connecte à Internet, soit complètement rompu..

Un livre blanc publié en octobre dernier a démontré que chaque connexion WPA2 n'est pas sécurisée. Grâce à la vulnérabilité KRACK, toutes les données non chiffrées envoyées par WiFi sur à peu près chacun des 9 milliards d'appareils WiFi de la planète, peuvent être facilement espionnées par les pirates.

Et peut-être la chose la plus alarmante à l'époque était qu'il n'y avait rien pour la remplacer...

WPA3

Il n'est donc pas surprenant que la Wi-Fi Alliance ait récemment annoncé le lancement du successeur de WPA2, WPA3 astucieusement incliné. Non seulement il corrige la vulnérabilité KRACK, mais il résout de nombreux autres problèmes de sécurité WiFi en général qui sont devenus de plus en plus apparents depuis l'introduction de WPA2 en 2004.

WPA3

WPA3 est disponible en deux versions: WPA-Personal et WPA-Enterprise.

WPA3-Personal

KRACK fixe

La norme WPA2 grince depuis un certain temps maintenant, mais c'est la découverte de la vulnérabilité KRACK (Key Reinstallation Attack) qui a poussé la WiFi Alliance à introduire une nouvelle norme qui remet en question la sécurité WiFi.

KRACK exploite une faille dans la négociation à quatre voies utilisée pour sécuriser les connexions WPA2 aux routeurs, quelle que soit la plate-forme ou le périphérique utilisé.

Krack

WPA3 résout ce problème en utilisant à la place une prise de contact à authentification simultanée égale (SAE). Une variante du protocole d'échange de clés Dragonfy, qui remplace l'utilisation d'une clé pré-partagée (PSK) dans WPA2 et une preuve de sécurité publiée indique qu'elle est hautement sécurisée.

Meilleure sécurité par mot de passe

En remaniant la sécurité WiFi, la WiFi Alliance cherche également à nous protéger de nous-mêmes. Le plus gros problème de sécurité avec le WiFi est que la plupart des gens utilisent des mots de passe très faibles et faciles à deviner.

Et même si vous avez changé votre mot de passe, WPA2 permet à un attaquant de faire des suppositions illimitées. Cela leur permet d'effectuer une attaque par dictionnaire qui lance des milliers de mots de passe courants par minute sur votre routeur jusqu'à ce qu'il trouve le bon..

WPA3 atténue les attaques par mot de passe de deux manières. La prise de contact avec authentification simultanée d’égaux empêche les attaques par dictionnaire en empêchant un attaquant de faire plusieurs suppositions sur le mot de passe par attaque. Chaque fois qu'un mot de passe incorrect est entré, ils doivent se reconnecter au réseau afin de faire une autre supposition.

La sélection naturelle des mots de passe est une autre nouvelle fonctionnalité. On prétend que cela aidera les utilisateurs à choisir des mots de passe forts mais faciles à retenir.

Secret de transmission

Forward Secrecy signifie que chaque fois qu'une connexion WPA3 est établie, un nouvel ensemble de clés de chiffrement est généré. Si un attaquant venait à compromettre le mot de passe de votre routeur, il ne pourra pas accéder aux données qui ont déjà été transmises car elles sont protégées par différents jeux de clés.

WPA3-Enterprise

Comme son nom l'indique, WP3-Enterprise vise à fournir aux entreprises, aux gouvernements et aux institutions financières une sécurité encore plus grande.

Les données sont protégées par un chiffrement GCMP-256 256 bits, utilisant un échange de clés ECDH ou ECDSA 384 bits avec l'authentification par hachage HMAC SHA385. Les trames de gestion protégées (PMF) sont sécurisées à l'aide du code d'authentification de message Galois du protocole d'intégrité de diffusion / multidiffusion 256 bits (BIP-GMAC-256).

Fait intéressant, la WiFi Alliance décrit cette suite d'algorithmes de chiffrement comme «l'équivalent de la force cryptographique de 192 bits».

des reproches

Mathy Vanhoef est le chercheur PHD à la KU Leuven qui a découvert la vulnérabilité KRACK dans WPA2. Dans un récent article de blog, il a décrit le WPA3 comme une occasion manquée.

WPA3 n'est pas une norme en tant que telle. Il s'agit d'un programme de certification. Si un produit prend en charge et met correctement en œuvre les normes spécifiées pour WPA3, la WiFi Alliance lui accordera la certification Wi-Fi CERTIFIED WPA3 ™.

Lorsque WPA3 a été annoncé pour la première fois, il a été proposé qu'il inclue 4 normes clés:

  1. La poignée de main Dragonfly (SAE)
  2. Wi-Fi Easy Connect, une fonctionnalité qui corrige les vulnérabilités connues de la configuration Wi-Fi Protected Setup actuelle
  3. Wi-Fi Enhanced Open, visant à sécuriser l'utilisation des points d'accès Wi-Fi publics en fournissant un chiffrement non authentifié lors de la connexion à un point d'accès ouvert
  4. Cela augmenterait la taille des clés de chiffrement de session.

Dans sa forme finale, cependant, les normes 2-4 sont recommandées pour une utilisation dans les appareils WPA3 mais ne sont pas obligatoires. Pour recevoir la certification Wi-Fi CERTIFIED WPA3 ™ officielle, les fabricants doivent uniquement implémenter une négociation simultanée d'authentification égale.

Les normes Wi-Fi Easy Connect et Wi-Fi Enhanced Open obtiennent chacune leur propre certification distincte de la WiFi Alliance, tandis qu'une taille de clé de session accrue n'est requise que pour la certification WPA3-Enterprise.

«Je crains que, dans la pratique, cela signifie que les fabricants vont simplement mettre en œuvre la nouvelle poignée de main, y apposer une étiquette« certifiée WPA3 »et en finir avec [...] Cela signifie que si vous achetez un appareil compatible WPA3, il n'est nullement garanti qu'il prend en charge ces deux fonctionnalités. »

Par souci d'équité envers WiFi Alliance, la décision a probablement été prise afin d'encourager les fabricants de WiFi à adopter la norme dans les plus brefs délais en la rendant moins ardue à mettre en œuvre..

Il y a également de fortes chances que les fabricants choisissent volontairement d'inclure les normes Wi-Fi Easy Connect et Wi-Fi Enhanced Open dans leurs produits WPA3..

Quoi ensuite?

La WiFi Alliance ne s'attend pas à ce que des produits WPA3 soient disponibles à l'achat avant au moins la fin de cette année, et ne prévoit pas une large mise en œuvre avant la fin de 2020 au plus tôt..

En théorie, la plupart des produits WiFi peuvent être mis à niveau vers WPA3 via des correctifs logiciels. Il semble peu probable, cependant, que de nombreux fabricants consacrent des ressources au développement de tels correctifs pour les produits existants qui pourraient plutôt être dépensés pour développer de nouveaux produits pour le marché..

Ce n'est pas le cas de toutes les entreprises. Le fabricant de routeurs Linksys, par exemple, a confirmé son engagement à publier des mises à jour du micrologiciel WPA3 pour les «produits hérités».

Dans la plupart des cas, cependant, la mise à niveau vers WPA3 impliquera de jeter votre routeur et tous vos appareils WiFi et de les remplacer par de nouveaux équipements WPA3. Étant donné qu'il y a actuellement environ 9 milliards d'appareils compatibles WiFi sur la planète, cela ne se fera pas du jour au lendemain.

Il faudra donc probablement des années avant que l'écosystème WiFi ne se développe au point que le WPA3 puisse être considéré comme omniprésent; et d'ici là, bien sûr, nous pourrions avoir un besoin urgent d'une nouvelle norme WPA4!

WPA3 est rétrocompatible

Étant donné que WPA2 est très précaire, tout le monde devrait vraiment passer à WPA3 dès que possible. De façon réaliste, cependant, la plupart des gens ne vont pas simplement jeter leur coûteux équipement existant.

Il est donc utile que WPA3 soit rétrocompatible. Les routeurs WPA3 accepteront les connexions d'appareils plus anciens (WPA2) et les appareils WPA3 pourront se connecter à des routeurs plus anciens. Mais à moins que le routeur et le périphérique ne soient prêts pour WPA3, la connexion ne bénéficiera pas de la sécurité améliorée offerte par la nouvelle norme.

Jusqu'à ce que vous soyez entièrement compatible WPA3, nous vous recommandons donc fortement d'atténuer la vulnérabilité KRACK en exécutant une connexion VPN sur tous vos appareils WPA2 (pas le routeur lui-même).

De la même manière que l'utilisation d'un VPN vous protège lorsque vous utilisez un hotspot WiFi public, cela garantit que toutes les données voyageant entre votre appareil et le routeur sont cryptées en toute sécurité, et donc à l'abri d'une attaque KRACK.

Faire attention à ne visiter que les sites Web HTTPS atténue également le problème, mais nécessite une vigilance constante de votre part. Les systèmes de bureau peuvent être connectés à votre routeur via un câble Ethernet, ce qui les immunise contre les attaques KRACK.

Conclusion

WPA2 est cassé, donc WPA3 ne peut pas arriver assez tôt - et vous devriez l'adopter dès que possible. Il est dommage que l'ensemble original complet des normes WPA3 n'ait pas fait la coupe finale, mais si cela se traduit par une adoption rapide et large de WPA3, la décision peut être justifiée..

Les fabricants peuvent décider d'inclure les normes Wi-Fi Easy Connect et Wi-Fi Enhanced Open dans leurs produits WPA3, de toute façon.

En attendant, sachez à quel point vos connexions WiFi existantes ne sont pas sécurisées et prenez des mesures pour atténuer le problème.

Crédit d'image: par BeeBright / Shutterstock.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me