[Sécuriser un réseau sans fil - Partie 1] Introduction à la sécurité du WI-FI

Par Rédaction, secuobs.com
Le 08/03/2008

---

Résumé : Même si leur insécurité n'est plus à démontrer depuis longtemps, les clés de chiffrement basées sur le WEP sont encore utilisées en grand nombre malgré l'essor des versions de WPA rendant plus robuste l'authentification d'autant plus lorsqu'elles sont couplées avec un serveur radius. - Lire l'article



NDLR : ce document a été rédigé en 2006, certaines versions ainsi que certaines configurations des logiciels utilisés selon ces versions peuvent être différentes de celles qui sont mentionnées ; merci de vous reporter vers les sites officiels des projets en question en cas de problème.


Ce n’est désormais plus un secret pour personne : baser l’ensemble de la sécurité de son infrastructure sans-fil sur une unique clef WEP partagée n’est pas viable pour un particulier, et de surcroît pour une entreprise. La première raison est conceptuelle : un secret partagé pour sécuriser un nombre important de clients ne peut être envisagé quand la sécurité est une problématique pour l’entreprise.

De plus, de part les propriétés intrinsèques du WEP, la confidentialité des données qui circulent ne peut être assurée, surtout quand il s’agit d’un environnement sans fil où tout un chacun, dans la mesure de sa proximité avec le point d’accès, est en mesure d’écouter le trafic qui circule.

Plusieurs logiciels – notamment Aircrack ( lien ) pour ne citer que le plus connu – permettent d’obtenir n’importe quelle clef WEP en moins de 50 minutes (beaucoup moins encore avec la technique utilisé par Aircrack-ptw - lien ) !

Inutile de préciser que dans ces conditions, la sécurité d’un réseau sans fil est inexistante. C’est dans cette optique, et sur la pression de plusieurs entreprises que la WiFi Alliance ( lien ) a créé le WPA ( WiFi Protected Access ), dont la principale contrainte devait d’être supportable par les équipements existants.

Cette « première version » de WPA utilise les mêmes technologies que le WEP (ce qui permet la compatibilité avec le matériel déjà acquis) à plusieurs différences près :

- Utilisation de TKIP (Temporal Key Integrity Protocol) permettant de régénérer régulièrement et dynamiquement des clefs WEP et d’éviter les collisions d’IV (Vecteurs d'initialisation) tristement connues dans différentes attaques WEP ;

- Utilisation de 802.1X pour l’accès au média


WPA2 utilise, quant à lui, CCMP (Counter Mode CBC Mac), basé sur un chiffrement symétrique AES. 802.1X utilise comme mécanisme d’authentification EAP (Extended Authentification Protocol), qui permet de choisir le type d’authentification (EAP-MD5, PEAP, LEAP, TLS, TTLS, MsCHAPv2…).

Comme nous le verrons par la suite, le choix du type d’authentification se révèle primordial.

L’authentification utilise un serveur Radius (Remote Authentification DIal-in User Service), qui sera interrogé par le point d’accès (NAS : Network Authentification Server) pour autoriser le tiers via l’utilisation d’un supplicant à se connecter sur le réseau.

La solution retenue dans ce tutoriel a le mérite d’être très intéressante d’un point de vue financier puisqu’elle ne comporte pas de coût matériel. Elle pourrait cependant être encore plus robuste en se basant notamment sur du WPA2.

Cette solution n’a pas été retenue car elle entraînerait des coûts matériels supplémentaires pour l’acquisition de cartes supportant CCMP, ce qui n'est pas le cas dans le contexte de ce document.

Par contre, dans le cas d’une nouvelle installation WiFi sans matériel préalable, l’utilisation de WPA2 avec une carte supportant CCMP sera préconisée bien évidemment.


Autres ressources disponibles dans ce dossier :

[Sécuriser un réseau sans fil - Partie 2] Installation et configuration de Freeradius – lien

[Sécuriser un réseau sans fil - Partie 3] Récapitulatif et configuration du point d'accès – lien

[Sécuriser un réseau sans fil - Partie 4] Coté clients Windows – lien

[Sécuriser un réseau sans fil - Partie 5] Coté clients Linux/*nix et conclusion – lien