WPA3, Enhanced Open, Easy Connect: trois nouveaux protocoles de la Wi-Fi Alliance
La Wi-Fi Alliance a récemment
dévoilé la plus grande mise à jour de sécurité Wi-Fi en 14 ans. Le protocole de sécurité Wi-Fi Protected Access 3 (WPA3) introduit les mises à jour indispensables du protocole WPA2 2004. Au lieu de repenser complÚtement la sécurité Wi-Fi, WPA3 se concentre sur les nouvelles technologies qui devraient combler les lacunes qui ont commencé à apparaßtre dans WPA2.
La Wi-Fi Alliance a également annoncé deux protocoles de certification supplémentaires et distincts qui sont déployés en parallÚle avec WPA3. Les protocoles Enhanced Open et Easy Connect sont indépendants de WPA3, mais améliorent la sécurité pour certains types de réseaux et de situations.
Tous les protocoles sont disponibles pour l'implĂ©mentation par les fabricants dans leurs appareils. Si WPA2 peut ĂȘtre considĂ©rĂ© comme un indicateur, ces protocoles seront finalement adoptĂ©s universellement, mais la Wi-Fi Alliance ne donne aucun calendrier selon lequel cela devrait se produire. TrĂšs probablement, avec l'introduction de nouveaux appareils sur le marchĂ©, nous atteindrons finalement le stade aprĂšs lequel WPA3, Enhanced Open et Easy Connect deviendront de nouveaux piliers de sĂ©curitĂ©.
Que font tous ces nouveaux protocoles? Il y a beaucoup de détails, et puisque la plupart d'entre eux sont liés au cryptage sans fil, des mathématiques complexes sont également trouvées - mais voici une description approximative des quatre principaux changements qu'ils apporteront avec eux à la question de la sécurité sans fil.
Authentification simultanée d'égal à égal, SAE
Le plus grand changement que
WPA3 apportera. Le point le plus important de la protection du réseau survient lorsqu'un nouveau périphérique tente d'établir une connexion. L'ennemi doit rester derriÚre les portes, donc WPA2 et WPA3 accordent beaucoup d'attention à l'authentification de nouvelles connexions et à ce qu'elles ne soient pas tentées par le pirate pour y accéder.
SAE est une nouvelle méthode d'authentification pour un appareil essayant de se connecter à un réseau. SAE est une variante du soi-disant
poignĂ©e de main libellule , qui utilise la cryptographie pour empĂȘcher un attaquant de deviner le mot de passe. Il explique comment exactement un nouvel appareil, ou utilisateur, devrait «saluer» un routeur rĂ©seau lors de l'Ă©change de clĂ©s cryptographiques.
SAE remplace la mĂ©thode de clĂ© prĂ©-partagĂ©e (clĂ© prĂ©-distribuĂ©e) utilisĂ©e depuis l'introduction de WPA2 en 2004. Le PSK est Ă©galement connu sous le nom de communication en quatre Ă©tapes, car de nombreux messages, ou «poignĂ©es de main» bidirectionnelles, doivent ĂȘtre envoyĂ©s entre le routeur et le pĂ©riphĂ©rique de connexion pour confirmer qu'ils ont convenu d'un mot de passe, tandis qu'aucun des deux cĂŽtĂ©s ne le dit Ă l'autre. . Jusqu'en 2016, le PSK semblait sĂ»r, puis une
attaque a été
lancée avec des attaques de réinstallation de clés (
KRACK ).
KRACK interrompt une sĂ©rie de poignĂ©es de main, prĂ©tendant ĂȘtre temporairement dĂ©connectĂ© du routeur. En fait, il utilise une connectivitĂ© rĂ©pĂ©titive pour analyser les poignĂ©es de main jusqu'Ă ce qu'il puisse comprendre quel Ă©tait le mot de passe. SAE bloque la possibilitĂ© d'une telle attaque, ainsi que les attaques de dictionnaire hors ligne les plus courantes, lorsqu'un ordinateur passe par des millions de mots de passe pour dĂ©terminer lequel correspond aux informations reçues lors des connexions PSK.
Comme son nom l'indique, SAE part du principe que les appareils sont égaux, au lieu de traiter un appareil comme l'envoi de demandes et le second comme l'établissement du droit de se connecter (traditionnellement, c'était un appareil essayant de se connecter et un routeur, respectivement). Chacune des parties peut envoyer une demande de connexion, puis elle commence à envoyer indépendamment ses informations d'identification, au lieu d'échanger des messages à tour de rÎle. Et sans un tel échange, l'attaque KRACK ne pourra pas «insérer un pied entre la porte et le montant», et les attaques par dictionnaire deviendront inutiles.
SAE offre une amĂ©lioration supplĂ©mentaire de la sĂ©curitĂ© que le PSK n'avait pas: le secret de transmission. Supposons qu'un attaquant accĂšde aux donnĂ©es chiffrĂ©es qu'un routeur envoie et reçoit d'Internet. Auparavant, l'attaquant pouvait enregistrer ces donnĂ©es, puis, en cas de supposition rĂ©ussie du mot de passe, les dĂ©crypter. En utilisant SAE, Ă chaque nouvelle connexion, un nouveau mot de passe de chiffrement est dĂ©fini, donc mĂȘme si l'attaquant Ă un moment donnĂ© pĂ©nĂštre dans le rĂ©seau, il ne pourra voler que le mot de passe des donnĂ©es transmises aprĂšs ce moment.
SAE est décrit dans la
norme IEEE 802.11-2016 , qui
s'Ă©tend sur plus de 3 500 pages.
Protocoles de sécurité 192 bits
WPA3-Enterprise , une version de WPA3 conçue pour une utilisation dans les institutions gouvernementales et financiÚres, ainsi que dans un environnement d'entreprise, dispose d'un cryptage 192 bits. Ce niveau de cryptage pour le routeur domestique sera excessif, mais il est logique de l'utiliser dans des réseaux qui fonctionnent avec des informations particuliÚrement sensibles.
Désormais, le Wi-Fi fonctionne avec une sécurité de 128 bits. La sécurité en 192 bits ne sera pas obligatoire - ce sera une option de configuration pour les organisations dont les réseaux en auront besoin. La Wi-Fi Alliance souligne également que les réseaux industriels doivent renforcer la sécurité sur tous les fronts: la résilience d'un systÚme est déterminée par la résilience du maillon le plus faible.
Pour garantir un niveau de sécurité approprié pour l'ensemble du réseau, du début à la fin, WPA3-Enterprise utilisera le protocole Galois / Counter Mode 256 bits pour le chiffrement, le mode d'authentification des messages hachés 384 bits pour la génération et la confirmation de la clé, et les algorithmes Diffie-Hellman à courbe elliptique échange, algorithme de signature numérique à courbe elliptique pour l'authentification par clé. Ils ont beaucoup de mathématiques complexes, mais l'avantage est que le cryptage 192 bits sera pris en charge à chaque étape.
Connexion facile
Easy Connect est une reconnaissance du grand nombre d'appareils connectĂ©s au rĂ©seau dans le monde. Et bien que, peut-ĂȘtre, tout le monde ne veuille pas avoir une maison intelligente, la personne moyenne a probablement plus d'appareils connectĂ©s Ă son routeur domestique aujourd'hui qu'en 2004. Easy Connect - une tentative de l'alliance Wi-Fi pour rendre la connexion de tous ces appareils plus intuitive.
Au lieu d'entrer un mot de passe chaque fois que vous ajoutez un appareil, les appareils auront des codes QR uniques - et chaque code d'appareil fonctionnera comme une clé publique. Pour ajouter un appareil, vous pouvez scanner le code à l'aide d'un smartphone déjà connecté au réseau.
AprÚs la numérisation, l'appareil échange des clés d'authentification avec le réseau pour établir une communication ultérieure. Le protocole Easy Connect n'est pas associé à WPA3 - les appareils certifiés doivent avoir un certificat pour WPA2, mais pas nécessairement un certificat pour WPA3.
Ouverture améliorée
Enhanced Open est un autre protocole distinct conçu pour protéger un utilisateur sur un réseau ouvert. Les réseaux ouverts - ceux que vous utilisez dans un café ou un aéroport - posent toute une série de problÚmes qui ne vous concernent généralement pas lorsque vous établissez une connexion à la maison ou au travail.
De nombreuses attaques qui se produisent sur un réseau ouvert sont passives. Lorsqu'un groupe de personnes se connecte au réseau, un attaquant peut collecter de nombreuses données en filtrant simplement les informations qui passent.
Enhanced Open utilise le Opportunistic Wireless Encryption (OWE), défini dans
Internet Engineering Task Force RFC 8110 , pour se protĂ©ger contre l'Ă©coute passive. OWE ne nĂ©cessite pas de protection d'authentification supplĂ©mentaire - il se concentre sur l'amĂ©lioration du cryptage des donnĂ©es transmises sur les rĂ©seaux publics afin d'empĂȘcher leur vol. Il empĂȘche Ă©galement les soi-disant Une simple injection de paquets [injection de paquets non sophistiquĂ©e] dans laquelle un attaquant tente de perturber le rĂ©seau en crĂ©ant et en transmettant des paquets de donnĂ©es spĂ©ciaux qui ressemblent Ă une partie du fonctionnement normal du rĂ©seau.
Enhanced Open ne fournit pas de protection d'authentification en raison de la nature de l'organisation du réseau ouvert - ils sont, par définition, destinés à un usage général. Enhanced Open a été conçu pour améliorer la protection des réseaux ouverts contre les attaques passives, afin de ne pas obliger les utilisateurs à saisir des mots de passe supplémentaires ou à suivre des étapes supplémentaires.
Il faudra au moins quelques annĂ©es avant que WPA3, Easy Connect et Enhanced Open deviennent la norme. Le WPA3 gĂ©nĂ©ralisĂ© ne se produira qu'aprĂšs le remplacement ou la mise Ă jour des routeurs. Cependant, si vous ĂȘtes prĂ©occupĂ© par la sĂ©curitĂ© de votre rĂ©seau personnel, vous pouvez remplacer votre routeur actuel par un autre qui prend en charge WPA3, dĂšs que les fabricants commencent Ă les vendre, ce qui peut arriver dans quelques mois.