Wi-Fi: un GSM-bis pour la carte à puce?

Les alertes se multiplient aux Etats-Unis où la “Park Attack“ ou la “War Driving“ sont en passe de devenir une sorte de sport national. Depuis les rues et parkings attenant aux immeubles des grandes companies ou des centres d’affaires équipés de réseaux d’entreprise sans fil, un “jeu“ fait fureur. Il consiste à trouver une brèche dans ces réseaux pour s’y connecter et, ni vu ni connu, s’y livrer à toutes les activités d’un utilisateur autorisé. Un jeu qui est à la portée d’un simple ordinateur portable (ou d’un PDA bien équipé), de logiciels un peu spécialisés (on les trouve sur Internet) et d’une d’antenne aménagée pour amplifier le signal reçu et trouver la meilleure position de réception. En couplant à cette installation des équipements GPS embarqués dans un véhicule, la localisation des sites accessibles peut se faire à une échelle encore plus large: les cellules de base de ces réseaux sont aisément repérables. Avec un rayon d’émission de l’ordre de quelques centaines de mètres, elles offrent en outre de la marge pour opérer en toute discrétion. Et le coût reste abordable : zéro euros pour bien des PC déjà équipés en standard d’une carte IEEE 802.11b, ou entre de 150 ou 200 euros pour l’achat d’une PC Card. Des cartes recensant pour certaines grandes villes des Etats-Unis les postes stratégiques pour se connecter à ces réseaux, circuleraient déjà sur Internet, tandis que sur le terrain des “aficionados“ marquent à la craie (Warchalking) sur les trottoirs ou les allées leurs sites publics favoris de pointage en direction de ces réseaux privés… Le problème est suffisament sérieux pour que des équipes de police chargées de la sécurité des abords de la Maison Blanche à Washington aient été spécialement dépêchées pour veiller au grain et traiter ces problèmes par une surveillance directe sur le terrain.

Le succès du développement des réseaux sans fil 802.11 a donc un revers dont l’importance ne peut plus être ignorée. Les solutions ? Elles ont déjà fait l’objet de réflexions, de nombreuses publications, de projets et de travaux qui désignent tous un coupable: la sécurité particulièrement poreuse du système d’authentification (ou d’absence pure et simple de mécanisme d’authentification) de ce type de réseaux, en particulier le WEP (Wired Equivalent Privacy), partie intégrante de la première rédaction du standard IEEE 802.11 (voir l’encadré : un milliard de mobiles en 2003). Et les remèdes sont aussi déjà annoncés: le RSN (Robust Security Network) défini par l’IEEE et basé sur une nouvelle architecture baptisée 802.1X. Celle-ci définit notamment un certain nombre d’entités clés (client, point d’accès, et serveur d’authentification et de gestion) de tous les types de réseaux locaux qu’ils soient filaires ou sans fil, et surtout qui définit la façon de transporter sur ces réseaux (paquets IP, trames LAN) les moyens d’authentification échangés entre ces entités. Pour assurer ces mécanismes d’authentification, IEEE 802.1X emploie le protocole EAP (Extensible Authentification Protocol). Soutenu par Microsofft qui l’a implémenté en standard dans Windows XP et 2000, mais aussi par des industriels des télécoms comme Cisco et Nokia, EAP a été retenu comme protocole “cadre“ ou “parapluie“ pour utiliser de nombreuses instances d’authentification (255 théoriquement possibles), qui restent en tous états de cause “ouvertes“, laissées au choix des opérateurs de réseaux. Mais elles n’ont pas toutes la même robustesse en matière de sécurité. Il est ainsi possible avec ce protocole d’implémenter des instances utilisant un SSL logiciel amélioré (TLS), des algorithmes Kerberos, des challenges à base de MD5, ou encore des solutions faisant appel à des cartes à puce (cartes SIM, USIM ou autres).

L’industrie de la carte à puce (SchlumbergerSema et Gemplus en particulier, mais aussi, le JavaCard Forum) a donc saisi là une grande opportunité. Elle travaille ainsi depuis quelques mois à la mise au point d’un certain nombre de méthodes ou d’implémentations à base de cartes à puce EAP pour sécuriser les réseaux WLAN. Ces solutions pourraient être de bons candidats en vue de conquérir rapidement les suffrages des industriels de l’IT et membres des organisations de standardisation (IEEE et IETF). Des “drafts“ circulent déjà. Ces solutions représentent en effet des avancées importantes en matière de sécurité, mais aussi en confort d’utilisation et en qualité de service. Elles anticipent en tous cas, l’essor sans précédent que pourraient avoir ces types de réseaux en se généralisant par la multiplication des accès privés (entreprises, hôtels), à l’Internet (voir l’encadré sur la prochaine “expérience-pilote“ de Valberg). Mais rien n’est gagné. Les voies qui mènent à la normalisation et aux standards fédérateurs sont parfois impénétrables, et les techniques les plus éprouvées ont aussi besoin d’être habillées de leurs meilleurs atours pour être reconnues et acceptées. L’expertise technique doit ainsi s’accomoder d’un art bien compris de la politique. Le syndrome NIH (Not Invented Here) reste encore fort ici et là. Comme dans bien d’autres domaines, les solutions utilisant la carte à puce vont se trouver en concurrence avec d’autres alternatives, comme celles présentées, par exemple, début septembre par Intel et Verisign. Celles-ci proposent ainsi d’adapter la future plate-forme Banias d’Intel, qui intégrera directement dans le processeur des contrôleurs 802.11, à l’infrastructure PKI de Verisign (certificats Personal Trust Agent) pour offrir ainsi des moyens d’authentification forte et de signature pour les réseaux mobiles.

Quoiqu’il en soit, même si plusieurs axes de travail ou de recherche concurrents existent chez les industriels de la carte à puce, ces derniers sont conduits par une idée commune : faire exécuter les requêtes EAP par et dans une carte à puce. Un gage de sécurité par rapport où celles-ci seraient supportées de façon logicielle dans le disque dur d’un PC, par exemple. Et ces industriels font déjà front commun. Cette idée simple a en effet déjà fait l’objet d’une proposition présentée en juillet dernier au JavaCard Forum par le comité technique cette organisation. Cette API comprend quatre méthodes Java EAP (identité de l’utilisateur, choix de la méthode d’authentification, exécution des paquets EAP, calcul et stockage de clé etc.) avec leurs APDU correspondantes. Il est probable qu’elle sera intégrée rapidement au corps de spécifications de la version 2.2 de JavaCard publiée en juin dernier. SchlumbergerSema et Gemplus n’en poursuivent pas moins chacun de leurs côtés des travaux de recherche plus ou moins avancée sur des cartes embarquant un “moteur“ EAP. SchlumbergerSema, et notamment Pascal Urien du centre de recherche de Louveciennes, a déjà présenté (conférence Infosec, télécoms, e-Smart 2002 etc.) les développements en cours d’une carte SIM-IP (issus des travaux de Bull CP8 sur les technologies isimplify et Oversoft). Cette carte Internet qui ferait à terme passer aux oubliettes l’ISO 7816-3 (communication à 9,6 Kb ou au mieux à 115 kb, via les APDU) pourrait directement traiter des paquets IP de façon à pouvoir s’intégrer de façon transparente dans les applications IT. Par ailleurs, les cartes USB E-Gate (ISO 7816-3 et USB) déjà développées et commercialisées par SchlumbergerSema trouvent dans les éventuels déploiements de cartes Wi-Fi dans le monde du PC portable, un champ d’applications qui leur paraît tout à coup taillé sur mesure. Cette clé ou carte qui se connecte directement sur le port USB du PC offre en effet un facteur de forme qui convient bien aux exigences de mobilité du sans fil. Sa versalité (format SIM amovible) présente aussi l’avantage de faire le lien entre le monde de la téléphonie (GSM-GPRS, VoIP) et celui de la IT, lien qui caractérise précisément le monde du Wi-Fi. “Un PC avec VoIP et Wi-Fi n’est plus ni moins qu’un téléphone mobile“ note Pascal Urien.

C’est également sur des cartes SIM ou USIM (3G) que travaillent les équipes de R&D de Gemplus. Avec l’idée, là aussi, de leur associer des moteurs EAP. Derrière ces travaux, se dessine la perspective d’assurer à terme une continuité de service entre le monde de la téléphonie (carte SIM) et celui du Wi-Fi (moteur EAP), entre le monde du GPRS (transmission de données faible débit) et celui du Wi-Fi (à débit élevé). Une orientation qui devrait trouver des échos favorables du côté des opérateurs télécoms. Elle répond en effet aux attentes créées par les évolutions actuelles de la téléphonie mobile, et les incertitudes qui pésent de plus en plus sur l’avenir de l’UMTS. En particulier après les récentes déclarations de plusieurs grands opérateurs (NTT DoCoMo, AT&T, Smart Communications etc.) de reporter l’ouverture de leurs services 3G ou de réduire à court et moyen termes leurs objectifs d’abonnés dans ce domaine. L’accès sans fil à l’Internet rapide se fait déjà grâce à des réseaux Wi-Fi particulièrement bon marché. Alors pourquoi faire plus compliqué et surtout plus cher ? L’idée d’apporter dans les réseaux Wi-Fi une sécurité assez similaire dans son principe à celle déjà largement éprouvée du GSM, avec, en prime, une continuité de services, est séduisante. Elle paraît aujourd’hui en tous cas préférable à celle de doubler les investissements déjà consentis en licence UMTS (120 milliards d’euros pour les seuls opérateurs européens) pour ouvrir et faire fonctionner de nouveaux services. Mais il reste encore beaucoup à faire pour spécifier, tester et valider ces solutions. “Il y a un gros travail en cours sur la sécurité et l’architecture“ précise Augustin Farrugia, l’un des ingénieurs du centre de R&D de Gemplus qui rappelle que ces travaux contribuent en outre activement à des projets initiés par ailleurs par Nokia. Il convient en effet de veiller, en mettant en relation le monde peu sûr du PC à celui assez sécurisé du GSM, à ne pas rendre le second vulnérable à cause de failles exploitées dans le premier.

L’architecture 802.1X offre des similitudes avec celle du GSM. Toutes deux reposent en effet sur trois entités : l’utilisateur final du PC ou du mobile, le point d’accès ou la station de base, et enfin le serveur d’authentification, de gestion et éventuellement de “card management“. Une différence pourtant: dans le GSM, l’identité de l’utilisateur, une sorte d’adresse internet, est unique et fournie par l’opérateur (IMSI) tandis que EAP offre 7 identités possibles, qui chacune peuvent être attachées à un type de réseaux ou de serveurs. La carte à puce paraît bien adaptée (contrairement à des solutions physiquement attachées au PC) à la gestion de ces identités et à leur portabilité sur toute machine réliée à un réseau. Elle offre, du coup, un moyen sans précédent (comme dans le GSM) pour les opérateurs de réseaux de contrôler les accès à leurs réseaux (avec facturation transparente) en créant une relation directe et personnalisée (grâce à la carte) avec leurs clients. Avec à la clé des possibilités de “roaming“ (également comme dans le GSM via des accords entre opérateurs) transparents dans les différents réseaux. Ces capacités de se connecter sur n’importe quel réseau sont assurées dans le 802.1X par le réseau de serveurs d’authentification Radius.Se connecter à Washington ou à Shangai, dans son bureau ou chez soi, dans un aéroport ou un hôtel, un restaurant ou dans la rue, deviendra possible avec un simple porte-clés USB ou une carte à puce. Ces capacités de roaming sécurisé du Wi-Fi ajoutent donc un confort d’utilisation encore accru à la flexibilité d’utilisation déjà apportée par la carte à puce. Elles apportent aussi aux opérateurs (ISP) un modèle économique qui a fait ses preuves.

Les réseaux Wi-Fi se sont très vite multipliés aux Etats-Unis et moins rapidement en Europe où ils se sont à ce jour surtout développés pour les applications d’identification automatique dans la grande distribution, les transports et la logistique. Mais les réseaux d’entreprise se mettent peu à peu en place, et l’on estime à un bon millier le nombre de points d’accès publics “hotspots“ (gares, aéroports, etc.) déployés en Europe, et un nombre sans doute supérieur de “workspots“, des zones d’accès Wi-Fi réservées à des applications professionnelles (en maintenance notamment). Et les choses vont vite, puisque les communes pourraient avoir la possibilité à l’avenir de devenir des opérateurs de ce type de réseaux. La commune de Valberg, près de Nice, fait figure dans ce domaine de pionnier. A l’initiative, en particulier, de Michel Kœnig, maître de conférences à l’Université de Nice Sophia Antipolis, enseignant en informatique et technologies cartes à puce, elle a lancé depuis le tout début février la première expérimentation d’une carte à puce Wi-Fi. Cette dernière (une clé USB e-gate de SchlumbergerSema) qui se connecte de façon transparente sur le port USB d’un PC portable utilise un protocole encore propriétaire pour accéder de façon sécurisée au réseau sans fil. Elle embarquera dans un second temps un moteur EAP (Extensible Authentification Protocol). Une expérimentation qui met en évidence les ressources du sans fil dans le désenclavement des communes de montagne, et de la carte à puce comme moyen fort d’authentification.

Les marchés du Wi-Fi (802.11b) sont en train d’exploser. Avec un taux de croissance de l’ordre de 100% pour 2001-2002 mais qui devrait se stabiliser autour de 85% par an au cours des trois prochaines années, Forward Computers (Phoenix), une société d’études, prévoit que le nombre de cartes de communication Wi-Fi atteindrait quelque 138,7 millions en 2006. Il s’agit de cartes au format PC Card mais aussi SD et CF Card (comme celles de Sandisk) pour les PC portables, les PDA, voire certains appareils photos, et les terminaux industriels de collecte de données. Mais pour dresser un tableau complet du nombre d’équipements Wi-Fi déployés dans le monde, il faudra aussi bientôt compter tous les microprocesseurs, à l’instar de ceux que Intel (Banias à base de X-Scale) prévoit de commercialiser sous peu, qui intègreront directement dans la puce des fonctions Wi-Fi. Il faudra sans doute comptabiliser ensuite les cartes répondant au standard 802.11a qui offre déjà dans la bande des 5 GHZ des débits de 54 Mbit/s (contre 11 Mbit/s pour le Wi-Fi 802.11b), mais aussi les cartes 802.11g, le futur standard fédérateur des réseaux sans fil à haut débit. Et ajouter encore les cartes WMAN (Wireless Metropolitan-area Networks) répondant aux spécifications 802.16a (2 GHz à 11 GHz) qui viennent d’être approuvées par l’IEEE.

Réseaux d’entreprise, de campus ou de “hotspots“ (centres d’affaires, aéroports, hôtels), tels ont les trois grands marchés du Wi-Fi sécurisé grâce à des cartes à puce que vise la toute nouvelle société Ucopia. Créée cette année par le créateur de plusieurs entreprises dans le monde de la TV et de l’internet et des universitaires (IETF et chercheurs de l’INRIA), issue du LIP6, le laboratoire d’informatique de Paris 6, cette start-up est sans doute aujourd’hui l’une des seules à offrir des solutions complètes pour déployer des réseaux Wi-Fi sécurisés. Elle a développé trois modules qui sont commercialisés sous forme de licences. Un module d’administration (au niveau du serveur de réseau) capable de supporter toutes les opérations de “back office“: définition des droits des utilisateurs, des ressources et des services du réseau, “card management“, et exploitation des informations des base de données du système. Le module de “mobilité“ (entre le serveur et le point d’accès) est chargé des procédures d’authentification, des services de cryptographie, de gestion de la qualité de service et de la définition de la granularité des droits d’accès. Le module “client“ enfin est constitué d’une carte à puce (la carte Java Cyberflex Palmera de SchlumbergerSema) qui embarque des applets de sécurité (PIN, authentification, chiffrement), et d’un “middelware“ qui tourne dans le terminal (lecteur) pour assurer les échanges entre la carte et l’ordinateur hôte.