Wi-Fi : WEP est mort, vive le WPA !

Certains auront du mal à s’habituer à un nouveau sigle mais WPA n’est pas seulement la dernière trouvaille commerciale auquelle nous allons devoir nous habituer : WPA – Wi-Fi Protected Access – est le nouveau standard de sécurité pour les les réseaux locaux sans fil. Ce n’était plus un secret pour personne que les mécanismes de protection des réseaux sans fil étaient particulièrement poreux, surtout lorsqu’ils étaient peu ou mal employés. Quand l’utilisation en était réduite aux seules clés WEP (Wired Equivalent Privacy), avec des équipements peu coûteux (portable, carte Wi-Fi, et logiciel idoine, voire GPS), l’accès aux réseaux était en effet devenu un jeu d’enfants. Dans l’attente (qui semble devoir être assez longue), d’une solution standard et fiable de sécurité, dont les spécifications ont été annoncées et sont en cours d’élaboration par les autorités de normalisation (IEEE), certains constructeurs ont proposé des solutions rapidement implémentables, de façon à trouver une réponse à la situation actuelle qui laisse les réseaux Wi-Fi démunis contre les attaques (War Chalking, War Driving, Park Attack, etc.). C’est pour cette raison qu’a été défini un ensemble de spécifications qui permet d’opérer à un niveau de sécurité acceptable, tout en préparant le passage vers les normes à venir (802.11i). Le projet de Wi-Fi Protected Access, entre autres, vise à représenter une alternative sure, intéropérable au WEP, et surtout immédiatement disponible, en offrant des mises à jour des logiciels existants certifiés Wi-Fi et en s’appliquant à tous les niveaux d’utilisation. Afin d’obtenir un tel résultat, il a fallut résoudre deux aspects fondamentaux touchant à la sécurité : fournir des moyens cryptographiques fiables pour traiter les données et offir des moyens d’authentification forte de l’utilisateur, ce qui était loin d’être assuré par le WEP. Pour améliorer la cryptographie des données, WPA utilise le protocole TKIP (Temporal Key Integrity Protocol ) qui propose comme des alternatives au WEP : • Une fonction pour créer la clé temporaire de 128 bits avec des données utilisateurs (adresse MAC) • Un contrôle de l’intégrité du message • Un vecteur d’initialisation étendu (16 octects) pour générer la clé • Un mécanisme de changement automatique de clés (tous les 10 000 paquets) WPA implémente les protocoles 802.1x et l’EAP (Extensible Authentication Protocol) afin de renforcer le mécanisme d’authentification de l’utilisateur. Les deux protocoles combinés constituent une structure d’authentification forte qui fait appel un réseau de serveurs, comme par exemple le système Radius, pour authentifier chaque utilisateur sur le réseau avant que la communication n’ait lieu : elle s’appuie en outre sur un concept d’authentification mutuelle afin d’éviter le vol des certificats d’un utilisateur distrait qui se serait accidentellement connecté sur un autre réseau. Wi-Fi Protected Access sera compatible avec les normes de sécurité 802.11i actuellement en cours de développement à l’IEEE. En fait, WPA n’est qu’un sous-enemble du futur 802.11i, d’où il puise les composants déjà prêts et disponibles pour être introduits sur le marché, c’est-à-dire l’implémentation de 802.1x et de TKIP. Ces fonctionnalités peuvent s’intégrer sur presque tous les produits certifiés Wi-Fi existants, grâce à une simple mise à jour du logiciel. Les autres composants de 802.11i n’ont pas encore été complètement développés. Pour certains, il faudra même apporter des modifications à l’environnement matériel : c’est pour cette raison que la publication des spécifiques IEEE 802.11i n’est attendue que pour la fin 2003 et que le WPA (Wi-Fi Protected Access) s’est imposé aussi rapidement. Les réactions des sociétés liées aux réseaux sans fil ont été immédiates : Proxim Corporation a immédiatement annoncé son support au nouveau standard de sécurité Wi-Fi Protected Access, en en planifiant la fourniture – aux utilisateurs de produits WLAN Proxim – avec mise à jour gratuite via son propre site web dans le premier trimestre 2003. (http://www.proxim.com/about/pressroom/pressrelease/ pr2002-10-31.html) Symbol Technologies est l’une des sociétés qui a fondé la Wi-Fi Alliance. Elle est membre de la direction de celle-ci. Il n’est donc pas surprenant que la société ait aussitôt annoncé que la nouvelle solution de sécurité Wi-Fi Protected Access, serait adoptée sur les systèmes sans fil et sur la ligne de terminaux mobiles sans fil de Symbol. Wi-Fi Protected Access sera le mécanisme de sécurité standard dans la nouvelle ligne des produits Symbol : le contrôleur du système pourra envoyer les composants de sécurité spécifiques à chaque application des clients mobiles Wi-Fi via les ports d’accès du système lui-même. Symbol Technologies a participé activement au développement du WPA et continue à s’employer pour défendre la cause du IEEE 802.11i Task Group qui a comme objectif de développer intégralement le standard 802.11i. (http://www.symbol.com/news/pressreleases/ pr_finanstock_wpa.html) Agere Systems a également annoncé son support à Wi-Fi Protected Access, qui "fournit un dispositif d’authentification de l’utilisateur plus efficace ainsi qu’une protection des données dans les infrastructures actuelles de réseaux locaux sans fil, tout en représentant dans le même temps, un pas décisif dans l’évolution de la sécurité du sans fil". Agere est en train d’incorporer la spécification WPA dans sa gamme de circuits, modules et logiciels pour système sans fil LAN. La société rendra disponible gratuitement à ses clients la solution de mise à jour des logiciels pilote au cours du trimestre : en outre elle prévoit la fourniture de produits certifiés Wi-Fi Protected Access d’ici le mois de février 2003. Agere Systems est elle aussi un des fondateurs de la Wi-Fi Alliance. Elle est l’un des plus actifs soutiens des initiatives concernant les standards WPA et IEEE. (http://www.agere.com/NEWS/PRESS2002/103102a.html