Wi-Fi protected access

Wi-Fi Protected Access (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans-fil de type Wi-Fi. Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. WPA respecte la majorité de la norme IEEE 802.11i et a été prévu comme une solution intermédiaire pour remplacer le WEP en attendant que la norme 802.11i soit terminée. WPA a été conçu pour fonctionner, après mise à jour de leur micro-logiciel, avec toutes les cartes Wi-Fi, mais pas nécessairement avec la première génération des points d'accès Wi-Fi. WPA2 quant à lui respecte la norme entière, mais ne peut pas être implémenté sur les matériels anciens. Les deux mécanismes fournissent une bonne sécurité, si l'on respecte deux points importants :

• L'utilisateur doit encore souvent faire le choix explicite d'activer WPA ou WPA2 en remplacement du WEP, car le WEP reste habituellement le choix de chiffrement par défaut sur la plupart des équipements.
• lorsque le mode Personal (le choix le plus probable pour les individuels et les PME) est utilisé, une phrase secrète plus longue que les classiques mots de passe de 6 à 8 caractères utilisés par les utilisateurs est nécessaire pour assurer une sécurité complète.

Sommaire 1 Historique 2 Faille de sécurité 3 WPA2 4 La sécurité dans le mode pre-shared key 5 Les différents mécanismes EAP disponibles pour WPA-Enterprise et WPA2-Enterprise 6 Voir aussi 6.1 Références 6.2 Sources 6.3 Liens externes

Historique

WPA a été créé par la Wi-Fi Alliance, une association d'entreprises, qui possède les droits sur le sigle Wi-Fi et qui certifie le matériel portant ce sigle. Les certifications des implantations du WPA ont commencé en avril 2003 et sont devenues obligatoires en novembre 2003. La norme 802.11i complète a été ratifiée en juin 2004.

WPA a été conçu pour être utilisé en collaboration avec un serveur d'identification 802.1X chargé de distribuer les différentes clés à chaque utilisateur. Cependant, il peut aussi être utilisé dans un mode moins sécurisé, appelé pre-shared key (PSK), dans lequel tous les utilisateurs partagent une même phrase secrète. La Wi-Fi Alliance désigne la version pre-shared key, WPA-Personal ou WPA2-Personal et la version avec identification 802.1X WPA-Enterprise ou WPA2-Enterprise.

Les données sont chiffrées en utilisant l'algorithme de chiffrement par flot RC4, avec une clé de 128 bits et un vecteur d'initialisation (initialization vector ou IV en anglais) de 48 bits. Une des améliorations majeures du WPA par rapport au WEP est le protocole Temporal Key Integrity Protocol (TKIP), qui échange de manière dynamique les clés lors de l'utilisation du système. Ce protocole, associé au vecteur d'initialisation beaucoup plus grand que dans le WEP, empêche certaines attaques sur WEP aujourd'hui bien connues.

En plus de l'identification et du chiffrement, WPA garantit aussi une intégrité nettement améliorée des données. Le cyclic redundancy check (CRC) utilisé pour le WEP est, de manière intrinsèque, peu sûr : il est possible d'altérer les données et de mettre à jour le CRC du message sans connaître la clé WEP. Un algorithme d'identification des messages (message authentication code ou MAC en anglais, mais appelé MIC pour Message Integrity Code dans le cadre du WPA) plus sécurisé est utilisé pour le WPA : il s'agit d'un algorithme prénommé « Michael ». Le MIC utilisé pour le WPA inclut, de plus, un compteur de trame qui empêche les attaques par rejeu, une autre faiblesse du WEP.

Le WPA a été conçu comme une étape intermédiaire sur le chemin vers une meilleure sécurité de la norme 802.11. Ceci pour deux raisons. Premièrement, le travail sur la norme 802.11i a duré beaucoup plus longtemps que prévu, s'étalant sur quatre ans pendant lesquels l'inquiétude au sujet de la sécurité des réseaux sans fil allait grandissante. Deuxièmement, il rassemble, dans un sous-ensemble de la norme 802.11i, les éléments qui sont compatibles avec le WEP des tous premiers adaptateurs 802.11b. Des mises à jour WPA ont été fournies pour la très grande majorité des cartes Wi-Fi déjà existantes. Les points d'accès vendus avant 2003 ont généralement besoin d'être remplacés.

En augmentant la taille des clés et des vecteurs d'initialisation, en réduisant le nombre de paquets envoyés avec des clés (re)liées, et en ajoutant un mécanisme d'identification des messages, le WPA rend la pénétration d'un réseau local sans fil beaucoup plus difficile. L'algorithme Michael est l'algorithme le plus résistant que les concepteurs du WPA pouvaient inclure sans abandonner la compatibilité avec la plupart des anciennes cartes réseaux. Cependant, cet algorithme est sujet à une attaque par contrefaçon de paquets. Pour limiter ce risque, les réseaux WPA s'arrêtent pendant 30 secondes dès qu'une tentative d'attaque est détectée.

Faille de sécurité

En novembre 2008 deux chercheurs allemands en sécurité, Éric Tews et Martin Beck, ont annoncé avoir découvert une faille de sécurité dans le protocole WPA. La faille, située au niveau de l'algorithme TKIP (Temporal Key Integrity Protocol), exploite l'architecture du protocole WPA. WPA est un protocole basé sur le protocole WEP auquel a été ajouté une seconde couche de sécurité, TKIP, au travers d'un code d'authentification de message (MAC).

TKIP se met en place après le protocole WEP, or le code MAC est contenu dans un paquet WEP, ce qui permet à un pirate informatique de l'intercepter. Une fois intercepté le paquet peut être utilisé pour récupérer le code MAC et se faire passer pour le point d'accès. Cette méthode est encore plus efficace en interceptant les paquets ARP puisque leur contenu est connu.^[1] Cette faille concerne exclusivement le protocole WPA utilisant TKIP. Les protocoles utilisant AES restent sécurisés.

Les détails concernant cette faille ont été exposés de façon détaillée durant la conférence PacSec les 12 et 13 novembre 2008 à Tokyo^[2]. Martin Beck a intégré l'outil pour exploiter cette faille dans son outil de piratage des liaisons sans fil, nommé Aircrack-ng. Il est toutefois assez facile de contrevenir à cette faille en forçant la négociation des clés toutes les deux minutes ce qui ne laisse pas assez de temps pour que l'attaque réussisse.

A la fin du mois d'Août 2009, deux japonais Masakatu Morii et Toshihiro Ohigashi mettent au point une attaque permettant, en une minute, d'écouter les communications entre le routeur et le PC. Cette attaque utilise un certificat WPA et s'opère en envoyant une grande quantité de données par le point d'accès visé. Un algorithme mathématique de leur trouvaille permet par la suite de craquer la clé WPA. Cette attaque n'affecte une fois encore que le WPA-TKIP.

Les réseaux WPA basés sur l'AES tel que le WPA2 sont pour l'instant exempt de toute faille.

WPA2

WPA2 est la version de la norme IEEE 802.11i certifiée par la Wi-Fi Alliance. WPA2 inclut tous les éléments obligatoires de la norme 802.11i^[3]. En particulier, la norme WPA2 impose le support d'un chiffrement basé sur AES. Ce protocole, CCMP, est considéré comme complètement sécurisé : en mai 2004, le NIST (National Institute of Standards and Technology) l'a approuvé.

La prise en charge officielle de WPA2 dans Microsoft Windows XP a été annoncée^[4] le 1^er mai 2005. Une mise à jour des pilotes pour cartes réseau peut s'avérer nécessaire. Apple, Inc. prend en charge le WPA2 sur tous les Macintosh comportant une carte AirPort Extreme, sur l' AirPort Extreme Base Station, et l' AirPort Express. Les mises à jour du firmware nécessaires sont incluses dans AirPort 4.2, sorti le 14 juillet 2005.

La sécurité dans le mode pre-shared key

Le mode pre-shared key (PSK, aussi connu comme Personal mode) a été conçu pour les réseaux individuels ou de PME qui ne peuvent se permettre le coût et la complexité d'une solution utilisant un serveur d'identification 802.1X. Chaque utilisateur doit saisir une phrase secrète pour accéder au réseau. La phrase secrète peut contenir de 8 à 63 caractères ASCII ou 64 symboles hexadécimaux (256 bits). Si une phrase secrète sous forme de caractères ASCII est utilisée, elle sera au préalable convertie vers une clé de 256 bits que l'on nomme Pairwise Master Key ou PMK en appliquant une fonction de dérivation de clé PBKDF2 qui utilise le SSID comme sel et 4096 itérations de HMAC-SHA1.^[5]

Utiliser une suite aléatoire de caractères hexadécimaux reste plus sûr (en effet, une passphrase reste, toutes proportions gardées, sujette à une attaque par dictionnaire), mais la clé est alors plus difficile à écrire et à retenir. La plupart des systèmes d'exploitation permettent à l'utilisateur de stocker la phrase secrète sur l'ordinateur (en règle général sous forme de PMK) afin de ne pas avoir à la saisir à nouveau. La phrase secrète doit rester stockée dans le point d'accès Wi-Fi.

Cependant, les phrases secrètes que les utilisateurs ont l'habitude d'utiliser rendent le système vulnérable aux attaques par force brute sur les mots de passe. Des programmes réalisant ce type d'attaque sur des systèmes WPA-PSK ou WPA2-PSK sont disponibles sur Internet, c'est le cas de WPA Cracker.^[6] De plus, le temps nécessaire pour réaliser une attaque peut être réduit par un facteur 20 et plus grâce à l'utilisation de technologies telles que CUDA ou OpenCL tirant partie de la puissance de traitement massivement parallèle des carte graphiques actuelles, en utilisant par exemple l'outil pyrit.^[7]

Ces attaques peuvent être contrecarrées en utilisant conjointement à WPA et à WPA2 un secret d'au moins 5 mots générés par la méthode Diceware ou 14 caractères complètement aléatoires. Pour une sécurité maximum, 8 mots générés par la méthode Diceware ou 22 caractères aléatoires devraient être utilisés. Les phrases secrètes devraient, de plus, être changées dès qu'une personne ayant un accès au réseau n'est plus autorisée à l'utiliser ou bien dès qu'un équipement connecté au réseau est perdu ou compromis.

Certains constructeurs ont tenté d'éviter l'emploi par les utilisateurs de phrases secrètes faibles en fournissant une procédure permettant de générer et de distribuer des clés robustes. Cette procédure est accessible par le biais d'une interface logicielle ou matérielle utilisant un mécanisme externe pour ajouter un adaptateur Wi-Fi à un réseau. Ces mécanismes incluent la pression d'un bouton (pour Broadcom SecureEasySetup^[8] et Buffalo AirStation One-Touch Secure Setup^[9]) et la saisie logicielle d'un challenge (pour Atheros JumpStart^[10]).

Note : le ^ de l'ASCII correspond à l'accent circonflexe (touche tréma/accent circonflexe), et pas au sigle exposant de la touche 9. Pour l'utiliser dans une clé WPA, il faudra appuyer deux fois à la suite sur la touche tréma/accent circonflexe, ce qui donnera ^, et pas une fois sur les touches AltGr + touche 9.

Les différents mécanismes EAP disponibles pour WPA-Enterprise et WPA2-Enterprise

La Wi-Fi Alliance a annoncé l'inclusion de mécanismes EAP (Extensible Authentication Protocol) supplémentaires dans son programme de certification pour les modes WPA-Enterprise et WPA2-Enterprise. Ainsi, a-t-on la certitude que les produits certifiés WPA-Enterprise peuvent interopérer entre eux. Auparavant, seul le mécanisme EAP-TLS (Transport Layer Security) était certifié par la Wi-Fi Alliance.

Les différents mécanismes EAP inclus dans le programme de certification sont :

• EAP-TLS (précédemment testé)
• EAP-TTLS/MSCHAPv2
• PEAPv0/EAP-MSCHAPv2
• PEAPv1/EAP-GTC
• EAP-SIM

D'autres mécanismes EAP peuvent être supportés par les clients et les serveurs 802.1X. Cette certification est une tentative pour faire interopérer les mécanismes EAP les plus courants. L'échec de la Wi-Fi Alliance à réaliser cette interopérabilité est actuellement un des problèmes majeurs empêchant le déploiement de solutions 802.1X au sein de réseaux hétérogènes.

Voir aussi

• wpa supplicant : une implémentation de WPA sur Linux, Windows (et BSD)
• (en) WAPI - Le controversé standard national chinois pour la sécurité des réseaux sans-fil
• (en) tinyPEAP - un serveur RADIUS léger conçu pour être embarqué dans un point d'accès sans-fil

Références

Sources

• (en) [pdf] La Wi-Fi Alliance, Wi-Fi Protected Access : sécurité robuste, normalisée et interopérable pour les réseaux Wi-Fi actuels. Lu le 1^er Mars 2004.
• (en) Forte adoption du mécanisme Wi-Fi Protected Access : la Wi-Fi Alliance prend position et rend obligatoire la sécurité WPA pour l'obtention de la certification des produits Wi-Fi. Lu le 5 janvier 2004.
• (en) Faiblesse dans le choix des phrases secrètes pour les interfaces WPA, par Robert Moskowitz. Vu le 2 mars 2004.
• (en) Communiqué de presse à propos des nouveaux mécanismes EAP supportés pour le WPA-Enterprise.

Liens externes

• (en) Page WPA de la Wi-Fi Alliance
• (en) Wi-Fi Alliance, certification d'interopérabilité

• Portail de la cryptologie
• Portail de la sécurité informatique