802.11i

IEEE 802.11i est un amendement à la norme IEEE 802.11 ratifié le 24 juin 2004 et publié le 23 juillet de la même année. Cet amendement plus connu sous le vocable de WPA2 (nom donné par la Wi-Fi Alliance pour les matériels supportant cet amendement) traite du renforcement de la sécurité des échanges au niveau des réseaux informatiques locaux utilisant une liaison sans fil (WLAN).

Description

IEEE 802.11i définit un réseau de sécurité robuste (Robust Security Network ou RSN) comportant des améliorations par rapport au mode de sécurisation WEP (Wired Equivalent Privacy) préconisé par le standard IEEE 802.11. Cet amendement a augmenté les méthodes d'authentification et de chiffrement. La norme utilise les moyens d'authentification et de cryptage suivants :

• Le standard IEEE 802.1x qui permet de réaliser une authentification par contrôle de l'accès réseau au port (Port Based Network Access Control) et autoriser ou non une liaison physique entre un client et un point d'accès.
• Le processus de chiffrement basé sur l'algorithme AES (Advanced Encryption Standard) permettant de réaliser le mode de sécurisation WPA2.
• Le processus de chiffrement TKIP (Temporal Key Integrity Protocol) permettant d'obtenir le mode de sécurisation WPA (moins robuste que WPA2) à l'aide de clés de 128 bits dynamiques modifiées de manière aléatoire.

Authentification

L'authentification est le processus permettant à un Supplicant de s'authentifier à un Authenticator afin d'avoir accès à certains services. Dans le cas du Wifi, le Supplicant est une station (STA) cherchant à obtenir un accès à l'Internet auprès d'un point d'accès (PA). 802.11i ratifie deux méthodes d'authentifications :

• PSK : Cette authentification se base sur un secret partagé entre la STA et le PA. Tout deux sont en possession d'une clé symmetrique appelée PSK (Pre-Shared Key). L'implémentation de cette authentification est appelé WPA-Personnel par la WiFi alliance.
• 802.1X : Cette authentification se base sur le protocole IEEE 802.1X. ici l'authenticator (PA) va simplement servir de relais entre la STA et un serveur d'authentification (AS) en utilisant par exemple le protocole RADIUS (également appelé AAA). L'implémentation de cette authentification est appelé WPA-Entreprise par la WiFi Alliance.

Dans les deux cas, l'authentification se fait au moyen du protocole EAP. À l'issue de l'authentification, si cette dernière est un succès (c'est à dire qu'elle termine par un EAP-SUCCESS) la STA et l'AP sont tout deux en possession d'une clef appelée PMK (Pairwise Master Key). Cette PMK est soit la PSK (dans le cas d'une authentification basée sur PSK) soit les 256 premiers bits de la clef AAA (dans le cas d'une authentification basée sur 802.1X). La phase suivant l'authentification est appelé le 4-Way Handshake, elle consiste à la dérivation et à l'échange des des clefs unicast/multicast à partir de la clef PMK. Le 4-Way Handshake permet également de sélectionner le protocole de chiffrement qui sera utilisé pour sécuriser les communications entre la STA et l'AP.

Chiffrement

802.11i permet de définir un RSN mais est cependant retro-compatible avec l'ancien mode de sécurisation WEP. Dans cet amendement est introduit deux nouveaux procédés de chiffrement, le TKIP ainsi que le CCMP.

• WEP (Wired Equivalent Privacy) ;
• TKIP (Temporal Key Integrity Protocol) ;
• CCMP (CTR with CBC-MAC Protocol).

Il est à noter que le WEP est définit en temps pré-RSN dans la mesure où il n'offre pas une sécurité suffisante dans un réseau sans-fil. TKIP est certifié RSN et est compatible avec le matériel pré-RSN, c'est une évolution plus robuste que le WEP permettant une transition douce vers un réseau totalement RSN (Robust Secure Network). CCMP est la méthode de chiffrement la plus sûre offerte par la norme 802.11i mais n'est pas compatible avec les vieux matériels.

Voir aussi

Articles connexes

• Wi-Fi
• IEEE 802.11

Liens externes

• (en) Norme IEEE 802.11i accessible sur le site "Standards Association"
• (en) Wi-Fi Alliance

• Portail de la sécurité informatique