Par Thomas

Quelques éléments de réponse sur le WPA :
Le WPA semble être la nouvelle évolution pour sécuriser son réseau sans fil d’une meilleure façon que le WEP, en attendant le 802.11i.
Il reste aux constructeurs de rendre disponibles des firmwares et pilotes pour mettre à jour leur matériel (AP ou cartes sans fil) pour que le tout soit compatible avec le WPA.
Pour que le WPA puisse être installé, il faut que le SP1 (service pack) de Windows XP soit installé.
A ce jour, le WPA semble n’être disponible que pour Windows XP/2000.
Le WPA permet un meilleur cryptage de données qu’avec le WEP car il utilise des clés TKIP (Temporal Key Integrity Protocol). Le WPA permet l’authentification des utilisateurs grâce au 802.1x et l’EAP (Extensible Authentification Protocol).

Le WPA ne pourra donc être utilisé que lorsque les constructeurs auront sorti des mises-à-jour (firmware et drivers) pour leur matériel.
Il faut également que le matériel sans fil puisse exploiter l’infrastructure d’authentification 802.1x, déjà présent dans Windows XP.

Vus les nombreux articles sur les défauts du WEP, il semble que le WPA soit un bon remplacant en attendant des sécurités encore meilleures avec le 802.11i
De plus, le WPA sera compatible avec le 802.11i, puisque intégré à ce dernier. En effet, le 802.11i n’est pas encore finalisé.
Pour résumer, le WPA améliore le cryptage et permet une authentification simple mais efficace, même dans un réseau personnel.
Le WPA fonctionne dans les réseaux 802.11a, 802.11b et 802.11g.
Le WPA permet d’utiliser une clé par ordinateur connecté à un réseau sans fil sécurisé, alors que le WEP utilise la même clé pour tout le réseau sans fil. En effet, les clés WPA sont générées et distribuées de façon automatique par le point d’accès sans fil compatible WPA.
De plus, un vérificateur de données permettra de vérifier l’intégrité des informations reçues pour être sûr que personne ne les a modifiées.

Pourquoi le WEP n’est pas actif sur la plupart des réseaux sans fil ? Parce que la méthode d’administration est très contraignante. En effet, il faut modifier à la main la clé WEP de chaque ordinateur, en prenant en compte les différentes possibilités de saisie des clés selon le constructeur et le matériel : clé hexadécimale, clé ascii, passphrases alphanumériques … Dans
un petit réseau personnel, ce n’est pas vraiment un problème (quoique), mais dans un réseau d’entreprise …
Le WPA permet donc de s’affranchir de cette contrainte, avec la génération et distribution automatique des clés.
Le WEP dégrade les performances réseau, pouvant réduire le débit de près de 50% que s’il n’était pas utilisé.

Le TKIP part d’une clé maître avec laquelle il génère des clés dérivées qui seront changées régulièrement, tout cela de façon automatique.
Il reste à voir si le TKIP réduira les performances réseau, comme on le constate avec l’utilisation du WEP. Il semblerait que les retards de la mise en place du WPA soient en partie dû à cette question sur la dégradation des performances. Reste à voir avec les différents chipsets exploitant le WPA.

La grande nouveauté avec le WPA est la possibilité d’authentifier les utilisateurs d’un réseau sans fil plus simplement qu’avec les solutions existantes à ce jour.
En effet, il existe deux modes d’authentification avec le WPA : le mode entreprise et le mode personnel.
Le premier mode nécessite un serveur central qui répertorie les utilisateurs (comme avec un serveur RADIUS par exemple). Mais il n’est pas adapté à un réseau personnel, car il faut un ordinateur exprès, ce qui coûte cher, et il faut les connaissances pour mettre en place ce type de solution (sous Linux).
Le deuxième mode permet une méthode simplifiée d’authentification des utilisateurs sans utiliser un serveur central. Ce mode s’appelle également PSK (Pre-Shared Key). Il s’agit de saisir un mot de passe alphanumérique (plus besoin de savoir si c’est une clé hexa, ascii, passphrase, …). Le
TKIP s’occupera alors de la génération et du changement des clés automatiquement.

Que manque-t-il au WPA pour qu’il devienne le 802.11i ?
Il manque en fait :
– SSID sécurisé
– déconnexion rapide et sécurisé
– dé-authentification et dé-association sécurisée
– meilleurs protocoles de cryptage tel que AES-CCMP

La norme 802.11i devait être ratifiée fin 2003. Il me semble qu’avec l’arrivée du WPA, le 802.11i sera plutôt ratifiée fin 2004.

Le Wi-Fi Alliance doit tester les produits afin de les certifier « compatible WPA » d’ici quelques semaines, et dès la fin 2003 obligera les constructeurs à rendre leur matériel compatible WPA afin d’être certifié Wi-Fi.

Le WPA me semble donc être le remplacant du WEP, reste à ce que tous les constructeurs permettent la mise-à-jour facile et rapide de tout leur matériel.

Mise-à-jour :

Le TKIP rajoute par rapport au WEP :
– vecteur d’initialisation de 48-bit : le WEP n’utilise qu’un vecteur d’initialisation de 24-bit. Le crackage de la clé WEP provient du fait que le pirate peut déterminer la clé WEP à partir du vecteur d’initialisation de 24-bit. En utilisant un vecteur d’initialisation de 48-bit, il est bien plus difficile à déterminer.
– génération et distribution des clés : le WPA génère et distribue les clés de cryptage de façon périodique à chaque client. En fait, chaque trame utilise une nouvelle clé. Cela évite d’utiliser une même clé WEP pendant des semaines voire des mois.
– code d’intégrité du message : ce code, appelé également « Michael » (MIC : message integrity code) permet de vérifier l’intégrité de la trame. Le WEP utilise une valeur de vérification d’intégrité (ICV) de 4 octets (comme un CRC pour un fichier ZIP par exemple). Le WPA rajoute un MIC de 8 octets.

Problème du WPA :

Un problème qui subsiste est l’attaque de type déni de service (DoS). Si quelqu’un envoie au moins deux paquets chaque seconde en utilisant une clé de cryptage incorrecte, alors le point d’accès sans fil tuera toutes les connexions utilisateurs pendant une minute. C’est un mécanisme de défense
pour éviter les accès non-autorisés à un réseau protégé. Mais cela bloque tout un réseau sans fil.

(Pas encore d'évaluation)

Loading...