En quoi WPA3 va renforcer la sécurité de nos réseaux Wifi ?
11 jan. 2018 - 08:25,
Tribune
- Charles Blanc-RolinMême si nous ne savons pas à l’avance ce que l’avenir nous réserve, nous savons en revanche qu’il y a de fortes probabilités que des vulnérabilités soient découvertes un jour.
Malgré cela, l’arrivée de ce nouveau mécanisme d’accès au réseau sans fil est une bonne nouvelle au vu des nombreuses vulnérabilités présentes dans son prédécesseur âgé de 14 ans, le mécanisme WPA2, notamment la possibilité de « casser » la clé « tranquillement » en mode déconnecté, après avoir enregistré une ré-authentification que l’attaquant à lui même provoqué, comme j’ai pu vous en parler sur le site de l’APSSIS (2) ou encore la récente découverte de la vulnérabilité Krack (3) permettant de casser le chiffrement. Tout cela n’étant pas trop rassurant pour la pérennité des accès aux DPI, LAP… depuis les terminaux sans fils de nos établissements.
Pour le moment, peu de détails techniques ont été divulgués, mais les grands principes ont été posés :
-Un chiffrement « renforcé » est annoncé, puisque l’on passerait de 128 bits à 192 bits. Mais à noter également, que l’algorithme de chiffrement actuellement utilisé AES, conçu par deux cryptologues belges se voit remplacé par un algorithme pioché dans le récent référentiel Commercial National Security Algorithm (CNSA) [4], qui a été conçu par… LA NSA ! Alors, si pendant des années ils ont réussi à cacher des vulnérabilités qu’ils avaient découvertes (et même achetés à des tiers pour certaines) dans des logiciels développés par d’autres, on peut imaginer qu’ils aient gardé quelques « backdoors » de côté dans cet algorithme de chiffrement qu’ils ont soigneusement choisi d’imposer. Au premier abord, on peut se dire que la NSA ne viendra de toute façon jamais espionner les réseaux Wifi de nos établissements, mais prions pour que, s’il y a secrets, ils restent bien secrets, car ce serait de nouvelles bombes lâchées dans la nature, comme ce fut le cas pour les révélations des outils d’espionnage de la CIA (Vault 7 & 8) (5).
- Toujours côté chiffrement, il est également prévu pour les réseaux publics, un chiffrement individuel entre chaque terminal et le point d’accès, permettant, de cloisonner les connexions et empêcher qu’une machine puisse communiquer avec une autre machine connectée à ce même réseau. Pour le moment, pas de détails techniques sur le fonctionnement.
- Un système de protection contre les attaques par force brute a également été annoncé, qui aura comme principe de bloquer l’authentification au réseau après plusieurs tentatives infructueuses.
- Un mécanisme d’authentification simplifié pour les appareils sans écrans, à l’aide d’un autre appareil, notamment pour l’IOT est annoncé, et qui dit « simple », me fait toujours un peu peur côté sécurité, il y a qu’à voir ce que cela donne avec WPS qui réduit l’authentification avec une clé pouvant aller de 8 à 63 caractères, à deux suites 4 et 3 chiffres. Attendons de voir les détails techniques.
Autre détail qui reste pour le moment flou également, c’est l’impact financier de cette petite révolution. Pourra-t-on mettre à jour les micrologiciels de certains appareils, ou sera-t-on obligés de tout remplacer ? C’est le nouveau directeur des achats du GHT qui va être content.
(1) https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements
(2) https://www.apssis.com/actualite-ssi/182/wifi-couper-le-cordon-n-est-pas-sans-risque.htm
(3) /article/2697/krack-roca-une-faille-peut-en-cacher-une-autre.html
(4) https://cryptome.org/2016/01/CNSA-Suite-and-Quantum-Computing-FAQ.pdf