Err

Oxatis

Technologie WiFi, sécurité, protocoles

Les différentes technologies de sécurisation WiFi
    • WEP (Wired Equivalent Privacy) est le protocole origine de sécurité sur Wi-Fi (Septembre 1999).
      WEP s'appuie sur des mécanismes de chiffrement devenus faibles (RC4) par rapport aux attaques d'aujourd'hui: clé de 64 bits et clé statique sont des exemples de faiblesses importantes. Il existe sur le net des outils permettant de casser «assez» facilement la sécurité des réseaux sans fil utilisant le WEP.

    • WPA (Wi-Fi protected access), proposé par l'alliance Wi-Fi est apparu en avril 2003 pour attendre la nouvelle norme 802.11i de l'IEEE. WPA améliore le WEP en utilisant TKIP (qui repose sur RC4) pour améliorer le chiffrement, des clés de 128 bits dynamiques et en mettant en oeuvre l'authentification des utilisateurs Wi-Fi avec la norme 802.1x et EAP (Extensible authentication protocol).
      WPA-PSK est un mode simplifié de mise en oeuvre du WPA sans serveur Radius. 
    • WPA2 : Le consortium Wi-Fi Alliance utilise le nom commercial WPA2 pour désigner les produits conformes à la norme 802.11i
      La norme IEEE 802.11i de l'IEEE est un complément à la couche réseau (normes 802.11b ou g); Elle a été homologuée de 24 juin 2004. Elle repose sur le standard de chiffrement AES (Advanced Encryption Standard). L'AES prévoit des clés de 128, 192 et 256 bits.
      En général les vieux équipements prévus pour fonctionner à l'origine en WPA ou WEP ne supportent pas le passage en WPA2.

Évolution des technologies au cours du temps :  WEP ==> 802.1x ==> WPA ==> 802.11i (WPA2)

Mise en oeuvre, de la théorie à la pratique ...
Lors de la mise en oeuvre d'une installation WiFi il convient de ne pas s'en tenir uniquement aux performances théoriques des équipement en terme de portée et de bande passante. Très souvent, là ou la théorie ne justifie qu'un seul point d'accès, la pratique pourra en imposer un deuxième. De même, la bande passante réelle est bien souvent ramenée à la moitié de la bande passante théorique.
Lors de la mise en oeuvre de plusieurs points d'accès sur le même site, il convient de les configurer sur differents canaux WiFi afin d'éviter que les émissions se perturbent sur un même canal.

Vulnérabilité - exemple de fraude simple et parade

  • Authentification à distance: écouter ce qui se passe sur le réseau, même si "identifiant et mot de passe" sont chiffrés et ne se lisent pas en clair, il est possible de renvoyer les mêmes caractères "identifiant et mot de passe" pour se faire passer pour un autre compte
  • Parade: en plus du chiffrement "identifiant et mot de passe", il faut adjoindre l'heure d'envoi (par exemple - il y a d'autres possibilités) et chiffrer "identifiant, mot de passe, heure". Si le "pirate" répète les mêmes caractères, c'est invalide puisque l'heure ayant changé, la séquence devrait être différente avec la nouvelle heure

Les normes WiFi

  • Portée selon les protocoles : le débit décroit avec la distance, la portée est plus importante à l'extérieur sans obstacle qu'à l'intérieur
  • ProtocoleAnnéeFréquenceDébit
    Mbit/s

    Portée
    intérieure

    Portée
    extérieure

    802.11a19995 GHz54
    		35 m120m
    802.11b19992.4 GHz1135 m140m
    802.11g20032.4 GHz5438 m140m
    802.11n20092.4 GHz / 5 GHz72 à 15035 m250m
    802.11ac20135 GHz347 à 346735 m300m
Terminologie simplifiée
  • Authentification : service consistant à identifier defs utilisateurs. Souvent sous la forme "identifiant / mot de passe". Il faut distinguer l'authentification en local, et l'authentification à distance qui posent des problèmes plus complexes.
  • Contrôle d'accès : service consistant à contrôler l'accès d'utilisateurs identifiées à des applications
  • Intégrité : service consistant à valider que les données ne sont pas altérées
  • Confidentialité : service consistant à garder les données confidentielles sauf pour des utilisateurs connus et autorisés
  • Chiffrement : terme français de cryptage qui est un anglicisme. Technique permettant de rendre illisible tout message à une personne qui ne possède pas la clé de codage. Le chiffrement n'est pas un service de sécurité, c'est une technique qui sert à mettre en place les services de sécurité.
  • Chiffrement symétrique : la clé utilisée pour le codage sert aussi au décodage
  • Chiffrement asymétrique : la clé utilisée pour le codage est différente de la clé de décodage
  • Signature : identification unique d'un intervenant – par exemple l'émetteur ou le récepteur d'un message.
  • RC4 : ''Rivest Cypher 4'' Agorithme à clée symétriques de longueur variable (de 1 à 256 octets). Cependant la clée a souvent une longueur fixe de 40 bits.
  • TKIP : "Temporal Key Integrity Protocol" Protocole permettant le chiffrement et le contrôle d'intégrité des données par un renouvellement automatique des clefs de chiffrement. Il est compatible avec WEP.
  • AES : "Advanced Encryption Standard" Algorithme de chiffrement à clef symétriques de 128, 192 et 256 bits. AES remplace le DES (Data Encryption Standard) qui est devenu trop faible au regard des attaques actuelles.
  • IEEE : Institut of Electrical Electronical Engineers
  • IEEE 802.11 :Est un standard international décrivant les caractéristiques d'un réseau local sans fil (WLAN)
  • IEEE 802.11a Permet d'obtenir un haut débit (54 Mbps théoriques, 30 Mbps réels). La norme 802.11a spécifie 8 canaux radio dans la bande de fréquence des 5 GHz. Non compatible avec le 802.11b. (peu utilisé)
  • IEEE 802.11b : Est la norme la plus répandue actuellement. Elle propose un débit théorique de 11 Mbps (6 Mbps réels) avec une portée pouvant aller jusqu'à 300 mètres dans un environnement dégagé. La plage de fréquence utilisée est la bande des 2.4 GHz, avec 3 canaux radio disponibles.
  • IEEE 802.11g : Offre un haut débit (54 Mbps théoriques, 30 Mbps réels) sur la bande de fréquence des 2.4 GHz. La norme 802.11g a une compatibilité ascendante avec la norme 802.11b, ce qui signifie que des matériels conformes à la norme 802.11g peuvent fonctionner en 802.11b
  • EEE 802.11n : Offre un haut débit théorique de 270Mbps dans la bande des des 2,4 GHz ou 5 GHz
  • IEEE 802.11i : est un complément à la couche réseau (normes 802.11b ou g); elle a été homologuée de 24 juin 2004. Elle repose sur le standard de chiffrement AES (Advanced Encryption Standart) en reprenant les principes de gestion des clés du WPA. L'AES prévoit des clés de 128, 192 et 256 bits. L'AES fonctionne au-dessus du WEP, qui ne disparaît pas.
  • IEEE 802.1x :Normalisation d'authentification. Pendant la phase d'authentification, la station ne peut accéder qu'au serveur d'authentification (serveur Radius par exemple). Une fois l'authentification acceptée, les communications vers le réseau sont permises en fonction des accès accordés. Chaque client a une clé spécifique, les clés peuvent être renouvelées.

Quelques liens utiles

 

Devis en ligne

Gratuit

Contactez-nous :

+33 (0)4 79 70 88 12

Matériel pour les

professionnels