WPA3, Enhanced Open, Easy Connect, le trio gagnant des nouveaux protocoles de sécurité mis en place par l’Alliance Wi-Fi, apporte de nouvelles techniques pour combler les failles critiques du précédent protocole de chiffrement.
Récemment, le Wi-Fi a subi la plus grande mise à jour de sécurité jamais réalisée depuis 14 ans. Il s’agit de la troisième version du protocole de la certification de sécurité WPA3 (Wi-Fi Protected Access) qui fournit des mises à jour indispensables à la version précédente WPA2, introduite en 2004. Plutôt que de refondre en profondeur les capacités de sécurité du Wi-Fi, le protocole WPA3 inaugure de nouvelles techniques pour combler les failles critiques (non corrigées) découvertes sur le WPA2 et qui étaient à l’origine des récentes attaques destinées à voler des données ou, purement et simplement, à saboter des systèmes d’information. L’Alliance Wi-Fi a également annoncé deux nouveaux protocoles de certification visant à renforcer les performances sécuritaires du WPA3. Il s’agit des protocoles Enhanced Open et Easy Connect qui disposent d’une capacité d’amélioration du niveau de sécurité totalement indépendante de celle du WPA3 et dont le fonctionnement s’effectue sur les réseaux spécifiques et dans certaines situations d’authentification. Ainsi, ces nouveaux protocoles de certification traitent, pour la première fois, du cryptage sans fil exigeant des calculs intensifs de traitement de paquets de données capables de résoudre les problèmes de la sécurité sans fil. Le protocole WPA3 englobe une nouvelle méthode d’authentification d’un périphérique essayant de se connecter à un réseau. Baptisée SAE (Simultaneous Authentication of Equals), cette solution utilise la cryptographie pour empêcher un hacker de deviner le mot de passe d’un utilisateur. Le système SAE propose une manière d’échange, plus sécurisée, des clés cryptographiques entre le terminal de l’usager et le routeur d’accès au réseau. Ce système remplace la technique des clés pré-partagées PSK (Pre-Shared Key) utilisée par le WPA2, depuis l’année 2004 jusqu’au 17 octobre 2017, date de l’apparition de la faille Krack (Key Reinstallation Attack) qui permet de décrypter toutes les données transmises en Wi-Fi depuis des téléphones mobiles, ordinateurs, tablettes, etc. Cette faille Krack permet à un attaquant, situé à proximité du terminal d’un utilisateur, de lui simuler une perte temporaire de sa connexion au routeur et de le pousser alors à effectuer des tentatives de connexion répétées. C’est dans ces moments de reconnexion que la technique Krack se manifeste pour analyser les «poignées de main» (handshakes). Il s’agit des nombreuses tentatives d’échange de données entre le point d’accès au réseau et le terminal de l’usager jusqu’à la validation de connexion. L’attaque consiste donc à venir perturber cette étape de validation pour récupérer les clés de cryptage et espionner ainsi le trafic circulant en Wi-Fi et récupérer des données confidentielles.
Un protocole «plus intuitif»
Appelée couramment «authentification simultanée des égaux», la technique SAE a été conçue pour bloquer ce type d’attaque, en améliorant la sécurité au moment où la clé de cryptage du mot de passe est échangée. En clair, SAE considère les éléments de la chaîne de connexion comme des égaux, c’est-à-dire que le terminal de l’utilisateur ou le routeur d’accès peuvent initier la «poignée de main» pour l’échange des informations d’authentification, d’une manière indépendante, plutôt que dans le cadre d’un «pont d’échange» bidirectionnel (aller-retour). Krack ne disposera plus alors d’une porte d’entrée à la chaîne de transmission et les attaques par dictionnaire de mot de passe seront inutiles. Ainsi, SAE offre la fonctionnalité du secret de la transmission que PSK ne propose pas dans WPA2. Avec cette technique, le mot de passe de cryptage est modifié à chaque fois qu’une connexion est établie. Si un attaquant parvient à pénétrer dans le réseau, il ne peut voler que les clés de cryptage des données transmises après cet instant d’accès. En clair, en cas d’une intrusion réussie, SAE empêche le hacker d’accéder aux données cryptées antérieures. Le protocole Easy Connect est un outil de reconnaissance du grand nombre de terminaux connectés dans le monde, que l’Alliance Wi-Fi a décidé de rendre plus intuitifs. Pour valider l’ajout d’un nœud à un réseau, Easy Connect permet d’utiliser les codes QR uniques pour l’identification des appareils plutôt que de saisir des mots de passe. Le code de chaque terminal fonctionnera comme une sorte de clé publique. Pour ajouter un appareil, il suffit de scanner le QR à l’aide d’un smartphone déjà connecté au réseau. Une fois scanné, le réseau et le périphérique échangent et authentifient les clés pour les connexions suivantes. Enhanced Open est un protocole conçu pour protéger l’usager lorsqu’il est connecté aux réseaux ouverts comme ceux des cafés, restaurants et aéroports. Cette technique sert aussi à protéger les usagers des attaques dites passives, visant à collecter les données des milliers de personnes connectées, très répandues dans les réseaux ouverts. Ce protocole est donc axé sur l’amélioration du cryptage des données envoyées vers ces réseaux ouverts, sans toutefois obliger les utilisateurs à saisir des mots de passe ou à suivre des étapes supplémentaires. Il est probable que plusieurs mois s’écouleront avant que la WPA3 ne soit normalisés. L’adoption publique de WPA3 ne pourra avoir lieu qu’une fois la mise à niveau de la totalité des routeurs actifs dans le monde soit achevée. Toutefois, les opérateurs peuvent déjà réfléchir à remplacer leurs routeurs actuels par d’autres certifiés WPA3, qui seront mis en vente au cours des prochains mois.
F. F.
