AccueilCCNACCNA coursEvolution de la sécurité WiFi

Evolution de la sécurité WiFi

Dans le cha­pitre pré­cé­dent, nous avons vu les 3 points impor­tants sur la sécu­ri­té WiFi :

  • Authen­ti­fi­ca­tion : il faut que le réseau iden­ti­fie les enti­tés qui sou­haitent uti­li­ser le WiFi
  • Chif­fre­ment : il faut chif­frer les don­nées WiFi pour les rendre illi­sibles car l’in­ter­cep­tion de trames WiFi est très facile à faire et très dif­fi­cile à iden­ti­fier et à géo-localiser
  • Dis­po­ni­bi­li­té : il faut pro­té­ger l’in­fra­struc­ture contre les attaques exté­rieures car aus­si rela­ti­ve­ment facile à faire

Regar­dons en détail cha­cun de ces points, atten­tion c’est un article long, voir très long mais passionnant 🙂

Historique

La sécu­ri­té pour le WiFi a évo­lué avec le temps, allant du para­mé­trage d’une simple clé WEP, au WPA pour abou­tir à ce jour au WPA2.

Nous allons détailler cette évo­lu­tion pour en com­prendre la finalité.

Filtrage par adresse MAC

Tout d’a­bord, pour sécu­ri­ser son réseau WLAN, il est tout à fait pos­sible de défi­nir au sein de la borne WiFi une liste « blanche » d’a­dresses MAC auto­ri­sées. On dit liste « blanche » pour une liste conte­nant des adresses MAC légi­times. A contra­rio, une liste « noire » contien­dra des adresses qui seront consi­dé­rées comme illé­gi­times et donc à inter­dire. D’où le terme de site web Bla­ck­lis­té car peu recommandable.

Vous rem­plis­sez cette liste blanche de toutes les adresses MAC des cartes Wifi de vos ordi­na­teurs por­tables, Iphone, Android, Ipad, tablettes… uni­que­ment ces adresses MAC auront le droit de com­mu­ni­quer avec la borne Wifi. C’est aus­si simple que ça !

Quels sont les incon­vé­nients de cette liste blanche ?

J’en vois deux importants :

  1. il faut iden­ti­fier toutes les adresses MAC qui seront auto­ri­sées. Simple pour chez soi mais très dur à éta­blir pour une entre­prise qui intègre des cen­taines voir des mil­liers d’équipements !
  2. sans com­mu­ni­quer direc­te­ment avec la borne d’accès, un pirate peut écou­ter le tra­fic WiFi qui tran­site dans les airs. En écou­tant ce tra­fic, il peut récu­pé­rer assez faci­le­ment les adresses MAC qui dis­cutent avec la borne d’accès Il connait alors une adresse MAC qui appar­tient à la liste blanche. Que va-t-il faire avec ? Il va usur­per cette adresse MAC en la confi­gu­rant sur sa propre carte WiFi en uti­li­sant un logi­ciel spé­ci­fique qui per­met de chan­ger l’a­dresse MAC de sa carte réseau WiFi (cf pho­to ci dessous):

Le fait de récu­pé­rer toutes les adresses MAC pour les insé­rer dans une liste blanche est aus­si sécu­ri­sé que fer­mer une porte en lais­sant la clé sous le paillas­son. Per­sonne ne peut ouvrir la porte jus­qu’au moment où une per­sonne un peu futée sou­lè­ve­ra le paillasson 🙂
Donc on oublie le fil­trage par adresse MAC dans le monde entre­prise mais on le retient comme étant une pos­sible réponse pour le particulier.

Cacher le SSID

Sur cer­tains bornes WiFi, vous avez la pos­si­bi­li­té de cacher le SSID.

SSID, keza­ko ? Le SSIDSer­vice Set IDen­ti­fier – est l’i­den­ti­fiant de votre WLAN. Lorsque vous sou­hai­tez vous connec­ter à un WLAN, votre carte WiFI vous affiche dif­fé­rents WLAN qui sont dans les alen­tours. Le nom de cha­cun est appe­lé SSID. Et ce SSID est dif­fu­sé régu­liè­re­ment dans les airs par la borne pour aver­tir sa pré­sence. Ce SSID est conte­nu dans un mes­sage WiFi appe­lé un « Bea­con » (ou « Balise » en français).

Vous pou­vez acti­ver une option pour que le SSID ne soit pas dif­fu­sé dans les airs. Donc uni­que­ment ceux qui connaissent exac­te­ment le nom de votre WLAN peuvent se connec­ter en confi­gu­rant manuel­le­ment le SSID dans leur ordi­na­teur portable.

Dans les contrô­leurs WiFi de Cis­co, cette option est appe­lée « Broad­cast SSID » et il faut la déco­cher comme sur l’i­mage de droite.

Pour confi­gu­rer un WLAN sur son ordi­na­teur lorsque le SSID est caché, sélec­tion­nez « Manual­ly create a net­work Pro­file » (exemple sur Win­dows Seven anglais)

Puis dans « Net­work Name » entrez le nom de votre SSID. Si vous avez des para­mètres de sécu­ri­té (WEP, WPA…), vous devez aus­si les configurer.

Si je cache mon SSID alors suis-je vrai­ment sécurisé ?

Et bien pas du tout ! 🙂

Cacher son SSID per­met de cacher votre WLAN pour la majo­ri­té des per­sonnes novices en WiFi et c’est déjà pas mal !

En uti­li­sant un snif­feur comme Wire­shark, vous pou­vez récu­pé­rer les trames échan­gées entre un client légi­time et une borne d’accès. Et au sein de ces trames se trouve la valeur du SSID. Donc en cher­chant un peu, vous trou­ve­rez très rapi­de­ment la valeur SSID du réseau qui se veut être invisible 🙂

Il ne vous reste plus qu’a confi­gu­rer manuel­le­ment le WLAN sur votre ordi­na­teur comme explique dans les images ci-dessus.

Idem, on oublie l’op­tion de cacher le SSID dans le monde entre­prise mais on le retient comme étant une pos­sible réponse pour le particulier.
NB : chez cer­tains de mes clients, il cache le SSID dédié a la télé­pho­nie. Pour­quoi pas…

Sécurisation WEP

On a une pos­si­bi­li­té pour retreindre l’accès à la borne Wifi ain­si que de rendre les com­mu­ni­ca­tions illi­sibles entre clients légi­times et la borne d’accès : c’est l’u­ti­li­sa­tion du chif­fre­ment.

Si on défi­nit un mot de passe com­mun entre les clients et la borne d’accès alors seuls les clients qui connaissent le mot de passe peuvent tran­si­ter par la borne WiFi. Ce même mot de passe va être uti­li­sé pour chif­frer les trames WiFi pour les rendre illi­sibles pen­dant le trans­port dans les airs.

La pre­mière appli­ca­tion de cette notion de chif­fre­ment pour le WLAN s’ap­pelle la clé WEP – Wired Equi­va­len­cy Pri­va­cy. On défi­nit un mot de passe qu’on appelle (à tort) clé WEP et on la confi­gure sur la borne d’accès et sur les clients WiFi. Lors de la com­mu­ni­ca­tion, seuls ceux qui ont la bonne clé WEP sont accep­tés par la borne.

Pour reprendre l’exemple de la porte d’une mai­son, c’est comme si la borne d’accès était la porte de mai­son et la clé WEP était la clé de la ser­rure, vous dis­tri­buez la clé de la ser­rure à chaque client légi­time. Celui qui n’a pas cette clé ne peut pas ouvrir la porte. Logique et effi­cace ! Même si on va voir que ce n’est plus aujourd’­hui une bonne solu­tion de sécurité.

Remarque : beau­coup d’ad­mi­nis­tra­teurs ont la flegme de rete­nir le mot de passe alors il arrive que la clé WEP soit ins­cris sur le dos de la borne Wifi ou sur un post-it 🙂

Si on fait un sché­ma sim­pli­fié du fonc­tion­ne­ment du chif­fre­ment uti­li­sé pour une clé WEP, ce serait le suivant :

Expli­ca­tions du schéma :

  • clé secrète : c’est ici que vous défi­nis­sez votre mot de passe
  • IV pour Vec­teur d’I­ni­tia­li­sa­tion : pour ajou­ter un peu plus de com­plexi­té à votre mot de passe, l’or­di­na­teur conca­tène à la clé secrète un nombre aléa­toire qui est cal­cu­lé automatiquement
  • Géné­ra­teur : l’al­go­rithme (ici RC4) va géné­rer à par­tir de la clé secrète et de l’IV une séquence de clé. Dites vous que c’est un méga mot de passe 🙂
  • Don­nées uti­li­sa­teur : ici se trouve les don­nées uti­li­sa­teur (la trame Ether­net) à trans­fé­rer dans les airs
  • XOR : c’est la fonc­tion logique « OU exclu­sif » qui prend la séquence de clé et les don­nées uti­li­sa­teur et effec­tue un XOR entre eux
  • Le résul­tat de ce XOR donne un mes­sage binaire dit « chif­fré » car incom­pré­hen­sible
Une fois le XOR cal­cu­lé, la carte Wifi envoi les don­nées dans les airs en encap­su­lant le mes­sage chif­fré dans l’entête WiFi, ou plus pré­ci­sé­ment dans l’entête 802.11 pour les puristes.
Vous remar­que­rez que l’IV est ajou­té en clair à coté du mes­sage chiffré.
C’est tout à fait logique : l’IV est cal­cu­lé auto­ma­ti­que­ment par celui qui va chif­frer le mes­sage, par exemple votre carte WiFi. Il faut bien que la borne d’accès qui va rece­voir ce mes­sage puisse le déchif­frer Et pour le déchif­frer il lui faut 2 para­mètres, la clé secrète que vous avez confi­gu­rée manuel­le­ment des deux cotés et l’IV que la carte WiFi du client a géné­ré auto­ma­ti­que­ment. Voi­la pour­quoi l’IV est trans­mis en clair, c’est pour le des­ti­na­taire.
Impor­tant à com­prendre : Le XOR est une fonc­tion réversible :
  • [séquence de clé] XOR [mes­sage en clair] = mes­sage chiffré
  • [séquence de clé] XOR [mes­sage chif­fré] = mes­sage en clair
Donc on voit bien que dés qu’on connait la séquence de clé alors on peut déchif­frer un mes­sage chiffré !

Donc pour résumer :

  • le chif­fre­ment WEP est un pro­to­cole char­gé du chif­fre­ment des trames et uti­lise l” algo­rithme symé­trique RC4
  • la clé secrète a une lon­gueur de 40 ou 104 bits.
  • Cette clé secrète doit être décla­rée au niveau du point d’ac­cès et des clients
  • A cela s’a­joute 24 bits d’IV (d’où le fait que l’on voit sou­vent dans les confi­gu­ra­tion, clé WEP de 40+24=64 bits ou 104+24=128 bits)
Pour­quoi le WEP est consi­dé­ré comme obsolète ?
Aujourd’­hui, on n’u­ti­lise plus le WEP car le fait que son IV n’ait une taille que de 24 bits per­met à des pirates de cal­cu­ler toutes les pos­si­bi­li­tés de valeurs de cet IV très rapi­de­ment. Et oui, 24 bits, ça ne fait « que » 2^24 pos­si­bi­li­tés et avec les ordi­na­teurs d’au­jourd’­hui, ça prends quelques secondes.
Pour ceux qui serait inté­res­sés, je publie­rai un article pra­tique sur com­ment cas­ser une clé WEP en quelques minutes sous Win­dows. Avant il fal­lait le faire sous Linux, jouer avec le dri­ver du chip­set de sa carte WiFi… main­te­nant, c’est à la por­tée de tout le monde sous Windows 🙂
Pour ceux qui ne peuvent pas attendre, je vous invite à lire cet article : http://www.tutofr.com/tutoriaux/tutorial-crack-wep-aircrack.php

Avant de par­ler du chif­fre­ment WPA et WPA2, il faut s’arrêter sur une méthode d’au­then­ti­fi­ca­tion qui est inclue dans ces deux chif­fre­ment : c’est le stan­dard 802.1x

Authentification 802.1x

Le stan­dard 802.1x est une solu­tion de sécu­ri­sa­tion, mise au point par l’IEEE en juin 2001, per­met­tant d’au­then­ti­fier (iden­ti­fier) un uti­li­sa­teur sou­hai­tant accé­der à un réseau (filaire ou WiFi) grâce à un ser­veur d’au­then­ti­fi­ca­tion. Ce ser­veur est sou­vent appe­lé Ser­veur RADIUS. De plus cette authen­ti­fi­ca­tion est mutuelle dans le sens où le client iden­ti­fie aus­si le réseau dans lequel il entre.

Quand vous allez à la banque, vous allez dans une agence de votre banque et pas dans une agence d’une autre banque, c’est pareil ici.

Le stan­dard 802.1x repose sur des pro­to­coles EAP (Exten­sible Authen­ti­ca­tion Pro­to­col) défi­ni par l’IETF dont le rôle est de trans­por­ter les infor­ma­tions d’i­den­ti­fi­ca­tion des utilisateurs.
Pour­quoi je pré­cise « des » pro­to­coles EAP ?

Car en fonc­tion de votre infra­struc­ture, vous allez peut être vou­loir mettre en place une authen­ti­fi­ca­tion des uti­li­sa­teurs par un mot de passe, par des cer­ti­fi­cats numé­riques, par des Token… ce sont des pro­to­coles EAP dif­fé­rents qui seront uti­li­sés en fonc­tion du mode d’au­then­ti­fi­ca­tion souhaité :

  • EAP-LEAP
  • EAP-FAST
  • EAP-PEAP
  • EAP-TLS

En cli­quant sur l’i­mage de droite pour l’a­gran­dir, on peut voir la confi­gu­ra­tion d’une carte WiFi en EAP-PEAP. En fonc­tion du type d’au­then­ti­fi­ca­tion, vous choi­sis­sez tel ou tel pro­to­cole EAP.

Fonctionnement du 802.1x

Le fonc­tion­ne­ment du stan­dard 802.1x est en fait très simple mal­gré son nom barbare :

  1. Le client (votre ordi­na­teur por­table) se connecte en WiFi à la borne d’accès
  2. Cette borne d’accès est confi­gu­rée pour appli­quer le stan­dard 802.1x via le pro­to­cole EAP, la borne vous demande de ren­trer vos identifiants
  3. Dans la fenêtre Win­dows qui s’est affi­chée, vous entrez vos iden­ti­fiants (par exemple : login = cyril et mode passe = toto)
  4. Une fois que la borne a reçue vos iden­ti­fiants, elle les trans­met à un ser­veur d’au­then­ti­fi­ca­tion, dit ser­veur RADIUS
  5. C’est ce ser­veur qui va vali­der ou non vos iden­ti­fiants. Sup­po­sons qu’il accepte vos iden­ti­fiants, il aver­tit la borne d’accès qu’elle peut vous auto­ri­ser à entrer dans le réseau
  6. Vous avez désor­mais accès au réseau et vous pou­vez sur­fer sur l’in­tra­net et l’internet 🙂
Pre­nons un exemple dans la vraie vie pour faire un com­pa­ra­tif explicite :
  • Après un vol inter­na­tio­nal, vous débar­quez de l’a­vion et arri­vez au contrôle d’immigration
  • la per­sonne vous demande de vous iden­ti­fier en vous deman­dant votre pas­se­port, que vous lui donnez
  • elle scan le pas­se­port, votre iden­ti­té est trans­mise à un ser­veur qui véri­fie si vous n’êtes pas sur une liste noire
  • il vous rend le pas­se­port et vous entrez offi­ciel­le­ment dans le pays
Dans cet exemple on iden­ti­fie les 3 com­po­sants rela­tif au stan­dard 802.1x :
  • le client (sup­pli­cant en anglais): c’est votre ordi­na­teur por­table qui sou­haite accé­der au réseau (ou vous qui des­cen­dez de l’avion)
  • la borne d’accès (authen­ti­ca­tor en anglais): elle va vous deman­der de vous iden­ti­fier afin de lais­ser vos trames tran­si­ter dans le réseau (c’est la per­sonne du contrôle d’immigration)
  • le ser­veur d’au­then­ti­fi­ca­tion Radius (authen­ti­ca­tion ser­ver en anglais): c’est le ser­veur qui décide si vous avez le droit ou non d’u­ti­li­ser le réseau (c’est le ser­veur de la douane avec sa liste noire)

Sécurisation WPA

Pour la petite his­toire, lorsque les entre­prises se sont ren­dues compte que le chif­fre­ment WEP était inef­fi­cace, elles ont arrê­té de déployer du WiFi. A ce moment là, un groupe d’étude appe­lé 802.11i a été créé pour défi­nir une sécu­ri­té plus éle­vée que le WEP, ce groupe a sor­ti la norme du même nom.
Aujourd’­hui la norme 802.11i est la réfé­rence pour la sécu­ri­sa­tion du WiFi.
Mais à l’époque, ce groupe n’a­vait pas encore sor­ti leurs recom­man­da­tions (fai­néants!) alors l’alliance WiFi les a dou­blé et a pré­fé­ré sor­tir une solu­tion tem­po­raire en atten­dant le 802.11i. Cette solu­tion tem­po­raire s’ap­pelle le WPA !
Le WPA est une sorte de rus­tine en atten­dant le 802.11i. Il utilise :
  • le 802.1x pour l’au­then­ti­fi­ca­tion (mais reste optionnel)
  • l’al­go­rithme de chif­fre­ment TKIP (Tem­po­ra­ry Key Inte­gri­ty Pro­to­col), plus robuste que l’al­go­rithme RC4 du WEP. Il per­met la géné­ra­tion aléa­toire de clés et offre la pos­si­bi­li­té de modi­fier la clé de chif­fre­ment plu­sieurs fois pour une sécu­ri­té plus forte.
On a vu que l’u­ti­li­sa­tion de 802.1x impose la mise en place d’un ser­veur Radius, ce qui peut poser pro­blème pour les petites entre­prises car ça reste cher. On a donc 2 modes de fonc­tion­ne­ment du WPA (comme pour le WPA2):
  • Mode Per­son­nel : dans ce mode, on défi­nit un mot de passe par­ta­gé entre le client et la borne d’accès, ce mot de passe s’ap­pelle PSK pour Pre-Sha­red Key. C’est qua­si­ment le même prin­cipe que la clé WEP mais avec un algo­rithme plus puis­sant. Pas besoin d’un ser­veur Radius.
  • Mode Entre­prise : dans ce mode, on uti­lise le stan­dard 802.1x donc la mise en place d’un ser­veur Radius est néces­saire.

Sécurisation WPA2

Le 802.11i a été rati­fié le 24 juin 2004 afin de four­nir une solu­tion de sécu­ri­sa­tion pous­sée des réseaux WiFi. Il s’ap­puie sur l’al­go­rithme de chif­fre­ment TKIP, comme le WPA, mais sup­porte éga­le­ment le chif­fre­ment symé­trique AES (Advan­ced Encryp­tion Stan­dard), beau­coup plus robuste que TKIP.

La Wi-Fi Alliance a alors créé une nou­velle sécu­ri­sa­tion bap­ti­sée WPA2 pour les nou­veaux maté­riels sup­por­tant le stan­dard 802.11i.

Et comme pour le WPA, on peut l’u­ti­li­ser selon que l’on sou­haite mettre en place un ser­veur Radius ou non pour l’au­then­ti­fi­ca­tion 802.1x :

  • Mode Per­son­nel : uti­li­sa­tion d’un PSK
  • Mode Entre­prise : uti­li­sa­tion du 802.11x donc d’un ser­veur Radius

Résumé WPA et WPA2

Ce tableau résume les 2 modes de confi­gu­ra­tion que l’on peut trou­ver dans les sécu­ri­sa­tions WPA et WPA2.
Mais il existe aus­si des attaques qui impacte le Wifi, non pas dans le sens vol de don­nées et péné­tra­tion dans le réseau mais plu­tôt dans le sens de la la dis­po­ni­bi­li­té du service.

Sécurisation W‑IDS

Le stan­dard 802.11i intègre des méca­nismes de pro­tec­tion contre les attaques exté­rieures visant à faire tom­ber l’in­fra­struc­ture Wifi. Ces méca­nismes sont appe­lés W‑IDS pour Wire­less Intru­sion Detec­tion Sys­tem.
Les W‑IDS per­mettent entre autre de détecter :
  • les bornes pirate qui se font pas­ser pour une borne légitime
  • les demandes exces­sives d’as­so­cia­tion de client sur une borne d’accès (le fameux jeune saoul qui essai tant bien que mal de ren­trer en discothèque).
  • les attaques MITM – Man In The Middle dont la phi­lo­so­phie est pour le pirate d’être au milieu d’une com­mu­ni­ca­tion entre un client légi­time et la borne d’accès
  • l’u­sur­pa­tion d’a­dresse MAC
  • les dénis de ser­vice contre les bornes d’accès
Des méca­nismes de pré­ven­tion sont aus­si pos­sibles pour se pro­té­ger comme :
  • effec­tuer un déni de ser­vice contre une borne pirate (la revanche de la contre-attaque!)
  • mettre en liste noire (bla­ck­list) l’a­dresse MAC d’un client pirate
  • réduire la cou­ver­ture Wifi pour inter­dire que les voi­sins voit le réseau Wifi

Conclusion

La sécu­ri­té pour le Wifi est impor­tante du fait que n’im­porte qui peut ana­ly­ser les trames niveau 2, il faut alors pro­té­ger son infra­struc­ture sans-fil selon les prin­cipes suivants :

  • le fil­trage par adresse MAC est faci­le­ment contournable
  • cacher le SSID ne sert stric­te­ment à rien car en ana­ly­sant le tra­fic, on le retrouve en clair dans les trames Wifi
  • la sécu­ri­sa­tion WEP est aujourd’­hui à ban­nir car cas­sable en quelques minutes avec n’im­porte quel portable
  • l’authen­ti­fi­ca­tion 802.1x est aujourd’­hui recom­man­dée pour une authen­ti­fi­ca­tion mutuelle (ser­veur radius et client) et uti­lise des pro­to­coles dit EAP : EAP-PEAP, EAP-Fast…
  • la sécu­ri­sa­tion WPA est une solu­tion tem­po­raire qui uti­lise l’au­then­ti­fi­ca­tion robuste 802.1x mais un chif­fre­ment pas optimal
  • la sécu­ri­sa­tion WPA2 qui suit la norme 802.11i est la solu­tion optimale
  • la pro­tec­tion contre les attaques exté­rieures par la mise en place de W‑IDS

2 Commentaires

  1. Fran­che­ment bra­vo pour ton site et tes expli­ca­tions claires et nettes. Elles per­mettent à un débu­tant d’a­bor­der le WiFi dans les meilleures condi­tions. Fran­che­ment conti­nue comme ça ! J’ai vrai­ment hâte de lire tes cha­pitres sur les normes 802.11n et 802.11ac.
    Du coup je lis tous les autres articles et j’ap­prends encore plein de choses !!

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Les plus populaires