Sécurisation de votre réseau wireless

Dans les publications précédentes, j’ai abordé la sécurisation des réseaux câblés. Bien que les réseaux câblés ne soient pas aussi « amusants » que les réseaux sans fil, ils sont essentiels pour réfléchir à l’adresse lorsque nous examinons la sécurisation de l’ENSEMBLE du réseau, et pas seulement de la pièce ou des deux avec lesquelles les gens voient et interagissent. Par conséquent, nous allons passer à la sécurisation des réseaux sans fil.

Présentation de la norme 802.11i

Bien avant que l’Alliance Wi-Fi ne crée les termes marketing Wi-Fi 5, Wi-Fi 6 et Wi-Fi 6E, elle nous a introduit un autre terme marketing, même si la plupart ne le réalisaient pas à l’époque. Ce terme commercial est WPA, ou accès protégé par Wi-Fi. WPA n’est pas une norme IEEE officielle ; il s’agit d’une certification Wi-Fi Alliance. Bien que le WPA soit la pierre angulaire de la sécurité sans fil, il ne s’agit pas d’une norme ou d’un amendement de l’IEEE, mais il repose fortement sur l’IEEE pour fonctionner.

Le cryptage original utilisé dans le Wi-Fi était la confidentialité équivalente filaire (WEP) et, espérons-le, tout le monde sait et comprend que le WEP a été compromis au début des années 20000 avec des outils tels que aircrack.ng et John the Ripper. Le WEP contient quelques failles fatales qui lui permettent d’être piraté par force brute en quelques secondes, ce qui l’a conduit à être « officiellement retiré » en 2004. Je dis « officiellement à la retraite » parce que bien que les problèmes avec le WEP existent toujours, il existe des réseaux qui peuvent être trouvés dans la nature et qui utilisent encore le WEP grâce aux appareils clients qui ne prennent pas en charge le cryptage plus récent.

En 2003, après que le WEP ait été compromis, mais avant que l’IEEE n’ait pu officiellement introduire l’amendement 802.11i, l’Alliance Wi-Fi a publié le WPA comme solution d’écart stop pour les réseaux qui devaient migrer du WEP, mais sans ratification officielle du 802.11i, il n’était toujours destiné qu’à être une solution d’écart stop.

Certes, il s’agissait d’un stop-gap critique, mais quand 802.11i a été ratifié en 2004, il a été « remplacé » par Wi-Fi Protected Access 2, ou le protocole WPA2 basé sur l’amendement 802.11i que nous connaissons tous. C’est à ce moment-là que WEP a officiellement pris sa retraite. WPA2 a introduit quelques améliorations qui lui ont permis de servir le monde du Wi-Fi admirablement pendant 14 ans avant que son remplacement ne soit introduit en 2018 par WPA3.

Dans les publications ultérieures, nous approfondirons un peu plus le fonctionnement de ces protocoles et ce qui est nécessaire pour les rendre fonctionnels, mais pour l’instant, dans cette introduction, je veux aborder quelques informations de base afin que nous puissions nous y référer à l’avenir.

Limites avec les générations précédentes

WEP fissible car il n’a jamais utilisé qu’une seule clé pendant le processus de cryptage, et si cette clé était capturée, c’était un processus simple de réutiliser simplement cette même clé. Il était également très limité dans le nombre de bits utilisés dans le cryptage.

N’oubliez pas ! Moins de bits = moins de complexité à fissurer = temps plus rapides pour fissurer le cryptage.

WPA a introduit un concept appelé Temporal Key Integrity Protocol (TKIP) qui empêchait les attaquants de simplement copier la clé qu’ils ont vue transmise par voie aérienne. Il y a un inconvénient pour TKIP qui n’est pas vraiment entré en jeu avant l’introduction de la norme 802.11n en 2007. Vous voyez, TKIP a une limitation qui limite les vitesses Wi-Fi à 54 Mbps. Avant la norme 802.11n, 54 Mbits/s étaient les plus rapides que vous pouviez atteindre, de sorte que la limitation TKIP correspondait à la limitation de débit PHY. Aucun problème.

Heureusement pour la 802.11n, qui a facilement dépassé 54 Mbit/s, WPA2 avec chiffrement AES-CCMP était déjà disponible. AES-CCMP a supprimé cette limitation de vitesse et amélioré l’algorithme de cryptage global.

Pourquoi couvrons-nous un chiffrement de sécurité plus ancien, vous demandez ? Trop de fois dans le monde du Wi-Fi, on nous demande de prendre en charge des appareils qui sont bien au-delà de leur objectif d’un point de vue technologique, mais d’un point de vue fonctionnel, ils continuent de faire leur travail comme prévu.

Les lecteurs de codes à barres utilisés dans les entrepôts en sont un parfait exemple. Ces appareils doivent être robustes, avoir des batteries durables, lire les codes-barres et saisir un nombre relativement simple, puis transmettre ces informations à un serveur. Même si l’être humain peut scanner 1 point par seconde, l’exigence de débit pour cet appareil n’est même pas mesurée en mégabits par seconde ; même le 802.11b est acceptable du point de vue de la vitesse.

Les concepteurs et les administrateurs réseau sont fous d’essayer de maintenir la prise en charge de ces clients existants tout en prenant en charge les responsables et leurs dernières tablettes et exigences d’application. L’un d’entre eux apprécie la robustesse et la stabilité, tandis que l’autre recherche la vitesse et la flexibilité. Et, plus important encore pour cette discussion, l’un utilise une très ancienne sécurité tandis qu’un autre est plus susceptible de se rapprocher des dernières capacités de cryptage.

Testé et testé WPA2

WPA2 est notre ami de confiance depuis 2004 ans et, pour la plupart, nous a bien servis. Bien sûr, il y a eu un obstacle ici et là (rappelez-vous KRACK ?) mais lorsqu’il est déployé et géré de manière responsable, il était et est toujours très sécurisé. Cela est particulièrement vrai lorsque nous comparons les deux versions de WPA2 – Personnel et Entreprise – et que nous examinons WPA2-Enterprise. WPA2-Enterprise, utilisant un type EAP robuste (EAP étant le protocole d’authentification extensible), reste une méthode très saine pour sécuriser les réseaux sans fil. Basé sur les protocoles 802.1X, WPA2-Enterprise avec EAP-TLS est très sécurisé, même aujourd’hui.

Lorsque nous examinons WPA2-Personal à l’aide de clés prépartagées (PSK), nous commençons à voir certains problèmes qui ont conduit à l’introduction de WPA3-SAE. WPA2-Personal est le type habituel de réseau observé dans les déploiements résidentiels et dans les espaces publics tels que les cafés où ils publient le mot de passe Wi-Fi sur une pancarte dans un espace public. Les problèmes inhérents à la façon dont WAP2-Personal construit les clés de cryptage ont nécessité de passer à une norme comme WPA3-SAE, que nous aborderons plus en détail dans une publication ultérieure.

Si WPA2 est bon, pourquoi avons-nous eu besoin de WPA3 ?

Comme pour tout ce qui concerne la technologie, le progrès aide les pirates d’un réseau autant, voire plus, que les opérateurs et utilisateurs légitimes du réseau. À mesure que la vitesse et la capacité des processeurs augmentaient pour aider les utilisateurs à en faire plus sur leurs appareils mobiles, les attaquants ont également pu utiliser plus rapidement des mots de passe et des identifiants de force brute capturés dans la nature. Le cloud computing et les connexions Internet omniprésentes ont permis aux entreprises de répartir plus rapidement et plus facilement leur charge de travail, comme pour les attaquants.

Ce qui prenait auparavant des mois à la fissure brutale peut maintenant être fait en jours ; ce qui prenait auparavant des semaines peut maintenant être fissuré en heures, voire en minutes. Grâce à la capacité des pirates à collecter des clés de chiffrement dans la nature, puis à les envoyer soit à une instance de cloud computing, soit à un serveur de craquage central sur lequel travailler, le coût de craquage d'une clé de chiffrement est beaucoup moins cher qu'auparavant.

WPA3-SAE (Simultaneous Authentication of Equals) a introduit de nouvelles méthodes de cryptage plus similaires aux normes 802.1X, ce qui rend beaucoup plus difficile la fissuration, que ce soit dans la nature ou hors ligne, à l’aide d’un serveur de craquement de cryptage à force brute conçu sur mesure pour la tâche en cours.

Dans les publications suivantes, j’en parlerai davantage pour aider les gens à comprendre quelles sont les vulnérabilités exactes, les risques auxquels vous pourriez être confronté et les obstacles qui pourraient vous empêcher de passer aux normes les plus récentes.

Conclusion

Dans un monde où nous semblons pressés d’avoir toujours les « derniers et les plus grands », certains détails peuvent se perdre dans l’agitation. Bien que WPA3-Enterprise soit l’endroit où nous devrions viser, ce n’est pas grave si tous les appareils ne se retrouvent pas sur ce réseau. Même si WPA2-Personal n’est peut-être pas la « meilleure », n’oubliez pas qu’avec certaines bonnes pratiques, cela peut suffire. Bien que le WEP puisse être craquelé par un attaquant compétent en quelques secondes, il peut être suffisant si c’est tout ce que l’appareil prendra en charge. Je recommanderais FORTEMENT de passer à presque tout pour éliminer le WEP, mais il s’agit d’une conversation pour un jour différent.

Restez à l’écoute pour les deux prochains versements où je vais détailler un peu plus les deux principales méthodes de sécurisation des réseaux sans fil aujourd’hui : personnel/SAE et entreprise.