Wi-Fi 7 et sécurité : Ce que vous avez besoin de savoir

Dans le sixième volet de notre série de blogs Wi-Fi 7, nous allons discuter d’un sujet qui semble beaucoup abordé dans la conversation Wi-Fi 7, mais qui n’est pas directement lié à l’amendement 802.11be à la norme IEEE, et c’est la sécurité. 

Pour aider les gens à comprendre certaines améliorations clés apportées au Wi-Fi 7, ainsi que certains aspects de la sécurité du Wi-Fi®, RUCKUS Networks a publié un livre blanc sur le Wi-Fi 7. Le livre blanc se trouve sur la page dédiée au Wi-Fi 7 sur le nouveau site Web de RUCKUS Networks. 

Sécurité Wi-Fi avec différents types de WPA

Bien qu’elle ne soit pas directement traitée dans la norme Wi-Fi 7, la sécurité est toujours quelque chose à laquelle les gens doivent penser lorsqu’il s’agit de toute nouvelle norme, en particulier le Wi-Fi. Fonctionnant dans un spectre sans licence avec une interface aérienne commune (CAI) publiée pour que le monde puisse se conformer à, ouvre de nombreuses opportunités pour les pirates de trouver des vulnérabilités, comme KrACK et FragAttacks. Dans le monde d’aujourd’hui, il est presque nécessaire que les personnes comprennent mieux comment leurs paquets de données sont sécurisés lorsqu’ils sont envoyés via Wi-Fi afin d’empêcher les pirates d’accéder aux données personnelles telles que votre prêt hypothécaire, comptes bancaires, et d’autres Données à caractère personnel, ou PII.

Le simple fait de changer le mot de passe de votre routeur par défaut, bien qu’il soit toujours nécessaire, n’est pas la seule chose dont les utilisateurs doivent être conscients.

Bien qu’il n’y ait rien de centré sur la sécurité Wi-Fi dans le Wi-Fi 7, il existe un artefact qui découle de l’opération Multi-Link qui aura un impact sur la manière dont les appareils et les points d’accès sécurisent la connexion sans fil. Mais d’abord, abordons quelques bases. 

Sécurité du cryptage des données WPA2  

Le WPA2ð a été introduit en 2004 avec le 802.11i comme remplacement « permanent » de la norme WPAÆ (Wi-Fi Protected Access®) qui a été libérée comme mesure d’écart d’arrêt lorsque le WEP a été fissuré en 2003. À l’exception de la nouvelle bande 6 GHz, les 802,11 modifications PHY (802.11a/b/g/n/ac/ax/be) ont été rétrocompatibles avec les générations précédentes. Cela signifie que votre iPhone 4 que vous refusez d’abandonner peut toujours se connecter à un tout nouveau point d’accès Wi-Fi 7. Cela ne fonctionnera probablement pas très bien (pour de nombreuses autres raisons), mais cela fonctionnera toujours. Ce n'est pas parce que nous avons WPA3Æ que les réseaux sont configurés pour ignorer spécifiquement autre chose que WPA3Æ que cela peut toujours fonctionner. 

Même votre ordinateur portable de 2001 exécutant 802.11b et WEP pourra toujours voir un réseau 802.11be sur 2,4 GHz, il ne pourra tout simplement pas se connecter à moins que les administrateurs n’aient activé WEP sur le SSID. Mais la vision d’ensemble est que WPA2 n’est pas obsolète uniquement parce que nous avons WPA3. 6 Le fonctionnement GHz a une disposition pour prendre en charge uniquement WPA3, mais c’est une exigence du spectre, pas d’une génération Wi-Fi spécifique. 

Sécurité du cryptage des données WPA3 

Après 14 ans de service dans le monde de la technologie (une vie, vraiment) WPA3 a été introduit en 2018 pour apporter des améliorations indispensables à la mise en œuvre de la sécurité sans fil. Bien que cela soit trop important pour entrer dans ce blog, cela aide vraiment à empêcher les attaquants d’attaquer une poignée de main de cryptage après coup, communément appelée attaque de dictionnaire hors ligne. 

WPA3 a les mêmes deux options que WPA2, avec les mêmes deux méthodes mais avec un nom légèrement différent. WPA2-Personal, souvent appelé réseau à clé prépartagée (PSK), a été remplacé par WPA3-SAE, ou authentification simultanée des égal. Bien que l’utilisateur final ne remarque aucune différence (il saisisse toujours une phrase secrète sur son appareil pour sécuriser ses connexions Wi-Fi), il y a de grands changements sur le backend qui résolvent certains problèmes de sécurité avec WPA2-Personal que nous n’aborderons pas ici (bien que vous puissiez en savoir plus à ce sujet dans notre blog Sécurité sans fil avec phrases secrètes).

WPA3-Enterprise est très similaire à WPA2-Enterprise, le type de sécurité observé sur la plupart des réseaux d’entreprise aujourd’hui. Il existe encore plusieurs types de PAE (Protocole d’authentification extensible), la méthode préférée étant Transport Layer Security (ou EAP-TLS). WPA3-Enterprise ajoute des augmentations supplémentaires et obligatoires de la force cryptographique et impose la norme 802.11w (cadres de gestion protégés), tandis que les spécifications précédentes comportaient la norme 802.11w en option.

Les réseaux peuvent être configurés avec ce que l’on appelle une « posture de sécurité transitoire » qui acceptera à la fois les appareils WPA2 et WPA3 sur le même SSID (ce serait un SSID de 5 GHz car WPA2 n’est pas autorisé à être configuré dans 6 GHz) pour préserver la rétrocompatibilité pour les appareils plus anciens ; mais comme pour tout, il existe un risque avec cela. Bien que les appareils plus récents soient rétrocompatibles avec les normes plus anciennes, les appareils plus anciens peuvent voir les indicateurs de transition dans le nouveau SSID et ne pas savoir comment y faire face, et simplement ne pas se connecter.  

Cela signifie que même si nous aimerions pouvoir offrir un service très simple et direct à tous les appareils clients, ces jours peuvent être limités. Une solution consisterait à créer des SSID spécifiques à la bande et à la sécurité pour répartir la charge et la position de sécurité du réseau. 

L’introduction de WPA3 signifie-t-elle que WPA2 est maintenant tout aussi mauvais que WEP (pour l’utilisation d’Internet, les mots de passe, etc.) ?

Au contraire ! WEP (Wired Equivalent Privacy) a été véritablement rompu lorsque WPA a été annoncé, tandis que WPA3 est une mise à niveau de WPA2. Le WPA2, configuré correctement, est sensible aux attaques de dictionnaire hors ligne, mais le temps nécessaire pour déchiffrer ce mot de passe est mesuré en plusieurs décennies et non en plusieurs heures.

Configuré correctement signifie utiliser une phrase secrète d’au moins 16 caractères, non partagée avec quiconque, et utiliser le cryptage AES (Advanced Encryption Standard). WPA2-Enterprise est suffisamment proche de WPA3-Enterprise pour que le simple fait de pouvoir activer 802.11w vous rapproche assez de WPA3-Enterprise pour la « plupart » des instances. WPA3 est toujours là où nous voulons aller, mais WPA2, avec quelques précautions supplémentaires, est toujours une méthode respectueuse pour sécuriser vos réseaux sans fil.

Utilisation de WPA3 à 6 GHz comme guide de conception

Grâce à une myriade de variables que nous voyons lors de l’examen des appareils clients qui utilisent les réseaux Wi-Fi d’aujourd’hui (Android contre iOS, anciens contre nouveaux, mobiles contre appareils fixes), de nombreuses personnes voient l’exigence d’utiliser WPA3 dans l’un ou l’autre mode (entreprise utilisant le protocole d’authentification extensible ou EAP, et SAE, authentification simultanée des équivalents) ou OWE comme un obstacle à ce nouveau spectre, mais il existe une autre façon de penser à cela. Au lieu d’essayer de contourner ces nouveaux protocoles de sécurité, nous devrions vraiment les adopter.

Pour les appareils qui nous intéressent (et qui sont nouveaux), nous leur attribuerions un SSID 6 GHz avec WPA3. Les appareils tels que le BYOD ou d’autres appareils qui pourraient ne pas nous préoccuper resteront à 5 GHz avec WPA2 Personal (PSK ou DPSK) ; nous pourrions ajouter un deuxième SSID pour WPA3-Enterprise pour les appareils qui nous intéressent vraiment, mais qui ne sont pas assez nouveaux pour la nouvelle bande 6Ghz. Enfin, cela laisse 2,4 GHz pour l’IdO et d’autres appareils qui sont classés comme « Meilleur effort » sans exigences ou attentes de service sans faille. Par ailleurs, en séparant les appareils de cette manière, nous catégorisons les appareils et les sécurisons avec la « meilleure » sécurité disponible pour chacun d’eux, ce qui, si vous faites référence à l’un de nos blogs précédents, est une meilleure pratique. Pour encore plus de meilleures pratiques sur la séparation des appareils IoT, assurez-vous de consulter également notre blog IoT Device Security.

Opérations et sécurité multi-liens 

Comme promis, il existe un angle de sécurité pour cette nouvelle fonctionnalité Wi-Fi 7. Fonctionnement multi-liens (MLO, vous pouvez en savoir plus à ce sujet sur notre précédente connexion Wi-Fi 7, blog MLO) est l’idée que plusieurs radios à l’intérieur d’un appareil parleront à un autre appareil en même temps, mais sur différentes bandes radio. Pour que cela fonctionne, il y avait un problème d’identité qui devait être résolu, et il s’agissait de s’assurer que les trames de couche 2 du même dispositif auraient la même adresse MAC afin que l’extrémité réceptrice puisse confirmer que les trames reçues provenaient du même dispositif, et ne pas mélanger les images de différents appareils. 

Quel est le rapport entre le Wi-Fi 7 et le MLO et la sécurité ?

Avec MLO, il existe une introduction d’une adresse MAC de « niveau supérieur » sur les trois radios d’un appareil Wi-Fi 7. Cette adresse MAC unique de haut niveau est utilisée pour les clés de cryptage ; au lieu de trois clés utilisées (une clé pour chacune des bandes radio possibles utilisées), les périphériques n’ont besoin que de construire un ensemble de clés. Connue sous le nom d’adresse de point de terminaison MAC-SAP ou MLD (Multi-Link Device), cette adresse se trouve au-dessus de l’émetteur-récepteur radio réel.

Cette clé unique signifie qu’à mesure que l’appareil client change de bande pendant la sélection de la liaison MLO, il n’est pas nécessaire de créer une nouvelle clé de cryptage. Avec les exigences de latence plus faibles de VR/AR/eSports, toute microseconde économisée du côté RF de la transmission est essentielle pour atteindre les chiffres de latence que ces applications visent. 

Bien qu’il ne s’agisse pas d’un développement révolutionnaire dans le monde de la sécurité, MLO indique que certains développements futurs pourraient avoir un impact sur la façon dont les réseaux et les appareils clients se perçoivent les uns les autres dans toutes les communications sans fil. Le partage d’une adresse MAC unique pour chaque connexion sans fil présente certains avantages lorsque nous commençons à envisager un accès radio convergent entre le Wi-Fi et le cellulaire et la façon dont un appareil pourrait basculer entre les deux, en fonction d’une myriade de facteurs. 

Il n’y a rien à l’horizon pour un tel développement, mais, tout comme la façon dont MLO permet aux appareils de sélectionner le meilleur canal de fonctionnement au moment de la transmission, cela laisse entendre que nos appareils clients commencent à mieux fonctionner avec nos infrastructures sans fil, et seules de bonnes choses peuvent en provenir. 

Qu’en est-il des réseaux RUCKUS ? 

Pour en savoir plus sur le Wi-Fi 7, consultez la page Web Wi-Fi 7 sur le site Web de RUCKUS Networks. Cette page sera une ressource incontournable pour toute personne souhaitant rester à jour sur le Wi-Fi 7 à mesure que nous nous rapprochons de la ratification de l’amendement par l’IEEE et de l’annonce de certification Wi-Fi 7 de l’Alliance Wi-Fi. Pour continuer à lire le reste de cette série de blogs, revenez sur la page Wi-Fi 7 pour les liens futurs ou notre section de blog.

Les lecteurs peuvent également en savoir plus sur les produits et solutions de RUCKUS Networks en visitant ces sites Web : RUCKUS Produits de réseaux et solutions de réseaux RUCKUS. Pour en savoir plus sur la façon dont RUCKUS peut aider votre organisation à faire évoluer la technologie de mise en réseau, envoyez-nous une note et un spécialiste peut vous contacter pour vous aider, avec le Wi-Fi 7 ou n’importe quel produit RUCKUS Networks.