Sécurité sans fil avec phrases secrètes

L’utilisation d’une phrase secrète pour accéder à un réseau sans fil, puis construire les clés de cryptage pour sécuriser cette connexion, est à peu près aussi ancienne que 802,11 elle-même. Initialement introduite en tant que protocole d’équivalence filaire, ou WEP, la dernière version est WPA3-SAE, ou authentification simultanée d’égal. Bien que la plupart des processus et technologies de fond aient changé, la méthode et la facilité d’utilisation pour l’utilisateur final n’ont pas beaucoup changé ; cela en fait facilement la méthode la plus utilisée pour toutes les techniques utilisées pour sécuriser une connexion Wi-Fi.

La phrase secrète

L’utilisation d’une phrase secrète ou d’un mot de passe pour accéder à quelque chose est presque aussi ancienne que les humains eux-mêmes. Dites le mot secret ou la séquence de mots à la bonne personne et l’accès est accordé. Par conséquent, il est très facile pour les gens de saisir et d’utiliser la version de mot de passe de la sécurité lorsque ces types de réseaux sont découverts dans la nature.

Barre latérale vraiment rapide ici... La phrase secrète abordée ici n’est pas la même que tout ce qui est saisi sur un portail captif. Les portails captifs ne sont pas un outil de sécurité. Ils n’ont jamais été et ne le seront jamais. Ce qui est discuté ici sont des phrases secrètes qui sont utilisées pour chiffrer la connexion entre le client et le point d’accès, et non un obstacle à l’accès à Internet.

Le cryptage original utilisé dans le Wi-Fi était WEP. Nous espérons que tout le monde sait et comprend que le WEP a été compromis au début des années 20000 avec des outils comme aircrack.ng et John the Ripper. Le WEP contient quelques failles fatales qui lui permettent d’être attaqué par une force brute en quelques secondes, ce qui l’a conduit à être « officiellement retiré » en 2004. Je dis « officiellement à la retraite » parce que, bien que les problèmes avec le WEP existent toujours, il existe des réseaux qui peuvent être utilisés aujourd’hui et qui utilisent encore le WEP grâce aux appareils clients qui ne prennent pas en charge le cryptage plus récent.

En 2003, après que le WEP ait été compromis, mais avant que l’IEEE n’ait pu officiellement introduire l’amendement 802.11i, l’Alliance Wi-Fi a lancé le WPA comme solution stop-gap pour les réseaux qui devaient migrer du WEP avant que le 802.11i ne soit ratifié et le WPA2 lancé. Certes, il s’agissait d’un écart critique, mais quand 802.11i a été ratifié en 2004, il a été « remplacé » par Wi-Fi Protected Access 2, ou le protocole WPA2 que nous connaissons tous maintenant.

WPA2-Personal

Le WEP a été facilement fissuré, car il n’a jamais utilisé qu’une seule clé pendant le processus de cryptage, et si cette clé était capturée, c’était un processus simple de réutiliser simplement cette même clé. Le WEP était également très limité dans le nombre de bits utilisés dans le cryptage. En règle générale, moins de bits = moins de complexité à fissurer = temps plus rapides pour fissurer le cryptage.

Heureusement, avec la 802.11i, nous avons WPA2 avec chiffrement AES-CCMP. AES-CCMP a amélioré l’algorithme de chiffrement global, y compris le nombre de bits utilisés dans le chiffrement. Plus de bits = plus de complexité à fissurer = plus de temps pour fissurer le cryptage.

Mais, comme pour tout, il y a un équilibre dans le Wi-Fi. Nous n’obtenons rien gratuitement. Les appareils plus anciens apprécient la robustesse et la stabilité, tandis que les appareils plus récents recherchent la vitesse et la flexibilité. Au milieu se trouve le désir de garantir la sécurité de nos connexions et de nos données, même si certains des appareils les plus critiques de notre réseau ne prennent pas toujours en charge la sécurité la plus récente et la plus élevée.

Essayer d’utiliser ces anciens et nouveaux appareils sur le même SSID peut rendre fou n’importe quel administrateur, donc tout ce qu’il peut faire pour atteindre l’équilibre consistant à maintenir à la fois l’ancien et le nouveau fonctionnement va probablement se produire, y compris avoir différents SSID sur la même radio pour prendre en charge les différentes capacités de sécurité.

Aujourd’hui, WPA2 est notre ami de confiance depuis 2004 ans et nous a largement bien servis. Bien sûr, il y a eu un obstacle ici et là (rappelez-vous KRACK ?), mais lorsqu’il est déployé et géré de manière responsable, il était et est toujours très sécurisé. Cependant, lorsque les chercheurs ont examiné le WPA2-PSK en détail, ils ont découvert certains problèmes sur la façon dont il construisait les clés de cryptage.

C’est également à cette époque que les gens se sont rendu compte que le WPA2 était sorti depuis 14 ans, et qu’il était probablement temps de le rafraîchir. Cette actualisation s’est produite en 2018 sous la forme de WPA3.

Présentation de WPA3-SAE

Comme pour tout ce qui concerne la technologie, les innovations aident les attaquants d’un réseau autant, voire plus, que les opérateurs et utilisateurs légitimes du réseau. À mesure que la vitesse et la capacité des processeurs augmentaient pour aider les utilisateurs à en faire plus sur leurs appareils mobiles, les attaquants ont également pu utiliser plus rapidement des mots de passe et des identifiants de force brute capturés dans la nature. Le cloud computing et les connexions Internet omniprésentes ont permis aux entreprises de répartir plus rapidement et plus facilement leur charge de travail, comme pour les attaquants.

Ce qui prenait auparavant des mois pour une attaque par force brute peut désormais être fait en quelques jours ; ce qui prenait auparavant des semaines peut désormais être craqué en quelques heures, voire quelques minutes. Grâce à la capacité des pirates à collecter des clés de chiffrement partout, puis à les envoyer soit à une instance de cloud computing, soit à un serveur de craquage central sur lequel travailler, le coût de craquage d'une clé de chiffrement est beaucoup moins élevé qu'auparavant.

WPA3-SAE (Simultaneous Authentication of Equals) a introduit de nouvelles méthodes de cryptage similaires à celles utilisées dans la norme 802.1X, ce qui rend beaucoup plus difficile la fissuration, soit en pleine nature, soit hors ligne, à l’aide d’un serveur de craquement de cryptage à force brute, conçu sur mesure pour la tâche en cours. La seule chose que cela n’a pas changée est que WPA3-SAE utilise toujours un mot de passe fourni par les opérateurs réseau à l’utilisateur final, tout comme WPA2-Personal, WPA et même WEP. Bien que le chiffrement back-end soit totalement différent, pour les utilisateurs finaux, le processus est toujours le même, mais plus sécurisé en raison de certains processus vraiment techniques que nous ne couvrirons pas ici.

Nous ne voulons toujours pas partager ce mot de passe avec toutes les personnes que nous rencontrons dans la rue, mais pour le moment, WPA3-SAE utilise quelque chose appelé cryptographie à courbe elliptique pour générer les clés de cryptage sans avoir besoin d’envoyer une partie des clés par voie aérienne que les attaquants peuvent capturer, puis effectuer une ingénierie inverse. Et, pour l’instant, c’est quelque chose qui est impossible à craquer pour les attaquants. Cependant, comme pour les générations précédentes, tous les appareils ne prennent pas en charge le WPA3 aujourd’hui, nous avons donc toujours notre action d’équilibrage d’avant.

Conclusion

Dans un monde où nous semblons pressés d’avoir toujours les « derniers et les plus grands », certains détails peuvent se perdre dans l’agitation. Bien que WPA2/3-Enterprise soit l’endroit vers lequel nous devrions viser, ce n’est pas grave si tous les appareils ne se retrouvent pas sur ce réseau. Avec WPA3-SAE, nous disposons d’une méthode de sécurité/chiffrement basée sur un mot de passe comparable à la version Enterprise, en supposant que les gens ne partagent pas ces informations sur les réseaux sociaux, que ce soit accidentellement ou intentionnellement.

Bien que WPA2-Personal ne soit peut-être pas la « meilleure », n’oubliez pas qu’avec certaines bonnes pratiques mises en œuvre (comme l’utilisation de RUCKUS DPSK), la solution combinée est toujours vraiment sécurisée. Bien que le WEP puisse être craqué par un attaquant compétent en quelques secondes, il devient nécessaire que tous les périphériques critiques du réseau soient pris en charge, bien que je recommande FORTEMENT de passer à presque tout pour sortir du WEP. Mais c’est une conversation pour un autre jour.

Bien que la sécurité puisse parfois être accablante à réfléchir et à comprendre, soyez assuré que RUCKUS Networks travaille dur pour permettre à votre organisation de faire la différence entre conserver les appareils requis sur le réseau, empêcher les appareils indésirables de se joindre et permettre aux administrateurs de surveiller et de gérer le réseau en même temps. Pour plus d’informations sur la manière dont RUCKUS peut vous aider, veuillez consulter d’autres blogs sur la sécurité, les capacités de segmentation réseau de RUCKUS, les capacités d’intégration et d’authentification sécurisées et la passerelle WAN (RWG) RUCKUS.