Clé WPA, WPA2, WPA3 et WEP: la sécurité Wi-Fi expliquée

Vous configurez un nouveau Wi-Fi? Choisir le type de mot de passe dont vous avez besoin peut sembler un choix arbitraire. Après tout, WEP, WPA, WPA2 et WPA3 contiennent tous les mêmes lettres.

Un mot de passe est un mot de passe, alors quelle est la différence? Environ 60 secondes à des milliards d'années, en fait.

Tous les cryptages Wi-Fi ne sont pas créés égaux. Explorons ce qui rend ces quatre acronymes si différents et comment vous pouvez protéger au mieux votre réseau Wi-Fi domestique et organisationnel.

Confidentialité équivalente câblée (WEP)

Au début, il y avait WEP.

Illustration WEP

Wired Equivalent Privacy est un algorithme de sécurité obsolète de 1997 qui était destiné à fournir une sécurité équivalente à une connexion filaire. "Obsolète" signifie "Ne faisons plus ça."

Même lorsqu'il a été introduit pour la première fois, il était connu pour ne pas être aussi fort qu'il aurait pu l'être, pour deux raisons:

  • son mécanisme de chiffrement sous-jacent, et
  • La Seconde Guerre mondiale.

Pendant la Seconde Guerre mondiale, l'impact de la rupture de code (ou de la cryptanalyse) était énorme. Les gouvernements ont réagi en essayant de garder chez eux leurs meilleures recettes de sauce secrète.

À l'époque du WEP, les restrictions du gouvernement américain sur l'exportation de la technologie cryptographique ont amené les fabricants de points d'accès à limiter leurs appareils au cryptage 64 bits. Bien que cela ait ensuite été porté à 128 bits, même cette forme de cryptage offrait une taille de clé possible très limitée.

Cela s'est avéré problématique pour WEP. La petite taille de la clé a permis d'être plus facile à utiliser par force brute, en particulier lorsque cette clé ne change pas souvent.

Le mécanisme de chiffrement sous-jacent de WEP est le chiffrement de flux RC4. Ce chiffre a gagné en popularité en raison de sa rapidité et de sa simplicité, mais cela a un coût.

Ce n'est pas l'algorithme le plus robuste. WEP utilise une seule clé partagée parmi ses utilisateurs qui doit être entrée manuellement sur un périphérique de point d'accès. (À quand remonte la dernière fois que vous avez changé votre mot de passe Wi-Fi? D'accord.)

WEP n'a pas non plus aidé les choses en concaténant simplement la clé avec le vecteur d'initialisation - c'est-à-dire qu'il a en quelque sorte écrasé ses bits de sauce secrète et espéré le meilleur.

Vecteur d'initialisation (IV): entrée de taille fixe vers un algorithme cryptographique de bas niveau, généralement aléatoire.

Combiné à l'utilisation de RC4, cela a rendu le WEP particulièrement vulnérable aux attaques par clé associée. Dans le cas du WEP 128 bits, votre mot de passe Wi-Fi peut être piraté par des outils accessibles au public en 60 secondes à trois minutes environ.

Alors que certains appareils sont venus proposer des variantes WEP 152 ou 256 bits, cela n'a pas réussi à résoudre les problèmes fondamentaux du mécanisme de cryptage sous-jacent de WEP.

Donc voilà. Ne faisons plus ça.

Accès protégé Wi-Fi (WPA)

Illustration WPA

Une nouvelle norme provisoire a cherché à «corriger» temporairement le problème de (manque de) sécurité de WEP. Le nom Wi-Fi Protected Access (WPA) semble certainement plus sûr, c'est donc un bon début. Cependant, WPA a commencé avec un autre nom plus descriptif.

Ratifié dans une norme IEEE de 2004, le protocole TKIP (Temporal Key Integrity Protocol) utilise une clé par paquet générée dynamiquement. Chaque paquet envoyé a une clé temporelle unique de 128 bits (voir? Descriptif!) Qui résout la vulnérabilité aux attaques de clés liées provoquées par le brassage de clé partagée de WEP.

TKIP implémente également d'autres mesures, telles qu'un code d'authentification de message (MAC). Parfois appelé somme de contrôle, un MAC fournit un moyen cryptographique de vérifier que les messages n'ont pas été modifiés.

Dans TKIP, un MAC non valide peut également déclencher une nouvelle saisie de la clé de session. Si le point d'accès reçoit un MAC invalide deux fois en une minute, la tentative d'intrusion peut être contrée en modifiant la clé qu'un attaquant tente de casser.

Malheureusement, afin de préserver la compatibilité avec le matériel existant que WPA était censé «patcher», TKIP a retenu l'utilisation du même mécanisme de chiffrement sous-jacent que WEP - le chiffrement de flux RC4.

Bien qu'il ait certainement amélioré les faiblesses de WEP, TKIP s'est finalement révélé vulnérable aux nouvelles attaques qui ont prolongé les attaques précédentes sur WEP.

Ces attaques prennent un peu plus de temps à s'exécuter par comparaison: par exemple, douze minutes dans le cas d'une, et 52 heures dans une autre. C'est plus que suffisant, cependant, pour considérer que TKIP n'est plus sécurisé.

Le WPA, ou TKIP, est également obsolète depuis. Alors ne faisons plus ça non plus.

Ce qui nous amène à…

Accès protégé Wi-Fi II (WPA2)

Illustration WPA2

Plutôt que de dépenser l'effort de trouver un tout nouveau nom, la norme améliorée Wi-Fi Protected Access II (WPA2) se concentre plutôt sur l'utilisation d'un nouveau chiffrement sous-jacent.

Au lieu du chiffrement de flux RC4, WPA2 utilise un chiffrement par blocs appelé Advanced Encryption Standard (AES) pour former la base de son protocole de chiffrement.

Le protocole lui-même, en abrégé CCMP, tire l'essentiel de sa sécurité de la longueur de son nom plutôt long (je plaisante): Counter Mode Cipher Block Chaining Message Authentication Code Protocol, qui se raccourcit en Counter Mode CBC-MAC Protocol, ou CCM mode Protocole ou CCMP. ?

Le mode CCM est essentiellement une combinaison de quelques bonnes idées. Il assure la confidentialité des données via le mode CTR ou le mode compteur. Pour simplifier considérablement, cela ajoute de la complexité aux données en texte brut en chiffrant les valeurs successives d'une séquence de comptage qui ne se répète pas.

CCM intègre également CBC-MAC, une méthode de chiffrement par blocs pour construire un MAC.

AES lui-même est sur de bonnes bases. La spécification AES a été établie en 2001 par le National Institute of Standards and Technology (NIST) des États-Unis. Ils ont fait leur choix après un processus de sélection compétitif de cinq ans au cours duquel quinze propositions de conception d'algorithmes ont été évaluées.

À la suite de ce processus, une famille de chiffrements appelée Rijndael (néerlandais) a été sélectionnée, et un sous-ensemble de ceux-ci est devenu AES.

Pendant près de deux décennies, AES a été utilisé pour protéger le trafic Internet quotidien ainsi que certains niveaux d'informations classifiées au sein du gouvernement américain.

Bien que des attaques possibles contre AES aient été décrites, aucune n'a encore été prouvée comme étant pratique dans le monde réel. L'attaque la plus rapide sur AES dans la notoriété publique est une attaque de récupération de clé qui a amélioré l'AES par force brute d'un facteur d'environ quatre. Combien de temps cela prendrait-il? Quelques milliards d'années.

Accès protégé Wi-Fi III (WPA3)

Illustration WPA3

Le prochain volet de la trilogie WPA est requis pour les nouveaux appareils depuis le 1er juillet 2020. Attendu pour améliorer encore la sécurité de WPA2, le standard WPA3 cherche à améliorer la sécurité des mots de passe en étant plus résilient aux attaques de listes de mots ou de dictionnaires.

Contrairement à ses prédécesseurs, WPA3 offrira également le secret de transmission. Cela ajoute l'avantage considérable de protéger les informations précédemment échangées même si une clé secrète à long terme est compromise.

Le secret de transfert est déjà fourni par des protocoles comme TLS en utilisant des clés asymétriques pour établir des clés partagées. Vous pouvez en savoir plus sur TLS dans cet article.

Comme WPA2 n'est pas obsolète, WPA2 et WPA3 restent vos meilleurs choix pour la sécurité Wi-Fi.

Si les autres ne sont pas bons, pourquoi sont-ils toujours là?

Vous vous demandez peut-être pourquoi votre point d'accès vous permet même de choisir une option autre que WPA2 ou WPA3. La raison probable est que vous utilisez du matériel hérité, ce que les techniciens appellent le routeur de votre mère.

Étant donné que la dépréciation de WEP et WPA s'est produite assez récemment, il est possible dans les grandes organisations ainsi que chez vos parents de trouver du matériel plus ancien qui utilise toujours ces protocoles. Même le matériel plus récent peut avoir un besoin professionnel de prendre en charge ces protocoles plus anciens.

Bien que je puisse vous convaincre d'investir dans un nouvel appareil Wi-Fi haut de gamme, la plupart des organisations sont une autre histoire. Malheureusement, beaucoup ne sont tout simplement pas encore conscients du rôle important que joue la cybersécurité dans la satisfaction des besoins des clients et l'amélioration de ces résultats.

De plus, le passage à des protocoles plus récents peut nécessiter de nouvelles mises à niveau matérielles ou micrologicielles internes. Surtout sur les systèmes complexes des grandes organisations, la mise à niveau des appareils peut être financièrement ou stratégiquement difficile.

Boostez votre sécurité Wi-Fi

Si c'est une option, choisissez WPA2 ou WPA3. La cybersécurité est un domaine qui évolue de jour en jour, et rester coincé dans le passé peut avoir des conséquences désastreuses.

Si vous ne pouvez pas utiliser WPA2 ou WPA3, faites de votre mieux pour prendre des mesures de sécurité supplémentaires.

Le meilleur rapport qualité-prix est d'utiliser un réseau privé virtuel (VPN). L'utilisation d'un VPN est une bonne idée, quel que soit le type de cryptage Wi-Fi dont vous disposez. En Wi-Fi ouvert (cafés) et en utilisant le WEP, il est tout à fait irresponsable de se passer d'un VPN.

C'est un peu comme crier vos coordonnées bancaires lorsque vous commandez votre deuxième cappuccino.

Une caricature de crier vos coordonnées bancaires dans un café.

Choisissez un fournisseur VPN qui offre une fonctionnalité comme un kill switch qui bloque votre trafic réseau si votre VPN est déconnecté. Cela vous empêche de transmettre accidentellement des informations sur une connexion non sécurisée telle que le Wi-Fi ouvert ou le WEP. J'ai écrit plus sur mes trois principales considérations pour choisir mon VPN dans cet article.

Lorsque cela est possible, assurez-vous de ne vous connecter qu'aux réseaux connus que vous ou votre organisation contrôlez.

De nombreuses attaques de cybersécurité sont exécutées lorsque les victimes se connectent à un faux point d'accès Wi-Fi public, également appelé attaque jumelle diabolique ou hameçonnage Wi-Fi.

Ces faux hotspots sont facilement créés à l'aide de programmes et d'outils accessibles au public. Un VPN peut également aider à atténuer les dommages causés par ces attaques, mais il est toujours préférable de ne pas prendre de risque.

Si vous voyagez souvent, envisagez d'acheter un point d'accès portable qui utilise un forfait de données cellulaires ou d'utiliser des cartes SIM de données pour tous vos appareils.

Bien plus que de simples acronymes

WEP, WPA, WPA2 et WPA3 signifient bien plus qu'un tas de lettres similaires - dans certains cas, c'est une différence de milliards d'années moins environ 60 secondes.

Sur une échelle de temps plus actuelle, j'espère vous avoir appris quelque chose de nouveau sur la sécurité de votre Wi-Fi et comment vous pouvez l'améliorer!

Si vous avez apprécié cet article, j'aimerais le savoir. Rejoignez les milliers de personnes qui apprennent avec moi sur victoria.dev! Visitez ou abonnez-vous via RSS pour plus de programmation, de cybersécurité et de blagues de papa de bande dessinée.