Les nouvelles normes de sécurité Wi-Fi ne sont pas modifiées très souvent, mais l’organisme de régulation, la Wi-Fi Alliance, vient de lancer officiellement un, Wi-Fi Protected Access 3, ou WPA3.
Par rapport au WPA2 actuel, il s’agit d’un grand pas en avant en termes de fonctionnalités de sécurité bien que, comme le WPA2, le WPA3 sera également disponible dans des versions Personnel et Professionnel.
Nous n’aborderons pas le WPA3-Professionnel (dont la fonctionnalité centrale est un mode avec une clé 192 bits optionnelle, nécessaire pour sécuriser les réseaux critiques tels que les gouvernements et les hôpitaux) et passerons directement au WPA3-Personnel, que les utilisateurs Wi-Fi commenceront à rencontrer à partir de la fin de 2019.
Comment va-t-il améliorer la sécurité du Wi-Fi ?
Comme nous l’avons décrit, en janvier dernier, lorsque la nouvelle de l’imminence de la sortie du WPA3 pointait à l’horizon, il s’agissait de corriger les faiblesses flagrantes du WPA2, dont la plus importante est la sécurité des mots de passe Wi-Fi.
Lorsqu’elle est apparue aux alentours de 2004, le WPA2 Personnel (également appelée clé pré-partagée WPA2) semblait sécurisée et exigeait que les utilisateurs choisissent des mots de passe d’une longueur minimale de huit caractères.
Mais au fil du temps, il était devenu évident que la procédure par laquelle un appareil se connectait à un réseau WPA2 Personnel, appelé poignée de main à 4 voies (four-way handshake), pouvait être interceptée par un cybercriminel à l’aide d’un outil logiciel.
Ces données pouvaient être utilisées hors ligne et soumises à une attaque de type “dictionnaire”, dans laquelle beaucoup de mots de passe sont testés jusqu’à ce que le bon soit trouvé.
La facilité d’une telle attaque dépendait de la longueur et de la prévisibilité du mot de passe, une maigre consolation étant donné la tendance de nombreux utilisateurs à choisir le nom de leur animal de compagnie ou de leur rue.
Le WPA3 remplace la clé pré-partagée (Pre-Shared Key) par l’algorithme “Dragonfly” Simultaneous Authentication of Equals (SAE), qui bloque les tentatives de saisie de mots de passe hors ligne, et ce après une seule tentative incorrecte : les attaques doivent être effectuées au niveau d’une connexion live, un essai à la fois.
Le protocole utilise également une technique appelée “forward secrecy”, signifiant que même si un mot de passe est compromis, il ne pourra pas être utilisé au niveau d’autres appareils ou vis-à-vis de données plus anciennes interceptées sur le même réseau.
Réseaux ouverts
Un autre défaut était la tendance des réseaux publics, dans des endroits tels que des aéroports ou des cafés, à n’utiliser aucun chiffrement, rendant leurs utilisations incroyablement dangereuses. La réponse du WPA3 est le “Wi-Fi Certified Enhanced Open”, un protocole qui utilise Opportunistic Wireless Encryption (OWE) pour établir une connexion sécurisée entre le point d’accès et l’utilisateur à l’aide d’une clé unique.
Une excellente mise à jour sans aucun doute, mais pas suffisante pour empêcher les cybercriminels de mettre en place des points d’accès publics non autorisés auxquels les internautes seront amenés à se connecter.
Internet des objets Wi-Fi
De plus en plus d’objets connectés (IoT) utilisent le Wi-Fi, et la configuration de ces derniers n’est pas toujours facile pour les utilisateurs domestiques. Le WPA3 propose une nouvelle manière de les connecter, en scannant des codes QR appelés “Wi-Fi Easy Connect”.
Les utilisateurs domestiques se demanderont sans doute s’ils auront besoin d’acheter de nouveaux produits pour avoir accès à toutes ces nouvelles fonctionnalités de sécurité.
La réponse réaliste est oui, à part quelques produits business-class qui se sont engagés à utiliser le WPA3 via des mises à niveau logicielles.
Il semble peu probable que la plupart des autres produits, en particulier les produits grand public, soient aussi chanceux. Sauf indication contraire d’un fabriquant, il est logique de supposer que de nouveaux équipements seront nécessaires, pas seulement des routeurs, mais aussi des interfaces Wi-Fi à l’intérieur des appareils.
Un autre hic pourrait être les conditions pour qu’un produit soit commercialisé comme “WPA3“. Selon nous, seul authentication SAE, décrite ci-dessus, est un élément essentiel de la certification.
Il est naturel de supposer que toutes les améliorations mentionnées ci-dessus seront les standards à intégrer au sein des nouvelles conceptions sous WPA3, mais il vaudra mieux prendre la peine de vérifier tout cela, lorsque les produits commenceront à apparaître au cours des deux prochaines années !
Billet inspiré de WPA3 is here but how will it make Wi-Fi more secure?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.