Et on commence ce cours sur les protocoles de sécurité wifi et les serveurs d'authentification.
Comme vous le savez, les communications sans fil sont transmises par les ondes radio et donc, si elles n'étaient pas chiffrées et bien n'importe qui avec une carte Wi-Fi pourrait intercepter et lire nos données.
Le chiffrement, c'est tout simplement la conversion des données d'un format lisible en un format codé afin de les rendre confidentielles.
Eh bien, pour la Sécurité Wi-Fi, dans le cadre des transmissions sans fil, nous utilisons des protocoles de chiffrement et d'authentification pour garantir cette sécurité.
WEP
Et on commence cette première partie avec le protocole WEP, qui est l'acronyme de Wired Equivalent Privacy.
WEP est tout simplement le premier protocole mis en place pour les connexion et lasécurité Wi-Fi. Il utilise une clé secrète d’une taille allant de 40 à 104 bits.
En fait, le protocole WEP ne doit plus être utilisé aujourd'hui, car il souffre de plusieurs failles de sécurité et avec le bon logiciel, on peut forcer la clé en moins de 5 minutes.
Et c'est pourquoi on l'a surnommé Weak Encryption Protocol.
En résumé, n’utilisez jamais le protocole WEP même si votre interface réseau le permet.
WPA
En 2002, c'est le protocole WPA qui a été mis en place en remplacement du WEP, mais le but de ce protocole était de fournir une solution rapide aux problèmes de sécurité du WEP tout en restant compatible avec le matériel actuel. Du coup, le WPA, c’est plutôt une solution de transition permettant de corriger les défauts de sécurité du WEP.
Le protocole de communication utilisé par le WPA qui permet de corriger les vulnérabilités du WEP s'appelle TKIP, et il nécessite une clé de 256 bits.
Tout comme pour le WEP, il utilise une méthode de chiffrement appelé RC4 et propose notamment :
Une meilleure gestion des clés de chiffrement, ce qui rend les méthodes d’attaques du protocole WEP impossible.
Un compteur de séquence qui permet d’éviter les attaques par rejet (Replay attack). Une attaque par rejet, c'est quand un hacker enregistre le flux TCP/IP de votre connexion et la rediffuse telle quelle. Dans notre situation, cette technique était utilisée pour cracker une clé WEP, mais d’autres utilisations sont possibles.
et enfin, l’ajout d’un message d’intégrité de 64 bits qui permet certifier que le flux TCP/IP n'a pas été modifié à la volée.
WPA2
Comme nous l’avons vu, WPA n’était qu’une réponse d’urgence et c’est en 2004 que le WPA2 va pousser encore plus loin la Sécurité Wi-Fi des communications Wi-Fi.
Le protocole de communication sera alors le CCMP, qui utilise un algorithme de chiffrement par bloc qui se nomme AES. RC4 était un algorithme de chiffrement par flot qui nécessite peu de puissance de calcul pour le codage/décodage. Le chiffrement par bloc lui est meilleur, mais demande plus de puissance et c’est pour ça que le protocole WPA2 ne peut pas être utilisé avec les interfaces WEP/WPA.
On peut dire que les avantages de CCMP par rapport au TKIP sont :
qu’il permet un meilleur chiffrement des données,
il permet aussi l’authentification des utilisateurs,
et enfin il dispose d’un mécanisme de contrôle des accès.
À votre domicile, et bien, vous utilisez probablement la version personnelle de WPA2 que l’on nomme WPA2-PSK. Une seule clé de 256 bits est partagée pour tous les utilisateurs et cette clé est appelée Pre-Shared Key (PSK).
En entreprise, on préférera utiliser WPA2-Enterprise et cette version permet l’authentification et le contrôle des accès des utilisateurs auprès d’un serveur RADIUS ou TACACS+ que nous verrons plus en détail juste après.
Bien que ça ne soit pas au programme de cette certification, on peut spécifier qu’il existe aujourd’hui une nouvelle version de WPA, qui est donc WPA3. Bien que le matériel utilisant ce nouveau protocole de sécurité soit disponible, il n’est encore que peu adopté.
Serveurs d’authentification
On continue avec les méthodes d'authentification qui permettent donc d’identifier les utilisateurs et de leur accorder des accès en conséquence.
Dans le cadre des protocoles de sécurité wifi en entreprise, l’accès des utilisateurs se fait grâce à un serveur d’authentification que l’on peut appeler aussi un serveur AAA pour :
l’Authentification, qui est l’identification de l’utilisateur
Autorisation, le serveur vient encadrer ce que l’utilisateur peut ou ne peut pas faire,
et enfin Audit ou Accounting en anglais, qui vient quantifier la façon dont l’utilisateur exploite les ressources, par exemple la durée de connexion ou la quantité de données utilisée…
Pour prouver son identité au serveur, on utilise le plus souvent :
Quelque chose que vous possédez : comme un badge RFID
Ce que vous êtes : pour les identifications biométriques, donc une empreinte digitale par exemple.
et où vous vous trouvez : en utilisant le positionnement GPS.
Nous allons voir maintenant les deux types de serveurs d’authentification les plus communs.
RADIUS, qui signifie Remote Authentication Dial-in User Service qui est probablement le service d’authentification le plus populaire, car il est disponible sur tous les systèmes d’exploitation.
Il permet notamment de centraliser les authentifications pour les routeurs, switchs, firewalls, les VPNs. Et c’est le protocole de choix pour les réseaux utilisant le standard 802.1X.
Lorsqu’il n’est pas possible d’utiliser RADIUS et bien le plus souvent, c'est TACACS qui est utilisé. TACACS signifie Terminal Access Controller Access-Control System, et c’est un protocole plus ancien et qui est fréquent sous les réseaux UNIX.
TACACS fut créé dans le but de contrôler les authentifications sur ARPANET qui est en quelque sorte la première version d’internet. C’est donc un protocole très ancien, il existe une version plus récente que l’on appelle TACACS+.
La sécurité Wi-Fi est primordiale pour protéger les données. Les protocoles comme WEP, WPA et WPA2 offrent différents niveaux de protection. WPA2-Enterprise utilise des serveurs d'authentification comme RADIUS ou TACACS+ pour un contrôle d'accès avancé. La méthode multifacteur renforce l'identification des utilisateurs, assurant une sécurité accrue.
Plus de cours CompTIA A+