Sujet
L’alliance “Wi-Fi” (“Wi-Fi Alliance”) a annoncé un certain nombre d’améliorations des protocoles de sécurité recommandés actuellement sous forme d’un nouveau niveau de certification : “WiFi Protected Access 3 or WPA3”.
Ces améliorations qui vont progressivement être rendues disponibles dans les produits dès la fin de 2018, vont permettre un meilleur niveau de confidentialité, en rendant l’encryption plus sûre, et en la généralisant, y compris pour des réseaux ouverts offerts aux visiteurs (de type “Guest Access”).
Mais comment et pourquoi mettre en place de l’encryption sur des réseaux ouverts ?
Que manque t’il aujourd’hui pour améliorer la sécurité pour les utilisateurs de réseaux “Guest” ?
Presque tout !
Ces réseaux sont rendus accessibles dans les lieux publics, les cafés, les hôtels, les aéroports par exemple, et permettent à nos équipements mobiles d’obtenir sans configuration préalable une connectivité basique à l’infrastructure mise en place par un prestataire de services ou un gérant d’établissement.
Pour garantir un certain contrôle des usagers, un mécanisme de portail sécurisé bloque l’accès à Internet sous forme d’une page Web, et demande au visiteur une information d’identité, qui est très souvent est liée à son numéro de téléphone mobile.
Cependant, une fois que le portail a fini son travail d’authentification, il ne subsiste aucun mécanisme de confidentialité pour le traffic échangé avec Internet. En comparant cette situation avec un accès opéré depuis le domicile, cela reviendrait à exposer publiquement tout le traffic relayé par votre “box ” Internet lorsque vous naviguez sur des sites Web, accédez à des services Cloud, ou que certaines applications professionnelles essaient de se connecter sur leurs serveurs d’entreprise.
Bien que l’on se sente peut-être en sécurité dans des locaux aux accès contrôlés, que la réputation du fournisseur de services soit irréprochable, il suffit d’une bonne antenne directionnelle à une personne malveillante pour enregistrer ou intercepter les échanges entre un mobile et des serveurs distants ; c’est particulièrement préoccupant si on considère les risques découlants d’attaque de type “man-in-a-middle”, ou l’enregistrement de sessions d’authentification (VPN ou autres…) pour opérer la récupération des mots de passe cryptés par “brute force” par la suite.
De manière générale, c’est à peu près le niveau zéro de la confidentialité des échanges sur Internet.
Le portail “Guest” d’un réseau non encrypté est un outil simple de protection des fournisseurs de services pour se mettre en conformité avec des obligations légales, il n’offre aucune valeur particulière à l’utilisateur itinérant.
Quelle améliorations attendre de la nouvelle certification WPA3 ?
C’est une nouvelle mouture de l’ensemble des fonctions de sécurité considérées comme essentielles dans un environnement WiFi.
L’idée est de simplifier la mise en place et l’exploitation de réseaux sécurisés, d’offrir une authentification plus robuste encore, d’élever le niveau cryptographique des échanges pour préserver les contenus très sensibles.
Les équipements supportant WPA3 vont :
- utiliser les mécanismes de sécurité les plus récents
- bloquer l’usage des protocoles de sécurité les plus anciens, et surtout dépassés.
- Nécessiter la protection des trames de management qui sont aujourd’hui modifiables ou duplicables très simplement.
Comme il existe des usages différents dans le domaine du grand public et des entreprises, il existe des fonctionnalités supplémentaires qui ciblent plus particulièrement ces environnements (protection contre l’attaque sur les mots de passe, ou meilleure protection des contenus les plus sensibles).
WPA3, qui reste compatible avec l’ancienne version WPA2, est actuellement une certification optionnelle. Mais son adoption la rendra peu à peu indispensable, et à terme obligatoire.
En quoi consiste la nouvelle certification “Wi-Fi CERTIFIED Enhanced Open” ?
Dans le cadre de WPA3, l’alliance “Wi-Fi” a élaboré une nouvelle certification pour les réseaux Wifi “Open”, c’est à dire ceux qui ne mettent pas en oeuvre une encryption avec clé privée (PSK) ou une solution d’authentification de type entreprise : cela cible principalement les réseaux de type “Guest”.
L’objectif est de protéger les communications entre le client et le point d’accès Wifi en utilisant un mécanisme appelé Opportunistic Wireless Encryption (OWE, qui est basée sur la spécification IETF RFC8110), et qui offre une sécurisation individuelle des échanges sur le réseau sans-fil sans création d’identifiant préalable.
Cela ne remet pas en cause l’utilisation d’un portail pour l’identification des visiteurs, mais cette solution offre par contre une bonne protection contre l’interception des échanges.
Pour garantir la simplicité de la mise en oeuvre, et la compatibilité avec les équipements plus anciens, il est prévu un mode de transition qui puisse être utilisé dans un premier temps.
Doit on attendre WPA3 pour améliorer la confidentialité d’une offre d’accès Wifi public ?
Aujourd’hui, l’encryption sur un réseau Wifi demande la connaissance ou la négociation de clés d’encryption qui ne peuvent pas être distribuées pratiquement dans un réseau ouvert si les utilisateurs sont vraiment itinérants et non préalablement enregistrés.
Par contre, il existe un usage des réseaux open dédié à des services de type “Bring your Own Device” pour des employés ou des personnes connues dans une base de référence, et à qui on donne la possibilité de profiter des services d’un réseau wireless interne : ces personnes sont susceptibles d’utiliser des applications professionnelles et peuvent être protégées efficacement contre des attaques en leur offrant un réseau toujours assimilé à un environnement “Guest”, mais encrypté ; rien n’empêche en effet d’authentifier l’utilisateur sur le réseau protégé avec le même identifiant que celui délivré à travers le portail Web aujourd’hui.
Une autre opportunité d’amélioration consiste à la fin de la procédure d’identification sur le portail Web d’informer l’utilisateur temporaire qu’il existe aussi un réseau Wifi protégé sur lequel il peut s’authentifier avec le même compte que celui qui lui a été fourni sur le réseau open : à lui de décider si le changement (qui est très simple) en vaut la peine ou non. Rien ne force d’ailleurs de créer un réseau supplémentaire : les infrastructures Wifi offrent une virtualisation naturelle qui permet d’isoler les traffics de groupes d’utilisateurs très simplement sans inflation du nombre de “SSIDs” !
Et pour des clients de banques, d’hôpitaux, des personnes considérées comme “VIP”, cette possibilité d’accès à un réseau “Guest” sécurisé sera certainement très appréciée.
Conclusion
Il est intéressant de voir les améliorations que WPA3 va pouvoir amener dans le domaine de la sécurité du Wifi, qui est aujourd’hui, et pour longtemps encore, le vecteur naturel pour la consommation des services sur Internet.
L’adoption de cette nouvelle certification prendra du temps pour être généralisée, mais comme nous l’avons vu, rien n’empêche avec les moyens actuels de contribuer à une meilleure sécurité et une confidentialité accrue en faisant évoluer les réseaux “Guest” existants dès que cela est possible !