Focus Expert | WPA3, Easy Connect, Enhanced Open : les nouvelles certifications Wi-Fi Alliance
5 min read
Depuis le mois de juin de cette année le Wi-Fi Alliance (WFA) a introduit des nouvelles certifications pour améliorer la sécurité des réseaux Wi-Fi à la maison et dans les environnements d’entreprise aussi. Dans cet article nous allons aborder ces trois certifications et leurs innovations principales.
Cela a probablement été répété dans d’autres articles, mais juste pour poser les bases et les rôles des différents organisme, nous tenons à rappeler d’abord que le Wi-Fi Alliance (qui a été aussi à l’origine du terme « Wi-Fi ») est une association non-profit réunissant plusieurs entreprises, en charge de tester le support des différents standards et l’interopérabilité entre équipements et terminaux wireless des constructeurs demandant une certification WFA. La certification WFA est un signe de garantie qu’un certain équipement ou terminal Wi-Fi a passé des tests ciblés pour vérifier le support d’un ou plusieurs standards ou fonctions. Ces standards et fonctions sont souvent définis par les organismes IEEE (Institute of Electrical and Electronics Engineers) et IETF (Internet Engineering Task Force). Une certification WFA peut inclure toutes ou juste une partie des spécifications techniques d’un standard.
Par exemple, WPA était la certification WFA d’une partie du standard IEEE 802.11i, pour introduire des techniques de sécurité plus avancées que WEP à l’époque, en attendant la certification du reste du standard. WPA2 a été la certification WFA pour toutes les spécifications obligatoires à respecter dans le standard IEEE 802.11i. WPA3 est la nouvelle certification WFA qui ajoute la vérification d’autres éléments définis dans le standard IEEE 802.11-2016.
Les nouveautés introduites par WPA3 sont les suivantes :
- « Simultaneous authentication of equals » (SAE), à l’origine introduit depuis le standard IEEE 802.11s, pour les réseaux Wi-Fi configurés avec authentification par mot de passe. Les réseaux WPA3 avec authentification par mot de passe sont aussi appelés « WPA3-Personal », car l’authentification par mot de passe s’applique surtout au Wi-Fi de la maison, donc personnel. Cependant, des réseaux wireless dédiés à des usages spécifiques en entreprise, ou pour des équipes métiers, peuvent également être configurés avec un mot de passe et bénéficier de ce niveau avancé d’authentification. SAE est un protocole de dérivation des clés de chiffrement basé à la fois sur la technique d’échange des clés appelée Dragonfly et définie dans le RFC 7664. Avec WPA2 la méthode PSK (Pre-Shared Key) peut être attaquée avec des attaques par dictionnaires, surtout si le mot de passe configuré est relativement simple. SEA est immune à ce genre d’attaques, tout en laissant la possibilité aux utilisateurs de configurer des mots de passe « faciles ».
- « Protected Management Frame » (PMF) est obligatoire entre un point d’accès et un terminal utilisant WPA3. PMF est défini par le standard IEEE 802.11w et introduit des techniques de protection pour éviter que les trames Wi-Fi de management entre un point d’accès et un client, ou même les trames multicast de management d’un point d’accès, ne puissent pas être réutilisées par un utilisateur malveillant. WPA3 protège donc les terminaux Wi-Fi d’une potentielle attaque de désassociation, par exemple, portée par un autre terminal qui aurait usurpé l’identité du point d’accès. Rendre PMF obligatoire n’est pas forcément la nouveauté majeure, car WPA2 avait déjà introduit cette méthode de sécurité, mais c’est un autre petit apport de WPA3.
- Pour les réseaux « WPA3-Enterprise », des tailles des clés de chiffrement comparables à un niveau de sécurité à 192-bit. Avec le terme « Enterprise » on désigne les réseaux avec une authentification 802.1X, qui est souvent utilisée en environnement d’entreprise. Cela n’empêche quand même pas de configurer un réseaux Wi-Fi à la maison avec du 802.1X, en déployant ainsi du WPA3-Enterprise. Ce mode de sécurité à 192-bit augmente bien évidemment la robustesse des clés de chiffrement tout en optimisant les performances de calcul des clés.
Les réseaux WPA3-Personal sont retro-compatibles avec des terminaux supportant WPA2, grâce à un mode appelé « WPA3-Personal Transition Mode » qui supporte à la fois des terminaux WPA2 (en PSK et avec PMF optionnel) et WPA3 (en SAE et avec PMF requis).
Pour les réseaux Wi-Fi avec du 802.1X il n’y aura besoin d’aucun mode de transition pour WPA3-Enterprise, car cela est basé sur WPA2-Enterprise à l’origine, avec un mode optionnel en plus pour une sécurité à 192-bit. Les terminaux supportant WPA2 pourront continuer à se connecter automatiquement à un réseau WPA3-Enterprise, en choisissant ou pas d’implémenter PMF aussi, et les terminaux supportant WPA3-Enterprise pourront se connecter en utilisant PMF et le mode de sécurité à 192-bit.
Avec WPA3 il y a eu en définitive un gros travail pour améliorer toutes les faiblesses découvertes pour WPA2 dans le temps, tout en gardant une interopérabilité avec les terminaux ne pouvant pas encore supporter cette nouvelle certification.
WPA3 sera supporté avec les solutions Wi-Fi Cisco, pour tout point d’accès avec technologie 802.11ac Wave 2 ou plus récente, à travers une prochaine mise à jour software.
Avec la certification Easy Connect le Wi-Fi Alliance apporte également des options pour faciliter la configuration et la connexion des terminaux, ou également des points d’accès dans certains cas.
Des équipements avec la certification WFA Easy Connect pourront se connecter entre eux pour pousser ou recevoir des paramètres de configuration d’un réseau Wi-Fi. L’équipement poussant une configuration Wi-Fi est appelé « configurator » et l’équipement recevant une configuration est appelé « enrollee ». Un configurator pourrait être par exemple un smartphone avec une application mobile permettant de créer un groupe de paramètres de configuration du Wi-Fi et des enrollees pourraient être à la fois une borne Wi-Fi recevant les paramètres du nouveau réseau Wi-Fi à desservir, ainsi que d’autres terminaux recevant les paramètres du nouveau réseau Wi-Fi sur lequel se connecter. La connexion entre le configurator et les enrollees se fait de manière sécurisée, selon le protocole DPP (Device Provisioning Protocol) spécifié par le WFA, et automatique, par exemple en scannant un code QR du terminal enrollee vers lequel le configurator devrait pousser la configuration, ou alors manuelle en spécifiant les coordonnées de connexion entre configurator et enrollees.
Comme on l’anticipe déjà, bien que pas forcément exclu pour les réseaux d’entreprise, Easy Connect est destiné principalement aux réseaux de la maison, où l’infrastructure Wi-Fi ne dispose pas souvent d’un point de contrôle centralisé.
WFA Enhanced Open est la certification dédiée à introduire des fonctions de chiffrement et sécurité même pour les réseaux Wi-Fi ouverts, comme les hotspots guest par exemple. Elle se base sur la méthode « Opportunistic Wireless Encryption » (OWE), définie dans le RFC 8110. OWE permet à un point d’accès Wi-Fi et à un terminal de négocier des options de chiffrement et de dériver les clés de chiffrement pour un réseau Wi-Fi donné, sans que l’utilisateur derrière le terminal ait à rentrer un mot de passe, un identifiant, télécharger un certificat, etc. Il s’agit en effet d’une négociation automatique des clés de chiffrement, comme pour un réseau Wi-Fi sécurisé, mais sans demander aucune configuration ou authentification aux utilisateurs, comme pour un réseau Wi-Fi ouvert.
Enhanced Open ne sera cependant pas la solution ultime pour sécuriser un réseau Wi-Fi. OWE ne pourra pas empêcher à un utilisateur malveillant de configurer un réseau Wi-Fi pirate, pour attirer des utilisateurs à s’y connecter et capturer des données personnelles. C’est finalement un des risques actuels des réseaux ouverts et cette nouvelle certification n’a pas comme objectif la résolution de ces attaques potentielles. WFA Enhanced Open apportera surtout du chiffrement automatique pour les réseaux Wi-Fi qu’aujourd’hui on configure en mode ouvert pour faciliter le processus de connexion des utilisateurs, en apportant ainsi la sécurisation du trafic échangé sur la radio, qui ne pourra plus être vu par tout le monde comme c’est le cas actuel d’un hotspot guest ouvert.
Vous pouvez trouver plus de détails sur WPA3, Easy Connect et Enhanced Open dans les pages suivantes du site officiel de WFA :
https://www.wi-fi.org/discover-wi-fi/security
https://www.wi-fi.org/discover-wi-fi/wi-fi-easy-connect
https://www.wi-fi.org/news-events/newsroom/wi-fi-certified-enhanced-open-delivers-data-protection-in-open-wi-fi-networks