Même si la sécurité des réseaux Wi-Fi s'est considérablement améliorée au fil des années, WPA2 qui est actuellement en vigueur n'est pas exempte de bugs et de failles de sécurité. Que nous réserve son successeur, le WPA3 dont les caractéristiques viennent d'être définies ?
Depuis sa création en 1997, le Wi-Fi a toujours dû faire face à des problèmes de sécurité, ce qui est assez normal à la vue de son caractère sans-fil à longue portée. En 1999, le protocole de sécurité WEP apparait et deviendra obsolète après une dizaine d'années suite à la découverte de nombreuses failles de sécurité susceptibles de découvrir le mot de passe utilisé. En 2003, l'association internationale Wi-Fi Alliance chargée d'imposer les normes de sécurité propose le WPA qui sera vite remplacé par le WPA2 afin de remplacer le WEP. Malheureusement, de nombreux bugs mis à jour permettent également de cracker un système Wi-Fi pourtant protégé avec ce qui est la dernière norme de sécurisation. 15 ans après le WPA2, la Wi-Fi Alliance a récemment présenté son successeur, le WPA3. Mis de côté une encryption renforcée (cryptage 128bits au lieu d'AES), le protocole dispose d'atouts inédits qui devraient rendre grands services aux utilisateurs de connexion sans-fils.
CHIFFRÉ, MAIS SANS MOT DE PASSE
A ce jour, un des plus gros problèmes de sécurité du Wi-FI reste la possibilité pour un tiers non autorisé de placer une carte réseau en mode « Ecoute » afin de capturer et de déchiffrer les communications établies entre un point d'accès et ses clients. C'est extrêmement facile pour un réseau ouvert, c'est-à-dire sans protection WEP ou WPA, mais aussi si l'attaquant possède la clef de sécurité comme c'est souvent le cas dans les points d'accès publics situés dans les hôtels ou dans les salles de réunions. Cet état de fait contraint alors les plus prudents d'entre nous à utiliser un VPN lors de l'usage de ce type de point d'accès partagé. Avec le WPA3, fini les réseaux ouverts tels que nous les connaissons ! En effet la nouvelle norme intègre la technologie OWE (Opportunisme Wireless Encryption) qui chiffrera toutes les communications, y compris sur des réseaux ouverts sans mot de passe. Concrètement, chaque utilisateur utilisant un point d'accès verra ses communications encryptées de manière indépendante par rapport aux autres clients à l'aide de cryptages personnalisés.
Saviez-vous qu'il était possible pour un hacker de deviner le mot de passe d'un réseau Wi-Fi protégé par WPA2 ? En effet, en capturant certaines trames que s'échangent un point d'accès et son client, il est possible d'analyser celles-ci avec un dictionnaire de mot de passe : plus le mot de passe est long et complexe, plus l'attaquant aura de difficulté à le trouver. Mais quand on constate que la majorité des utilisateurs se contentent du minimum de sécurité, on s'aperçoit que le WPA2 n'est pas vraiment sécurisant. Le WPA3 propose de remplacer le protocole PSK (Pre-Shared Key) par le SAE (Simultaneous Authentification of Equals). Concrètement, l'utilisateur aura toujours à rentrer un mot de passe, mais celui-ci ne sera plus sensible à des attaques de type Brute Force ou dictionnaire. Ainsi, même si un attaquant sera toujours en mesure de capturer les fameuses trames, celles-ci ne seront d'aucune utilité car le protocole de sécurisation de la communication du WPA3 évolue en permanence dans le temps.
CONNEXIONS SIMPLIFIÉES
Enfin, la dernière fonction qui n'appartient pas à la norme WPA3 à proprement parler mais qui lui est associée se nomme le DPP (Device Provisioning Protocol). Stations météo, Chromecast, ou thermostats intelligents ne sont que quelques exemples d'objets connectés qui se trouvent de plus en plus présents dans notre environnement. Le problème est qu'il est parfois délicat de relier ceux-ci à une borne Wi-Fi car ils ne possèdent pas d'interfaces de communication directes comme un clavier ou un écran. Le DPP propose de faciliter cette connexion par l'intermédiaire de méthodes de simplification comme l'usage de QR Code ou de puce NFC présents sur les objets connectés.
Ce n'est alors plus ceux-ci qui se connecteront au point d'accès, mais plutôt ce dernier qui initiera la communication avec eux car on lui aura présenté les informations nécessaires situées sur le QR Code ou le NFC.
La norme étant définie, la Wi- Fi Alliance a mis en place une certification pour les constructeurs désireux d'implémenter le WPA3 dans leurs équipements. Cette certification permet alors de garantir la bonne compatibilité entre les différents Wi-Fi. A la date où nous écrivons ces lignes, peu de hardware remplit les conditions pour l'obtenir. Aruba, la filiale d'HP, et Dell proposent des routeurs certifiés WPA3 destinés au monde de l'entreprise. Côté grand public, seul Synology et son MR2200ac a décroché la certification. Nul doute que la liste va s'étoffer très rapidement. Il est possible de visualiser toutes les certifications à cette adresse : https://www.wi-fi.org/. Quid de nos smartphones et ordinateurs ? Dans la préversion de la mise à jour de Windows 10 estampillée 19H1, il est possible de détecter des lignes de codes concernant le WPA3 dans la configuration Wi-Fi. Même si ce n'est pas officiel, on peut donc attendre l'arrivée du WPA3 dans la prochaine mouture du système d'exploitation de Microsoft au printemps prochain. Quoi qu'il en soit, on peut tabler sur une arrivée massive du WPA3 au cours de l'année 2019. Toutefois, il faudra plusieurs années avant que ce nouveau standard s'impose, et notamment pour les hotspots publics qui demandent parfois un investissement important dans l'infrastructure. Et oui, même si le WPA3 n'est en fait qu'une mise à jour logicielle, nous faisons le pari que peu de constructeurs implémenteront la nouvelle norme dans leurs matériels existants via par exemple une mise à jour de firmware. Quoi qu'il en soit, si vous n'avez qu'un usage domestique du Wi-Fi et que celui-ci est bien protégé par une clef WPA2 d'au moins 10 caractères, nul besoin de se ruer sur le WPA3 qui ne sera sans doute pas exempt de bugs ou d'optimisations nécessaires inhérentes aux nouvelles technologies qui frappent les early adopters.