vlan.org

Webzine des anciens étudiants de l’IUT Serecom St-Raphaël

Accueil > Actu > Réseaux sans fil : les deux standards qui vont les sécuriser

Réseaux sans fil : les deux standards qui vont les sécuriser

mardi 23 septembre 2003

Avec WPA et bientôt 802.11i, les réseaux locaux sans fil comblent leurs failles de sécurité. Mais selon les constructeurs et l’ancienneté des équipements, la migration vers ces nouveaux standards ne sera pas toujours possible, ni gratuite.

Conscients que la sécurité déficiente des réseaux locaux sans fil représentait le principal obstacle à leur diffusion dans les entreprises, les principaux constructeurs se sont rassemblés dans le cadre de la Wi-Fi Alliance pour trouver des solutions. C’est ainsi que le standard WPA (Wi-Fi Protected Access), sous-ensemble de la norme 802.11i, est né il ya quelques mois, en attendant que l’IEEE ne finalise cette dernière.

Mais le calendrier et les détails pratiques de la mise en œuvre de ces mécanismes dans les produits existants et futurs diffèrent d’un fournisseur à l’autre. Des disparités qui sont liées aux caractéristiques techniques des protocoles et algorithmes sous-jacents, mais aussi à des choix politiques.
Avec WPA, la Wi-Fi Alliance s’est penchée sur les faiblesses du protocole WEP (Wired Equivalent Privacy) dont les clés de chiffrement ont une longueur limitée à 40 bits (plus un vecteur d’initialisation de 24 bits, généré à chaque paquet) qui les rend assez faciles à craquer.

Avec WEP 2, le passage à 128 bits (en fait, 104 bits plus un vecteur d’initialisation de 24 bits) n’a pas complètement résolu le problème. De plus, les clés restent statiques et identiques pour tous les PC, si bien que quand l’une d’entre elles est craquée, il faut toutes les changer.

WEP pèche également par un algorithme de chiffrement (RC4) comportant des failles, et par un mécanisme d’authentification assez faible.
Avec WPA, la clé de 128 bits est systématisée et change dynamiquement. De plus, ce standard améliore grandement les mécanismes d’authentification (notamment lorsqu’ils passent par un serveur Radius), ainsi que le contrôle de l’intégrité des paquets de données.

Le consortium Wi-Fi Alliance a décidé qu’à compter du mois août 2003, l’estampille Wi-Fi serait refusée aux produits ne supportant pas WPA. Autrement dit, à partir de cette date, tous les équipements Wi-Fi implémenteront le nouveau standard. C’est déjà le cas de quelques acteurs qui ont pris les devants en l’intégrant à leurs bornes et cartes récemment lancées. On le retrouve ainsi dans les équipements Access Point 8200 (borne 802.11a), 8500 (802.11.b) et 8700 (802.11a et b) de 3Com.

WPA : des mises à jour généralement possibles

Reste à savoir quel sort va être réservé aux matériels acquis avant août 2003 ? En théorie, WPA peut être implémenté sur des matériels existants car il ne consomme pas plus de ressources matérielles que WEP. Mais dans les faits, tout dépend de la politique de chaque constructeur.

Ainsi, Cisco propose depuis peu des mises à jour logicielles gratuites pour ses bornes AP-1100 et AP-1200 (encore vendues) et AP-350 (qui n’est plus commercialisée depuis quelques mois). Mais les pilotes des cartes adaptateurs adéquates ne seront fournis qu’après l’été. D’après Christophe Servais, responsable produits Europe pour la gamme Wireless Lan chez Cisco, cette situation ne pose pas de problème, du moins si l’on ne mélange pas des matériels hétérogènes : « depuis fin 2001, les produits Cisco mettent en œuvre des mécanismes équivalents à ceux de WPA, qui en est d’ailleurs fortement inspiré. »

D-Link adopte sensiblement la même attitude. Ses gammes de points d’accès et cartes adaptateurs AirPlus (grand public) et AirPremier (plus orientée entreprises) supporteront gratuitement WPA via des mises à jour de firmware diffusées courant septembre. « Quant aux produits de la gamme AirPlus Xtreme G, lancés il y a seulement quelques semaines, ils peuvent déjà bénéficier d’un nouveau firmware », précise Stéphane Noet, PDG de D-Link France.

Chez 3Com, il est en revanche impossible de faire évoluer les anciens équipements, comme le AP 8000 (désormais repositionné dans l’entrée de gamme). « Il n’est pas exclu que nous y remédiions prochainement, mais le nouveau firmware serait alors payant », affirme Philippe Piémont, consultant réseaux chez 3Com.

802.11i trop gourmand en ressources pour les produits existants ?

Le standard WPA peut être défini comme un sous-ensemble de la norme 802.11i, dont la finalisation et l’implémentation ne sont pas prévues avant la fin 2003. Néanmoins, elle intéresse les entreprises qui sont en train de s’équiper. Cette norme se différencie principalement de WPA par la mise en œuvre de l’algorithme de chiffrement AES (Advanced Encryption Standard), qui jouit d’une réputation de quasi-inviolabilité.

Chez 3Com, on juge AES trop gourmand pour se contenter d’une implémentation logicielle. « Sans un circuit Asic dédié au chiffrement, les performances s’écrouleraient »,estime Philippe Piémont. Toutefois, les produits lancés en mai (gamme professionnelle) et en juillet dernier (gamme grand public) intègrent de tels Asic, ce qui leur permettra de revendiquer le label 802.11i vers la fin de l’année, moyennant une mise à jour payante.

À l’inverse, Cisco annonce d’ores et déjà que ce standard ne sera supporté que par de nouveaux équipements. « L’algorithme AES pourrait théoriquement être supporté par les produits existants,mais tel n’est pas notre choix », admet toutefois Christophe Servais (Cisco). D-Link devrait d’ailleurs en faire la démonstration,puisque le constructeur promet que ses gammes G et Airplus supporteront gratuitement la norme 802.11i, dès qu’elle sera finalisée.

Thierry Lévy-Abégnoli


Voir en ligne : Article de ZDNet - 16/09/2003

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.