Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Communications WiFi en WPA "classique" (TKIP) : quelques conseils

Communications WiFi en WPA "classique" (TKIP) : quelques conseils
2009-09-032013-02-11sécurité des réseauxfr
L'information est largement disponible sur le Net depuis plusieurs jours : les communications Wifi utilisant le protocole WPA "classique" (c'est à dire utilisant l'algorithme Temporal Key Integrity Protocol ou TKIP) peuvent être cassées en quelques minutes.
Publié le 3 Septembre 2009 par Jean-François Audenard dans sécurité des réseaux

L'information est largement disponible sur le Net depuis plusieurs jours : les communications WiFi utilisant le protocole WPA "classique" (c'est à dire utilisant l'algorithme Temporal Key Integrity Protocol ou TKIP) peuvent être cassées en quelques minutes. Pour plus de détails, le papier des chercheurs Japonais est disponible en téléchargement.

Ce qui est nouveau, c'est que cette attaque est désormais faisable très rapidement.

en résumé, que cela veut-il dire et que faire ?

Sur les protocoles de sécurisation WiFi :

  • WEP : à proscrire
  • WPA + TKIP : à proscrire
  • WPA2 + TKIP : à proscrire
  • WPA + AES (aussi connu sous CCMP) : OK
  • WPA2 + AES (aussi connu sous CCMP) : OK

premier conseil

Vérifier que points d'accès WiFi utilisent bien WPA+AES ou WPA2+AES (profitez-en pour vérifier que le mot de passe d'accès à la configuration de l'équipement n'est pas celui par défaut ou trivial).

second conseil

Il est essentiel de générer des clefs WPA de qualité (longues et complexes) afin que les communications soient protégées au mieux. Si vous manquez d'inspiration pour vos clefs, je vous recommande cette page (en https svp) du site GRC.com (Ultra High Security Password Generator) : 3 types de clefs sont générées à chaque chargement de la page.

Pour les plus paranoïaques, préférez celle de "63 random printable ASCII characters" !

Certains détracteurs diront "ce n'est pas gérable des clefs si longues" : je leur répondrais que très (trop) souvent, ces clefs ne sont jamais changées. Il fait donc sens de gérer la complexité une seule fois mais de la meilleure façon possible... Après, chacun est maître dans son domaine et prends ses responsabilités. :-)

dernier conseil

Outre les bornes WiFi présentes dans vos locaux, profitez-en pour vérifier la configuration de celle de votre domicile !

Correction: Suite au commentaire de Sid, je viens de modifier les infos concernant WPA2. En effet, TKIP est aussi disponible avec WPA2 : à proscrire et préférer encore une fois AES. J'en profite pour vous inviter à lire l'article de Sid sur le sujet "Man in the Middle sur WPA ?". Instructif.

6 Commentaires

  • 11 Septembre 2009
    2009-09-11
    par
    Audenard Jean-François
    Chris : Merci de votre question et désolé pour le délai de publication de votre commentaire.

    Au niveau de WPA, on peut avoir deux modes de configuration :
    1) WPA (TKIP + AES)
    2) WPA (CCMP + AES)

    --> A ce que j'ai pu comprendre de WPA, le support de TKIP/AES est obligatoire alors que CCMP/AES est optionel : Donc la recommandation de Free fait donc du sens, notamment d'un point de vue compatibilité avec d'autres équipements que l'on peut retrouver dans un contexte grand-public.

    - Sinon, au niveau de la FreeBox, je crois qu'il est possible de sélectionner différents modes de configuration du WPA :
    * WPA (TKIP)
    * WPA (AES/CCMP)
    * WPA (TKIP+AES)
    ---> Pour les plus "paranoiaques", préferrer WPA (AES/CCMP) si vos équipements supportent ce paramétrage : Vous aurez ainsi la configuration la plus sécurisée possible.
    Et bien sûr, pensez à configurer une clef WPA bien complexe.
  • 4 Septembre 2009
    2009-09-11
    par
    Chris
    Bonjour,

    Le mode proposé par Free ( WPA (TKIP + AES) ) est il aussi à proscrire ?
  • 3 Septembre 2009
    2009-09-11
    par
    Audenard Jean-François
    En phase avec toi Florent : C'est une très bonne façon de concilier sécurité et facilité de gestion... Que du bonheur !
    Je compléterai en indiquant que certaines bornes wifi ne supportent pas les espaces : Il suffit de "coller" les mots entre-eux et le tour est joué.
    UneBonnePhrasedepasseLonguede63caracteres:c'estpasComplique!!!!
  • 3 Septembre 2009
    2009-09-11
    par
    Florent
    Comme on peut utiliser une clé longue, je ne m'embête pas avec un mot de passe. J'écris une phrase complète avec majuscule et ponctuation. J'imagine que les brute-forceurs de phrase ne sont pas encore arrivés :)
  • 3 Septembre 2009
    2009-09-11
    par
    Audenard Jean-François
    Merci pour l'info. Je viens de corriger. Bonne continuation !

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage