communications WiFi en WPA "classique" (TKIP) : quelques conseils

Partager

L'information est largement disponible sur le Net depuis plusieurs jours : les communications WiFi utilisant le protocole WPA "classique" (c'est à dire utilisant l'algorithme Temporal Key Integrity Protocol ou TKIP) peuvent être cassées en quelques minutes. Pour plus de détails, le papier des chercheurs Japonais est disponible en téléchargement.

Ce qui est nouveau, c'est que cette attaque est désormais faisable très rapidement.

en résumé, que cela veut-il dire et que faire ?

Sur les protocoles de sécurisation WiFi :

  • WEP : à proscrire
  • WPA + TKIP : à proscrire
  • WPA2 + TKIP : à proscrire
  • WPA + AES (aussi connu sous CCMP) : OK
  • WPA2 + AES (aussi connu sous CCMP) : OK

premier conseil

Vérifier que points d'accès WiFi utilisent bien WPA+AES ou WPA2+AES (profitez-en pour vérifier que le mot de passe d'accès à la configuration de l'équipement n'est pas celui par défaut ou trivial).

second conseil

Il est essentiel de générer des clefs WPA de qualité (longues et complexes) afin que les communications soient protégées au mieux. Si vous manquez d'inspiration pour vos clefs, je vous recommande cette page (en https svp) du site GRC.com (Ultra High Security Password Generator) : 3 types de clefs sont générées à chaque chargement de la page.

Pour les plus paranoïaques, préférez celle de "63 random printable ASCII characters" !

Certains détracteurs diront "ce n'est pas gérable des clefs si longues" : je leur répondrais que très (trop) souvent, ces clefs ne sont jamais changées. Il fait donc sens de gérer la complexité une seule fois mais de la meilleure façon possible... Après, chacun est maître dans son domaine et prends ses responsabilités. :-)

dernier conseil

Outre les bornes WiFi présentes dans vos locaux, profitez-en pour vérifier la configuration de celle de votre domicile !

Correction: Suite au commentaire de Sid, je viens de modifier les infos concernant WPA2. En effet, TKIP est aussi disponible avec WPA2 : à proscrire et préférer encore une fois AES. J'en profite pour vous inviter à lire l'article de Sid sur le sujet "Man in the Middle sur WPA ?". Instructif.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)