Le WiFi reste une vulnérabilité majeure pour les organisations et les utilisateurs individuels dans notre monde mobile connecté numériquement. Le WiFi non sécurisé présente des faiblesses que les cybercriminels peuvent facilement exploiter, qu’il s’agisse d’un pirate informatique qui attaque le réseau d’une entreprise à partir du parking ou d’un criminel qui capture le trafic sans fil dans un café.
Malgré ces vulnérabilités, il semble étrange que le mécanisme principal du WiFi soit basé sur le protocole de sécurité WPA2, introduit pour la première fois en 2004. De nombreux routeurs certifiés WPA2 restent rétrocompatibles avec le protocole de sécurité WEP, introduit en 1999, qui est facile à pirater avec les outils actuels. Bien que des améliorations aient été apportées à la sécurité WiFi depuis sa création, il est déconcertant de constater qu’il existe tant de faiblesses évidentes que les pirates peuvent exploiter pour attaquer les périphériques connectés.
La bonne nouvelle est que WiFi Alliance, un consortium qui possède la marque WiFi, a lancé le protocole WPA3 plus tôt cette année. À certains égards, le WPA3 représente une amélioration considérable par rapport à son prédécesseur, car il renforce certains des passifs inhérents au protocole WPA2. Mais, comme tous les protocoles de sécurité, il ne traite pas toutes les vulnérabilités et c’est pourquoi les PME doivent continuer à utiliser une approche de sécurité multicouche. Nous avons énuméré les vulnérabilités du réseau WiFi dans son état actuel. Nous allons également expliquer la façon dont WPA3 les traite avec succès ou non.
Zoom sur le protocole WPA3
Plus la solution de sécurité que vous mettez en place pour protéger votre réseau est ancienne, moins elle est efficace. La raison est simple : les différents protocoles de sécurité ont été développés en fonction des menaces de l’époque. Ils peuvent donc devenir obsolètes au fil du temps, notamment lorsque de nouvelles formes de cyberattaques apparaissent. En fait, les pirates informatiques trouvent toujours diverses manières de les contourner et, en cas d’attaque réussie, les dommages que peut subir l’entreprise peuvent être considérables.
Le protocole WPA3 – ou WiFi Protected Access 3 – est une norme de sécurité qui vous permet de régir ce qui se passe lorsque vous vous connectez à un réseau WiFi fermé via un mot de passe. Il a été publié en 2018, après que des chercheurs en sécurité ont découvert une faille importante dans le protocole WPA2 (son prédécesseur). Suite à une attaque nommée KRACK, ou Key Reinstallation Attack, des pirates ont réussi à voler des données, telles que des identifiants de connexion, des informations sur les cartes de crédit, des chats privés, etc., lesquelles ont été transmises sur des réseaux sans fil.
Pour améliorer la cybersécurité des réseaux personnels, les développeurs du protocole WPA ont décidé d’y apporter de nouvelles capacités. Ils ont utilisé un système de chiffrement plus sécurisé des mots de passe ainsi qu’une protection renforcée contre les attaques par force brute. Ces deux mesures se combinent pour protéger davantage le WiFi domestique. Mais le protocole WPA3 possède d’autres caractéristiques encore plus intéressantes.
Autres caractéristiques du nouveau WPA3
Voici quelques-unes des fonctionnalités les plus frappantes que WPA3 apporte. Elles sont disponibles à la fois pour les réseaux WiFi personnels et professionnels ainsi que pour l’Internet des objets :
- La protection contre les attaques par force brute : WPA3 fournit une protection renforcée contre ces menaces qui sont généralement menées lorsque vous êtes hors ligne. Le protocole vise à rendre la tâche beaucoup plus difficile pour un pirate informatique lorsqu’il tente de trouver ou déchiffrer votre mot de passe.
- Le protocole Forward Secrecy : dans ce cas, WPA3 utilise la mesure de sécurité de la poignée de main (handshake) SAE (ou authentification simultanée d’égaux). Il s’agit d’une fonctionnalité de sécurité dédié à empêcher les cybercriminels de déchiffrer le trafic réseau lors de l’échange de clé et vise à résister aux attaques hors-ligne par dictionnaire.
- Protection des réseaux publics ouverts : cette fonctionnalité est importante pour les utilisateurs qui se connectent au réseau WiFi dans les gares, les centres commerciaux, les restaurants, etc. Pour renforcer la sécurité, le protocole WPA3 utilise le chiffrement individualisé des données ; une fonction qui chiffre le trafic sans fil entre votre appareil et le point d’accès WiFi.
- Chiffrement avancé des réseaux sensibles : en utilisant WPA3 Enterprise, les réseaux sans fil qui contrôlent les données confidentielles peuvent protéger les connexions par le biais d’un chiffrement 192 bits.
Vulnérabilité n° 1 — WiFi ouvert non chiffré
De nombreux commerces de détail comme les cafés, les restaurants et les halls d’entrée des hôtels continuent d’utiliser le WiFi ouvert 802.11. Malgré la faiblesse évidente de permettre aux utilisateurs d’envoyer du trafic en texte brut vers le point d’accès local, les petites entreprises continuent cette pratique à cause d’un simple fait : la facilité.
Un point d’accès WiFi (SSID) ouvert n’exige pas que les utilisateurs saisissent une clé pré-partagée lorsqu’ils essaient de se connecter, ce qui signifie que les propriétaires de magasins n’ont pas à se soucier des tracas liés à la distribution de la clé à leurs clients.
Avec WPA3, il n’y a plus de réseaux ouverts.
WPA3 introduit le chiffrement sans fil opportuniste (OWE), qui est peut-être la meilleure fonctionnalité de cette nouvelle norme. OWE permet aux réseaux qui n’offrent pas de mots de passe et de clés de fournir un chiffrement qui ne nécessite aucune configuration ou interférence de la part des utilisateurs.
Il peut faire cela par le biais d’un processus appelé « Individualized Data Protection (IDP) », ou littéralement Protection individualisée des données. Avec l’IDP, chaque appareil reçoit sa propre clé du point d’accès réseau (PA) même s’il ne s’est jamais connecté. Ainsi, les pirates ne peuvent pas renifler la clé et le trafic. IDP est également utile pour les réseaux protégés par mot de passe, car même si on connaît le mot de passe, cela ne donne pas accès à la communication chiffrée des autres périphériques.
Vulnérabilité n° 2 — Complexité et fissuration des mots de passe
Bien que le WPA2 soit beaucoup plus sûr que le WEP, il reste vulnérable à la fissuration des mots de passe. C’est ce qu’a démontré l’attaque WPA2 KRACK qui a été découverte l’année dernière et qui a nécessité des mises à jour de l’appareil pour l’éliminer.
WPA2 n’est sécurisé que si un utilisateur est capable de créer un mot de passe sécurisé, car la négociation à 4 voies utilisée par WPA2 est susceptible d’être attaquée hors-ligne à partir de dictionnaires de mots de passe courts. Comme tout le monde n’est pas formé à l’art pour créer un mot de passe sécurisé, la protection offerte par WPA2 n’est pas aussi bonne que la capacité de l’utilisateur à créer un mot de passe infaillible.
Le WPA3 offre une protection robuste des mots de passe courts et longs grâce à l’authentification simultanée d’égal à égal (SAE) qui remplace le protocole d’échange PSK (Pre-Shared Key) utilisé par WPAS2. SAE, également connue sous le nom de Dragonfly Key Exchange, est plus sûre dans la gestion de l’échange de clés initial et résiste aux attaques de déchiffrement hors ligne.
Autres vulnérabilités
Bien qu’OWE et SAE soient les deux améliorations les plus spectaculaires de la nouvelle norme sans fil, d’autres garanties ont également été ajoutées.
La fonction WiFi Protected Setup (WPS) qui permettait de relier facilement de nouveaux appareils — comme un prolongateur WiFi — à un réseau sans fil avait ses limites de sécurité. Ces problèmes ont été résolus grâce au nouveau protocole DPP (WiFi Device Provisioning Protocol) amélioré.
De plus, la nature de WPA2-Enterprise — qui permettait une multitude de paramètres de connexion tels que TLS, SHA, EAP, etc. — a créé des failles de sécurité. Avec le WPA3, les circonstances dans lesquelles les clients négocient la sécurité d’une connexion EAP-TLS ont été éliminées.
Ce que le WPA3 ne traite pas pour la sécurité WiFi
Bien qu’OWE fournisse un chiffrement pour les SSID qui n’incluent pas de phrase de chiffrement, il n’a pas d’élément d’authentification. Cela rend le WPA3 tout aussi acceptable que son prédécesseur pour les attaques Man-in-the-Middle et Evil Twin. En d’autres termes, tant qu’un utilisateur connecte un périphérique au point d’accès approprié, son flux de données est entièrement protégé.
WPA3 assure uniquement la protection entre le périphérique client et le PA. Cela signifie que votre appareil WPA3 reste encore sensible aux codes malveillants provenant de sites de déploiement de malwares connus et de sites web du genre drive-by. Bien que le WPA3 ait apporté quelques améliorations internes précises, votre WiFi a donc besoin d’être toujours protégé par une solution de filtrage web DNS sécurisé.
Des contrôles visant à empêcher les acteurs malveillants d’entreprendre plusieurs tentatives de connexion via des mots de passe couramment utilisés sont attendus, ainsi qu’une configuration plus simplifiée pour les dispositifs de l’internet des objets (IoT) qui n’ont pas d’affichage. Par ailleurs, le nouveau protocole WPA3 utilisera la sécurité 192 bits ou l’algorithme commercial de sécurité nationale pour améliorer la sécurité des réseaux gouvernementaux, de défense et industriels.
Joe Hoffman, Directeur de la recherche sur les technologies de connectivité sans fil chez SAR Insight & Consulting, a déclaré :
« Les technologies pour sécuriser les réseaux sans fil peuvent durer des décennies. Il est donc important qu’elles soient continuellement mises à jour pour répondre aux besoins de l’industrie du WiFi. Le WiFi évolue pour maintenir son haut niveau de sécurité au fur et à mesure que les demandes de l’industrie augmentent. »
Limites de l’utilisation du protocole WPA3
L’une des principales limites du WPA3 réside dans le fait que peu de clients le prennent en charge actuellement. Ce fait n’est pas anodin, car ce nouveau protocole n’a pris effet qu’en 2019. Pour Windows 10, il n’est pris en charge qu’à partir de la version 1903. Les appareils macOS, quant à eux, ne sont compatibles avec le WPA3 qu’à partir de la version 10.15. En ce qui concerne les appareils IoT, comme ceux utilisant les systèmes iOS et iPadOS, ce protocole n’a été introduit qu’à partir de la version 13. Enfin, pour les appareils Android, le WPA3 n’est compatible qu’à partir de la version Android 10. A noter toutefois que la prise en charge peut varier en fonction du Smartphone ou de la tablette que vous utilisez.
Autre élément important : pour utiliser ce protocole, certains périphériques WiFi peuvent requérir la reconfiguration de la connexion WiFi. Les périphériques WiFi plus anciens ne supportent pas les cadres de gestion protégés, ce qui les empêche de se connecter à votre réseau sans fil. Dans ce cas, vous devrez procéder à une mise à jour du micrologiciel.
Un rapport publié par deux chercheurs de l’Université de Tel Aviv et l’Université de New York a également mis en évidence certains des problèmes qui sont associés à l’utilisation du protocole WPA3. En réalité, WPA3 semble présenter des défauts, notamment au niveau du mécanisme d’authentification SAE. Ils ont présenté une description autonome et complète de WPA3 et ont estimé que les mécanismes anti-congestion du SAE n’empêchent pas les attaques par déni de service. Pour découvrir ces failles, les deux chercheurs ont réalisé un grand nombre d’attaques sur les différents mécanismes composant le WPA3 (attaque par dictionnaire contre le protocole, attaque secondaire de microarchitecture contre SAE, etc.). A la fin des tests, ils ont conclu que le WPA3 n’a pas la sécurité requise pour qu’il puisse être considéré comme une norme de sécurité moderne et que cette norme doit encore être développée davantage avant d’être largement adoptée.
Ces quelques précisions montrent encore une fois que le passage d’un protocole de sécurité à l’autre ne va jamais sans poser certaines difficultés. Mais quelle que soit la décision que vous choisissez, vous pouvez toujours adopter d’autres mesures pour mieux sécuriser votre réseau, comme l’utilisation d’un système de filtrage DNS.
Un filtre DNS basé dans le cloud peut vous fournir la protection dont vos clients et utilisateurs ont besoin
Une fois que les utilisateurs se connectent à votre infrastructure WiFi, un système de filtrage DNS comme WebTitan Cloud for WiFi vous permet de :
- Filtrer les contenus web à travers plusieurs points d’accès WiFi,
- Créer un environnement de navigation plus sûr pour les familles,
- Gérer les points d’accès via une interface unique basé sur le web,
- Déléguer la gestion de vos points d’accès WiFi,
- Utiliser des filtres de contenu par site web, par catégorie de sites web, par mot-clé, par plage horaire, etc.
- Bloquer les URL et contenus offensants et inappropriés pour les employés, les mineurs, etc.
- Utiliser de listes noires et des listes blanches pour protéger votre réseau de nombreuses menaces en ligne comme les attaques de phishing,
- Bloquer les téléchargements de malwares et de ransomwares,
- Inspecter les sites web chiffrés par le biais des certificats SSL,
- Programmer et obtenir des rapports à la demande,
- Avoir une vue en temps réel des activités web des utilisateurs finaux de votre réseau,
- Limiter l’utilisation de la bande passante en cas de besoin,
- Intégrer le filtre web dans vos systèmes existants grâce à une suite d’interfaces de programmation d’application.
Pour plus d’informations sur la sécurité de votre réseau sans fil, y compris les prix de WebTitan for WiFi, et pour réserver une démonstration du produit, contactez l’équipe TitanHQ dès aujourd’hui.
Conclusion
Dans notre monde moderne, il est presque impossible de fonctionner sans accès à l’Internet sans fil. Partout, les gens comptent sur la connexion sans fil pour réaliser d’innombrables activités, du divertissement au travail, en passant par la formation, etc. Toutefois, l’omniprésence d’internet peut représenter un danger sous-jacent, notamment à cause des cybercriminels qui ne cessent d’exploiter les failles de sécurité dans votre réseau pour accéder à vos données et informations sensibles.
En passant à la nouvelle norme WPA3, la sécurité de votre réseau sans fil sera améliorée. Mais il est aussi recommandé d’ajouter une solution tierce pour mieux protéger vos données. Vous pouvez faire cela en choisissant WebTitan Cloud for WiFi. Grâce à cette solution basée dans le cloud, vos employés, invités, etc., seront protégés une fois qu’ils seront connectés à votre réseau.
Si vous voulez protéger et prendre le contrôle de votre réseau, ou si vous êtes un fournisseur de services gérés (MSP) qui cherchez une solution multilocataires pour fournir un service de filtrage web à vos clients, optez pour WebTitan Cloud for WiFi. C’est un moyen rapide, facile à utiliser et peu coûteux qui garantit une excellente protection en ligne pour votre entreprise.
Contactez TitanHQ dès aujourd’hui pour plus d’informations sur nos solutions et nos prix ou pour bénéficier d’une démonstration en direct. Si vous le souhaitez, vous pouvez-même vous inscrire à un essai gratuit pour évaluer l’efficacité de nos produits dans votre propre environnement.
FAQs
En quelques mots, quels sont les avantages du protocole WPA3 ?
WPA3 est la prochaine génération de la sécurité du Wifi. Il s’appuie sur le succès et l’adoption généralisée de WPA2, en ajoutant de nouvelles fonctionnalités afin de simplifier la sécurité Wifi, de permettre une authentification plus robuste et de maintenir la résilience des réseaux critiques.
Un filtre DNS est-il facile à configurer ?
Oui, il est très simple à configurer. Il suffit de transmettre votre DNS à votre fournisseur de services gérés. Cela peut se faire via votre pare-feu, votre routeur ou votre contrôleur de domaine en tant que zone de redirection. Une fois que votre DNS configuré pour envoyer des requêtes à votre prestataire, vous pouvez gérer entièrement votre solution dans un tableau de bord et consulter des rapports en temps quasi réel.
Est-ce qu’un filtre DNS ne ralentit pas ma connexion ?
Lorsque vous choisissez votre fournisseur de services gérés, assurez-vous simplement qu’il possède des serveurs répartis dans plusieurs endroits, de manière à ce que vous puissiez atteindre le serveur le plus proche de vous. Cela vous permet d’avoir un temps de réponse très rapide lors d’une requête.
Puis-je avoir plusieurs politiques sur le même réseau ?
Vous pouvez le faire en mettant en place des sous-réseaux séparés sur votre réseau. Faites en sorte que le DHCP distribue des adresses DNS différentes à chaque sous-réseau (également appelés IP NAT). Sinon, vous pouvez utiliser un logiciel pour spécifier différentes politiques.
Mes données sont-elles en sécurité sur le réseau de mon fournisseur de services gérés ?
La nature du service de votre fournisseur de services gérés est de faire correspondre les noms Internet à des adresses IP. Lorsque ces noms constituent une menace pour la sécurité ou sont bloqués par votre politique d’utilisation de l’Internet, votre filtre n’autorise pas la connexion. En fait, les informations que vous transférez ne passent jamais par les serveurs de votre prestataire. Il ne fait que les traduire.