À l’heure actuelle, la plupart des gens savent qu’un réseau Wi-Fi ouvert permet aux gens d’écouter votre trafic. Le cryptage standard WPA2-PSK est censé empêcher cela de se produire – mais ce n’est pas aussi infaillible que vous pourriez le penser.
Ce n’est pas une énorme nouvelle concernant une nouvelle faille de sécurité. C’est plutôt la façon dont WPA2-PSK a toujours été implémenté. Mais c’est quelque chose que la plupart des gens ne savent pas.
Réseaux Wi-Fi ouverts par rapport aux réseaux Wi-Fi cryptés
Vous ne devriez pas héberger un réseau Wi-Fi ouvert à la maison, mais vous pouvez vous retrouver en utilisant un en public – par exemple, dans un café, en passant par un aéroport ou dans un hôtel. Les réseaux Wi-Fi ouverts n’ont pas de cryptage, ce qui signifie que tout ce qui est envoyé en direct est «en clair». Les gens peuvent surveiller votre activité de navigation et toute activité Web qui n’est pas sécurisée par le cryptage lui-même peut être surveillée. Oui, cela est même vrai si vous devez vous «connecter» avec un nom d’utilisateur et un mot de passe sur une page Web après vous être connecté au réseau Wi-Fi ouvert.
Le cryptage – comme le cryptage WPA2-PSK que nous vous recommandons d’utiliser à la maison – corrige quelque peu ce problème. Une personne à proximité ne peut pas simplement capturer votre trafic et vous espionner. Ils recevront un tas de trafic crypté. Cela signifie qu’un réseau Wi-Fi crypté protège votre trafic privé contre les espionnages.
C’est un peu vrai – mais il y a une grande faiblesse ici.
WPA2-PSK utilise une clé partagée
Le problème avec WPA2-PSK est qu’il utilise une «clé pré-partagée». Cette clé est le mot de passe, ou phrase de passe, que vous devez saisir pour vous connecter au réseau Wi-Fi. Tous ceux qui se connectent utilisent la même phrase secrète.
Il est assez facile pour quelqu’un de surveiller ce trafic chiffré. Tout ce dont ils ont besoin est:
- La phrase secrète: Toutes les personnes autorisées à se connecter au réseau Wi-Fi auront cela.
- Le trafic d’association pour un nouveau client: Si quelqu’un capture les paquets envoyés entre le routeur et un appareil lorsqu’il se connecte, il a tout ce dont il a besoin pour décrypter le trafic (en supposant qu’il possède également la phrase de passe, bien sûr). Il est également trivial d’obtenir ce trafic via des attaques «deauth» qui déconnectent de force un appareil d’un réseau Wi_Fi et le forcent à se reconnecter, provoquant à nouveau le processus d’association.
Vraiment, nous ne pouvons pas souligner à quel point c’est simple. Wireshark a une option intégrée pour décrypter automatiquement le trafic WPA2-PSK tant que vous disposez de la clé pré-partagée et que vous avez capturé le trafic pour le processus d’association.
Ce que cela signifie réellement
Cela signifie en fait que WPA2-PSK n’est pas beaucoup plus sûr contre les écoutes clandestines si vous ne faites pas confiance à tout le monde sur le réseau. À la maison, vous devez être en sécurité car votre mot de passe Wi-Fi est un secret.
Cependant, si vous allez dans un café et qu’ils utilisent WPA2-PSK au lieu d’un réseau Wi-Fi ouvert, vous pourriez vous sentir beaucoup plus en sécurité dans votre vie privée. Mais vous ne devriez pas – n’importe qui avec la phrase de passe Wi-Fi du café peut surveiller votre trafic de navigation. D’autres personnes sur le réseau, ou simplement d’autres personnes avec la phrase secrète, pourraient espionner votre trafic si elles le souhaitaient.
Assurez-vous d’en tenir compte. WPA2-PSK empêche les personnes sans accès au réseau d’espionner. Cependant, une fois qu’ils ont la phrase de passe du réseau, tous les paris sont ouverts.
Pourquoi WPA2-PSK n’essaye-t-il pas d’arrêter cela?
WPA2-PSK essaie en fait d’arrêter cela en utilisant une «clé transitoire par paire» (PTK). Chaque client sans fil possède un PTK unique. Cependant, cela n’aide pas beaucoup car la clé unique par client est toujours dérivée de la clé pré-partagée (la phrase de passe Wi-Fi.) C’est pourquoi il est trivial de capturer la clé unique d’un client tant que vous avez le Wi-Fi. Fi passphrase et peut capturer le trafic envoyé via le processus d’association.
WPA2-Enterprise résout ce problème… pour les grands réseaux
Pour les grandes organisations qui exigent des réseaux Wi-Fi sécurisés, cette faiblesse de sécurité peut être évitée grâce à l’utilisation de l’authantication EAP avec un serveur RADIUS – parfois appelé WPA2-Enterprise. Avec ce système, chaque client Wi-Fi reçoit une clé vraiment unique. Aucun client Wi-Fi n’a suffisamment d’informations pour commencer à fouiner un autre client, ce qui offre une sécurité beaucoup plus grande. Les grandes entreprises ou les agences gouvernementales devraient utiliser WPA2-Enteprise pour cette raison.
Mais c’est trop compliqué et complexe pour la grande majorité des gens – ou même la plupart des geeks – à utiliser à la maison. Au lieu d’une phrase de passe Wi-FI que vous devez saisir sur les appareils que vous souhaitez connecter, vous devez gérer un serveur RADIUS qui gère l’authentification et la gestion des clés. C’est beaucoup plus compliqué à mettre en place pour les particuliers.
En fait, cela ne vaut même pas votre temps si vous faites confiance à tout le monde sur votre réseau Wi-Fi ou à toute personne ayant accès à votre phrase secrète Wi-Fi. Cela n’est nécessaire que si vous êtes connecté à un réseau Wi-Fi crypté WPA2-PSK dans un lieu public – café, aéroport, hôtel ou même un plus grand bureau – où d’autres personnes en qui vous ne faites pas confiance ont également le Wi- Phrase de passe du réseau FI.
Alors, le ciel tombe-t-il? Non bien sûr que non. Mais gardez cela à l’esprit: lorsque vous êtes connecté à un réseau WPA2-PSK, d’autres personnes ayant accès à ce réseau peuvent facilement surveiller votre trafic. Malgré ce que la plupart des gens peuvent croire, ce cryptage ne fournit pas de protection contre d’autres personnes ayant accès au réseau.
Si vous devez accéder à des sites sensibles sur un réseau Wi-Fi public – en particulier des sites Web n’utilisant pas le cryptage HTTPS – envisagez de le faire via un VPN ou même un tunnel SSH. Le cryptage WPA2-PSK sur les réseaux publics n’est pas suffisant.
Crédit d’image: Cory Doctorow sur Flickr, Food Group sur Flickr, Robert Couse-Baker sur Flickr
