Ce ne sont pas d’énormes nouvelles concernant une nouvelle faille de sécurité. C'est plutôt ainsi que WPA2-PSK a toujours été implémenté. Mais c’est quelque chose que la plupart des gens ne savent pas.
Réseaux Wi-Fi ouverts ou réseaux Wi-Fi cryptés
Vous ne devez pas héberger de réseau Wi-Fi ouvert chez vous, mais vous pouvez en utiliser un en public, par exemple dans un café, en passant par un aéroport ou un hôtel. Les réseaux Wi-Fi ouverts ne sont pas cryptés, ce qui signifie que tout ce qui est envoyé par liaison radio est «en clair». Les gens peuvent surveiller votre activité de navigation et toute activité Web non sécurisée avec le cryptage peut être surveillée. Oui, cela est même vrai si vous devez vous «connecter» avec un nom d'utilisateur et un mot de passe sur une page Web après vous être connecté au réseau Wi-Fi ouvert.
Le cryptage - comme le cryptage WPA2-PSK que nous vous recommandons d’utiliser à la maison - corrige quelque peu cette situation. Une personne à proximité ne peut tout simplement pas capturer votre trafic et vous surveiller. Ils vont recevoir beaucoup de trafic crypté. Cela signifie qu'un réseau Wi-Fi crypté empêche votre trafic privé d'être surveillé.
C’est vrai, mais il ya une grande faiblesse ici.
WPA2-PSK utilise une clé partagée
Le problème avec WPA2-PSK est qu’il utilise une «clé pré-partagée». Cette clé est le mot de passe, ou phrase secrète, que vous devez entrer pour vous connecter au réseau Wi-Fi. Toutes les personnes qui se connectent utilisent la même phrase secrète.
C’est assez facile pour quelqu'un de surveiller ce trafic crypté. Tout ce dont ils ont besoin, c'est:
- Le mot de passe: Tous ceux qui ont la permission de se connecter au réseau Wi-Fi auront cette information.
- Le trafic d'association pour un nouveau client: Si quelqu'un capture les paquets envoyés entre le routeur et un périphérique lors de la connexion, il dispose de tout ce dont il a besoin pour déchiffrer le trafic (en supposant qu'il dispose également du mot de passe composé, bien sûr). Il est également trivial d’obtenir ce trafic par le biais d’attaques de type «deauth» qui déconnectent de force un périphérique d’un réseau Wi_Fi et le forcent à se reconnecter, ce qui entraîne la répétition du processus d’association.
Vraiment, nous ne pouvons pas souligner à quel point c'est simple. Wireshark possède une option intégrée permettant de déchiffrer automatiquement le trafic WPA2-PSK, à condition que vous disposiez de la clé pré-partagée et que vous ayez capturé le trafic pour le processus d'association.
Ce que cela signifie réellement
Cela signifie en réalité que WPA2-PSK n’est pas beaucoup plus sûr contre l’écoute si vous ne faites pas confiance à tout le monde sur le réseau. À la maison, vous devez être en sécurité car votre phrase secrète Wi-Fi est un secret.
Toutefois, si vous vous rendez dans un café et qu'ils utilisent WPA2-PSK au lieu d'un réseau Wi-Fi ouvert, vous vous sentirez peut-être beaucoup plus en sécurité dans votre vie privée. Mais vous ne devriez pas: personne avec le mot de passe Wi-Fi du café-restaurant ne pourrait surveiller votre trafic de navigation. D'autres personnes sur le réseau, ou simplement d'autres personnes possédant la phrase secrète, pourraient surveiller votre trafic si elles le souhaitaient.
Assurez-vous de prendre cela en compte. WPA2-PSK empêche les personnes n'ayant pas accès au réseau d'espionner. Cependant, une fois qu'ils ont la phrase secrète du réseau, tous les paris sont désactivés.
Pourquoi WPA2-PSK n’essaie-t-il pas d’arrêter cela?
WPA2-PSK essaie réellement de mettre fin à cela en utilisant une «clé transitoire par paire» (PTK). Chaque client sans fil a un PTK unique. Cependant, cela n'aide pas beaucoup car la clé unique par client est toujours dérivée de la clé pré-partagée (la phrase secrète Wi-Fi). C'est pourquoi il est trivial de capturer la clé unique d'un client tant que vous possédez la clé Wi-Fi. Fi mot de passe et peut capturer le trafic envoyé via le processus d'association.
WPA2-Enterprise résout ce problème… pour les grands réseaux
Pour les grandes entreprises qui exigent des réseaux Wi-Fi sécurisés, cette faille de sécurité peut être évitée grâce à l'utilisation de l'authantication EAP avec un serveur RADIUS, parfois appelé WPA2-Enterprise. Avec ce système, chaque client Wi-Fi reçoit une clé unique. Aucun client Wi-Fi ne dispose de suffisamment d'informations pour commencer à surveiller tout simplement un autre client, ce qui renforce encore la sécurité. Les grandes entreprises ou les agences gouvernementales devraient utiliser WPA2-Enteprise pour cette raison.
Mais ceci est trop compliqué et complexe pour la grande majorité des gens - ou même pour la plupart des geeks - à utiliser à la maison. Au lieu d’une phrase de passe Wi-FI, vous devez entrer sur les appareils que vous souhaitez connecter, vous devez gérer un serveur RADIUS qui gère l’authentification et la gestion des clés. Ceci est beaucoup plus compliqué à configurer pour les utilisateurs à domicile.
En fait, cela ne vaut même pas votre temps si vous faites confiance à tout le monde sur votre réseau Wi-Fi ou à tout le monde ayant accès à votre phrase secrète Wi-Fi. Cela n’est nécessaire que si vous êtes connecté à un réseau Wi-Fi crypté WPA2-PSK dans un lieu public - café, aéroport, hôtel ou même un grand bureau - où d’autres personnes, en qui vous ne faites pas confiance, ont également le La phrase secrète du réseau FI.
Alors, le ciel tombe-t-il? Non bien sûr que non. Mais gardez cela à l’esprit: lorsque vous êtes connecté à un réseau WPA2-PSK, d’autres personnes ayant accès à ce réseau peuvent facilement espionner votre trafic.Malgré ce que la plupart des gens peuvent croire, ce cryptage ne protège pas contre les autres personnes ayant accès au réseau.
Si vous devez accéder à des sites sensibles sur un réseau Wi-Fi public, en particulier sur des sites Web n'utilisant pas le cryptage HTTPS, envisagez de le faire via un VPN ou même un tunnel SSH. Le cryptage WPA2-PSK sur les réseaux publics n’est pas suffisant.
