Page d'accueil » comment » Avertissement Les réseaux Wi-Fi WPA2 cryptés sont toujours vulnérables à l'espionnage

    Avertissement Les réseaux Wi-Fi WPA2 cryptés sont toujours vulnérables à l'espionnage

    À l'heure actuelle, la plupart des gens savent qu'un réseau Wi-Fi ouvert permet aux gens d'écouter votre trafic. Le cryptage WPA2-PSK standard est censé empêcher cela, mais il n'est pas aussi infaillible que vous ne le pensez.

    Ce ne sont pas d'énormes nouvelles de dernière minute sur une nouvelle faille de sécurité. C'est plutôt ainsi que WPA2-PSK a toujours été implémenté. Mais c'est quelque chose que la plupart des gens ne savent pas.

    Réseaux Wi-Fi ouverts ou réseaux Wi-Fi cryptés

    Vous ne devriez pas héberger un réseau Wi-Fi ouvert chez vous, mais vous pouvez en utiliser un en public, par exemple dans un café, en passant par un aéroport ou dans un hôtel. Les réseaux Wi-Fi ouverts ne sont pas cryptés, ce qui signifie que tout ce qui est envoyé en direct est «en clair». Les gens peuvent surveiller votre activité de navigation et toute activité Web non sécurisée avec le cryptage peut être surveillée. Oui, cela est même vrai si vous devez vous «connecter» avec un nom d'utilisateur et un mot de passe sur une page Web après vous être connecté au réseau Wi-Fi ouvert..

    Le cryptage - comme le cryptage WPA2-PSK que nous vous recommandons d’utiliser à la maison - corrige quelque peu cette situation. Quelqu'un près de vous ne peut tout simplement pas capturer votre trafic et vous surveiller. Ils vont recevoir un tas de trafic crypté. Cela signifie qu'un réseau Wi-Fi crypté empêche votre trafic privé d'être surveillé.

    C'est un peu vrai - mais il y a une grande faiblesse ici.

    WPA2-PSK utilise une clé partagée

    Le problème avec WPA2-PSK est qu’il utilise une «clé pré-partagée». Cette clé est le mot de passe, ou phrase de passe, que vous devez entrer pour vous connecter au réseau Wi-Fi. Tout le monde qui se connecte utilise le même mot de passe.

    Il est assez facile pour quelqu'un de surveiller ce trafic crypté. Tout ce dont ils ont besoin, c'est:

    • Le mot de passe: Tout le monde ayant la permission de se connecter au réseau Wi-Fi aura cette.
    • Le trafic d'association pour un nouveau client: Si quelqu'un capture les paquets envoyés entre le routeur et un périphérique lors de la connexion, il dispose de tout ce dont il a besoin pour déchiffrer le trafic (en supposant qu'il dispose également du mot de passe composé, bien sûr). Il est également trivial d'obtenir ce trafic via des attaques par "annulation" qui déconnectent de force un périphérique d'un réseau Wi_Fi et l'obligent à se reconnecter, ce qui provoque la répétition du processus d'association..

    Vraiment, nous ne pouvons pas souligner à quel point c'est simple. Wireshark possède une option intégrée permettant de déchiffrer automatiquement le trafic WPA2-PSK tant que vous disposez de la clé pré-partagée et que vous avez capturé le trafic pour le processus d'association..

    Ce que cela signifie réellement

    Ce que cela signifie réellement, c'est que WPA2-PSK n'est pas beaucoup plus sûr contre l'espionnage si vous ne faites pas confiance à tout le monde sur le réseau. À la maison, vous devez être en sécurité, car votre mot de passe Wi-Fi est un secret..

    Toutefois, si vous vous rendez dans un café et qu'ils utilisent WPA2-PSK au lieu d'un réseau Wi-Fi ouvert, vous vous sentirez peut-être beaucoup plus en sécurité dans votre vie privée. Mais vous ne devriez pas - quiconque avec le mot de passe Wi-Fi du café pourrait surveiller votre trafic de navigation. D'autres personnes sur le réseau, ou simplement d'autres personnes possédant la phrase secrète, pourraient surveiller votre trafic si elles le souhaitaient..

    Assurez-vous de prendre cela en compte. WPA2-PSK empêche les personnes n'ayant pas accès au réseau d'espionner. Cependant, une fois qu'ils ont la phrase secrète du réseau, tous les paris sont ouverts.

    Pourquoi WPA2-PSK n'essaie-t-il pas d'arrêter cela??

    WPA2-PSK essaie réellement de mettre fin à cette situation en utilisant une «clé transitoire par paire» (PTK). Chaque client sans fil a un PTK unique. Cependant, cela n'aide pas beaucoup car la clé unique par client est toujours dérivée de la clé pré-partagée (la phrase secrète Wi-Fi). C'est pourquoi il est trivial de capturer la clé unique d'un client aussi longtemps que vous le possédez. Fi mot de passe et peut capturer le trafic envoyé via le processus d'association.

    WPA2-Enterprise résout ce problème… pour les grands réseaux

    Pour les grandes entreprises qui exigent des réseaux Wi-Fi sécurisés, cette faille de sécurité peut être évitée grâce à l'utilisation de l'authantication EAP avec un serveur RADIUS, parfois appelé WPA2-Enterprise. Avec ce système, chaque client Wi-Fi reçoit une clé vraiment unique. Aucun client Wi-Fi ne dispose de suffisamment d'informations pour commencer à surveiller tout simplement un autre client, ce qui renforce encore la sécurité. Les grandes entreprises ou les agences gouvernementales devraient utiliser WPA2-Enteprise pour cette raison.

    Mais ceci est trop compliqué et complexe pour la grande majorité des gens - ou même pour la plupart des geeks - à utiliser à la maison. Au lieu d'une phrase de passe Wi-FI que vous devez saisir sur les appareils que vous souhaitez connecter, vous devez gérer un serveur RADIUS qui gère l'authentification et la gestion des clés. Ceci est beaucoup plus compliqué pour les utilisateurs particuliers à configurer.

    En fait, cela ne vaut même pas votre temps si vous faites confiance à tout le monde sur votre réseau Wi-Fi ou à tout le monde ayant accès à votre mot de passe Wi-Fi. Cela n’est nécessaire que si vous êtes connecté à un réseau Wi-Fi crypté WPA2-PSK dans un lieu public - café, aéroport, hôtel ou même un grand bureau - où d’autres personnes, en qui vous ne faites pas confiance, ont également le Le mot de passe du réseau FI.


    Alors, le ciel tombe-t-il? Non bien sûr que non. Mais gardez cela à l'esprit: lorsque vous êtes connecté à un réseau WPA2-PSK, d'autres personnes ayant accès à ce réseau peuvent facilement surveiller votre trafic. Malgré ce que la plupart des gens peuvent croire, le cryptage ne fournit pas de protection contre les autres personnes ayant accès au réseau..

    Si vous devez accéder à des sites sensibles sur un réseau Wi-Fi public, en particulier sur les sites Web n'utilisant pas le cryptage HTTPS, envisagez de le faire via un VPN ou même un tunnel SSH. Le cryptage WPA2-PSK sur les réseaux publics n'est pas suffisant.

    Crédit d'image: Cory Doctorow sur Flickr, Groupe alimentaire sur Flickr, Robert Couse-Baker sur Flickr