COMPTOIR
  
register

Composé par ————— —— 11908 vues

Le protocole WPA3 est là !

Après la publication du travail de recherche intitulé KRACK l'année dernière, qui mettait alors en évidence une faille au sein même de la conception du protocole WPA2, il était devenu assez évident qu'il allait falloir passer à autre chose incessamment sous peu. Et c'est ainsi que la Wi-Fi Alliance avait pris la décision d'accélérer la conception d'un remplacement et présenté début 2018 son projet de WPA3 afin d'enfin mettre à la retraite un protocole plutôt âgé. Finalement, quelques mois plus tard, l'Alliance a donc commencé la certification des routeurs et des appareils implémentant le nouveau protocole de sécurité. Si tout va bien, on ne devrait donc pas tarder à voir arriver des appareils certifiés WPA3 sur le marché.

 

Le WPA3 comporte majoritairement 4 améliorations sécuritaires majeures au travers des fonctionnalités suivantes : WPA3-Personal, WPA3 Entreprise, WiFi CERTIFIED Easy Connect et WiFi CERTIFIED Enhanced Open. Par exemple, l'identification par mot de passe sur un réseau sans-fil sera désormais normalement beaucoup plus résistante aux attaques brutes, y compris lorsque les utilisateurs ont mis en place un mot de passe peu difficile et peu complexe, ce qui est malheureusement encore souvent le cas !

Ensuite, WPA3 introduit également une amélioration - sous le programme WiFi CERTIFIED Enhanced Open - de la sécurité des réseaux ouverts, très répandus de nos jours dans les hôtels, les centres commerciaux, les cafés/restaurants et aussi les aéroports, et dont la fiabilité n'est pas toujours optimale. Une autre addition notable est l'ajout d'un chiffrement 192-bit pour le WPA3-Entreprise, développé plus particulièrement pour les environnements où sont traitées des données sensibles, comme dans les milieux gouvernementaux et financiers.

Enfin, avec son programme WiFi CERTIFIED Easy Connect, la WiFi Alliance a souhaité résoudre la tâche parfois relativement ardue de connexion des appareils avec peu ou pas d'affichage-écran. Pour ce faire le simple scan d'un QR Code suffira pour connecter un appareil à un réseau WiFi en utilisant par exemple la caméra d'un smartphone.

 

En théorie, c'est un ensemble de très bonnes améliorations, tout particulièrement l’intérêt porté aux réseaux ouverts dont il est parfois bien difficile de s'en passer, surtout en étant à l’étranger. Mais espéreront que l'empressement de la WiFi Alliance à vouloir remplacer le WPA2 n'aura pas affecté la qualité de développement du WPA3, ce serait un comble. De toute façon, on n'en doute pas que les pirates en herbes et autres chercheurs ne manqueront pas tôt ou tard de passer le nouveau protocole strictement à la loupe. Non pas sans mal, le WPA2 aura vécu pleinement 14 ans, à voir si le WPA3 sera capable de battre ce record !

 

Pour découvrir le WPA3 (en anglais), c'est là !
 
logo wifi alliance new
Un poil avant ?

Un "ordinateur" de 0,3 x 0,3 mm ! Enfin presque

Un peu plus tard ...

Et un ordinateur portable Huawei sur le banc de test

Les 15 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Un champion du monde embusqué, le Jeudi 28 Juin 2018 à 21h26  
par Xorg, le Jeudi 28 Juin 2018 à 11h17
Une meilleur résistance au brute force ? Ils ont prévu quoi, un délai d'attente entre deux vérifications ?
Probablement un papier cadeau spécial marketing pour renforcer la sécurité du WPA2...
par Scrumpz, le Jeudi 28 Juin 2018 à 18h43  
par UpsiloNIX, le Jeudi 28 Juin 2018 à 16h46
Justement c'est ce que j'ai expliqué, le Bruteforce d'un réseau Wifi ne se fait pas en tapant directement sur la borne (ce serait bien trop long et spotted trop facilement).
Tu récupères des paquets (chiffrés) à la volée, et tu fais les milliers d'essais en local sur les données que tu as récupérés (en vulgarisant). Du coup c'est totalement invisible pour la borne, jusqu'à ce que tu te connectes dessus, avec le bon mot de passe du premier coup
ah merde effectivement c'est un peu la mouise du coup
par UpsiloNIX, le Jeudi 28 Juin 2018 à 16h46  
par Scrumpz, le Jeudi 28 Juin 2018 à 12h38
j'entends par là, le brut force.
Quand tu vois 300.000 fois des mots passe différents utilisé
Justement c'est ce que j'ai expliqué, le Bruteforce d'un réseau Wifi ne se fait pas en tapant directement sur la borne (ce serait bien trop long et spotted trop facilement).
Tu récupères des paquets (chiffrés) à la volée, et tu fais les milliers d'essais en local sur les données que tu as récupérés (en vulgarisant). Du coup c'est totalement invisible pour la borne, jusqu'à ce que tu te connectes dessus, avec le bon mot de passe du premier coup
par Muhahaha embusqué, le Jeudi 28 Juin 2018 à 15h41  
par Psycho, le Jeudi 28 Juin 2018 à 12h13
La question est: les constructeurs auront-ils le syndrome de la flemmingite aiguë teintée d'une obsolescence programmée bien placée ou pas ?
Ce ne serait pas du tout de l'obsolescence programmée, qui est un défaut volontairement mit lors de la conception d'un produit.
Là ce serait juste une stratégie commerciale.

ça permettra à un guss de dire à plein d'autres guss : "This is a revolution, our new phone have a brand new unbreakable WiFi connection !"

Dans tout les cas c'est bon pour nous, car: "The more you buy, the more you save !"
par Scrumpz, le Jeudi 28 Juin 2018 à 12h38  
par UpsiloNIX, le Jeudi 28 Juin 2018 à 12h35
Ce n'est techniquement pas possible, puisque les opérations se faisaient hors ligne.
Je n'ai pas encore regardé les specs du WPA3 mais il y a des chances que les attaques se passent de la même façon : La capture de paquet est indédectable + les tentatives de crackage se font hors ligne (j'ai un doute sur ce second point pour le WPA3).
j'entends par là, le brut force.
Quand tu vois 300.000 fois des mots passe différents utilisé
par UpsiloNIX, le Jeudi 28 Juin 2018 à 12h35  
par Scrumpz, le Jeudi 28 Juin 2018 à 12h21
par contre il ne mettent pas en évidence la détection de brute force et autre technique pour avertir l'utilisateur c'est bien dommage, ça permettrai aussi bien au niveau sécurité entreprise & co que particulier de surveiller des agissements malveillants
Ce n'est techniquement pas possible, puisque les opérations se faisaient hors ligne.
Je n'ai pas encore regardé les specs du WPA3 mais il y a des chances que les attaques se passent de la même façon : La capture de paquet est indédectable + les tentatives de crackage se font hors ligne (j'ai un doute sur ce second point pour le WPA3).
par Psycho, le Jeudi 28 Juin 2018 à 12h29  
par Scrumpz, le Jeudi 28 Juin 2018 à 12h21
par contre il ne mettent pas en évidence la détection de brute force et autre technique pour avertir l'utilisateur c'est bien dommage, ça permettrai aussi bien au niveau sécurité entreprise & co que particulier de surveiller des agissements malveillants
Le matos d'entreprise possède déja des systèmes de prévention d'intrusion de toutes sortes, il est clair que c'est dommage que ce genre d'initiative tarde sur du matériel grand-public, à la rigueur on peut trouver cela sur des offres antivirus payantes.
par UpsiloNIX, le Jeudi 28 Juin 2018 à 12h28  
par Xorg, le Jeudi 28 Juin 2018 à 11h17
Une meilleur résistance au brute force ? Ils ont prévu quoi, un délai d'attente entre deux vérifications ?
C'est pas si simple, en fait avec le WPA2 il suffisait de récupérer quelques paquets à la volée pour chopper un Handshake, une fois ce handshake récupéré, si tu avais la machine appropriée, tu pouvais faire des millions de tests par seconde, puisque c'était totalement hors ligne.
Avec le WPA3, le "handshake" (l'équivalent) récupéré ne pourra être testé qu'une seule fois, et il faudra de nouveau récupérer des données du réseau pour retester une fois, ...
Donc ça veut dire qu'il faut beaucoup de trafic sur le réseau pour pouvoir tester beaucoup de fois ET toujours être à portée de la borne.
par Scrumpz, le Jeudi 28 Juin 2018 à 12h21  
par Xorg, le Jeudi 28 Juin 2018 à 11h17
Une meilleur résistance au brute force ? Ils ont prévu quoi, un délai d'attente entre deux vérifications ?

Avant que ses équipements soient compatibles avec le WPA3, tu as de la marge.
par contre il ne mettent pas en évidence la détection de brute force et autre technique pour avertir l'utilisateur c'est bien dommage, ça permettrai aussi bien au niveau sécurité entreprise & co que particulier de surveiller des agissements malveillants
par Scrumpz, le Jeudi 28 Juin 2018 à 12h19  
par Un ragoteur qui draille embusqué, le Jeudi 28 Juin 2018 à 11h18
Quid de la multitude d'objets en Wi-Fi déjà existant? Une MàJ logicielle ferais l'affaire ou faut tout changer?
oui la maj firmware des appareils suffira (maj système si tu préfères)
Donc pas besoin de changer d'appareil.
par Scrumpz, le Jeudi 28 Juin 2018 à 12h18  
par Psycho, le Jeudi 28 Juin 2018 à 12h13
Aucun problème en ce qui concerne la mise à jour des routeurs ou points d'accès sans-fil. Par contre, pour les périphériques clients c'est plus délicat. La question est: les constructeurs auront-ils le syndrome de la flemmingite aiguë teintée d'une obsolescence programmée bien placée ou pas ? Dans un cas aussi important que la sécurité des réseaux sans-fil, j'espère qu'ils prendront leurs responsabilités ... (Sur Android, on peut toujours se brosser )
bah après il sera toujours possible de flasher son téléphone....

Mais si les constructeurs prenaient leurs responsabilité... on aurait pas à le faire
par Psycho, le Jeudi 28 Juin 2018 à 12h13  
par Un ragoteur qui draille embusqué, le Jeudi 28 Juin 2018 à 11h18
Quid de la multitude d'objets en Wi-Fi déjà existant? Une MàJ logicielle ferais l'affaire ou faut tout changer?
Aucun problème en ce qui concerne la mise à jour des routeurs ou points d'accès sans-fil. Par contre, pour les périphériques clients c'est plus délicat. La question est: les constructeurs auront-ils le syndrome de la flemmingite aiguë teintée d'une obsolescence programmée bien placée ou pas ? Dans un cas aussi important que la sécurité des réseaux sans-fil, j'espère qu'ils prendront leurs responsabilités ... (Sur Android, on peut toujours se brosser )