Game of Thrones est dans l’air du temps ! Et tout ce qui a trait aux dragons me rappelle GoT. La vulnérabilité Dragonblood a récemment mis en évidence la faible sécurité du protocole WPA3. Il y a tout juste un an, KRACK exposait les faiblesses du protocole WPA2. En réponse, un successeur plus fort de WPA2 avait été annoncé par la Wi-Fi Alliance : WPA3.
Mais était-il vraiment aussi fort qu’annoncé ? Il semblerait que non.
Le WPA3 intégrait le protocole de poignée de main appelé « authentification simultanée des égaux » (pour Simultaneous Authentication of Equals, ou SAE), ce qui représentait une amélioration de taille par rapport au WPA2 car il prévenait les attaques par dictionnaire. Ces mesures de sécurité par poignée de main SAE sont communément appelées Dragonfly. Cette poignée de main est sensible aux attaques par partitionnement de mots de passe, qui ressemblent à des attaques par dictionnaire et exploitent des fuites par canal auxiliaire pour récupérer les mots de passe du réseau.
Selon les chercheurs Vanhoef et Ronen, à l’origine du rapport sur cette vulnérabilité, le WPA3 est affecté par de graves défauts de conception qui auraient pu être évités par des retours d’experts de l’industrie sur le Wi-Fi sécurisé. Parmi ces défauts figure le fait que le WPA3 n’a pas introduit de nouveaux protocoles, mais seulement des instructions sur les protocoles existants qui devraient être pris en charge.
Le WPA3 a apporté des améliorations par rapport au WPA2 en utilisant les méthodes de sécurité les plus récentes, en interdisant les protocoles existants obsolètes et en mettant en œuvre l’utilisation de la fonctionnalité PMF (Protected Management Frames). Il a été conçu en pensant à deux types de réseaux : la protection des réseaux domestiques avec WPA3-Personal et celle des réseaux d’entreprise avec WPA3-Enterprise.
WPA3-Personal offre une protection accrue des mots de passe du réseau tandis que WPA3-Enterprise offre des protocoles de sécurité plus élevés pour les réseaux d’entreprise. Dans les réseaux WPA3-Personal, la poignée de main SAE remplace la clé pré-partagée (Pre-Shared Key, PSK) dans les réseaux WPA2-Personal. Le WPA3 bénéficie de la sélection naturelle des mots de passe, d’une facilité d’utilisation et de la confidentialité persistante.
WPA3-Personal demande la prise en charge des poignées de main SAE, qui est un échange de clés d’authentification de mot de passe symétrique où deux terminaux (PA et PA, ou PA et client) stockent les mots de passe en clair. L’entrée de la poignée de main SAE est un secret pré-partagé et la sortie est une clé PMK (Pairwise Master Key) à entropie élevée. Après cette exécution, une poignée de main en quatre étapes a lieu pour générer une clé PTK (Pairwise Transient Key).
La vulnérabilité Dragonblood peut être corrigée par des correctifs logiciels. Tandis que la Wi-Fi Alliance communique des directives aux fournisseurs, assurez-vous que votre réseau est toujours protégé par des correctifs issus des dernières mises à jour de sécurité des fabricants d’appareils sans fil. En outre, utilisez des mots de passe forts sur vos réseaux.
Non. Cette vulnérabilité n’affecte pas les points d’accès sans fil de SonicWall. Les points d’accès SonicWave offrent une sécurité sans fil supérieure et une troisième radio dédiée à l’analyse de sécurité. Les services de sécurité avancés, tels que la technologie sandbox Capture Advanced Threat Protection (ATP) et le service de filtrage de contenu (CFS), peuvent être mis en œuvre par les PA, même lorsqu’ils ne sont pas connectés aux pare-feu. Cela vous donne la flexibilité nécessaire pour gérer la technologie sans fil depuis le cloud ou via les pare-feu, sans compromettre la sécurité.
Share This Article
An Article By
An Article By
SonicWall Staff
SonicWall Staff