Annoncés en début d’année 2018 lors du CES (Consumer Electronic Show) et officialisés en juin dernier par la Wi-Fi Alliance, organisation à but non lucratif qui certifie les normes de réseaux Wi-Fi, WPA3, le nouveau protocole de sécurité Wi-Fi et successeur de WPA2 est désormais disponible. WPA3 ainsi que Enhanced Open et Easy Connect, deux autres nouveaux protocoles Wi-Fi CERTIFIED distincts du premier, sont immédiatement mis à la disposition des fabricants afin de les intégrer dans la conception de leurs nouveaux appareils Wi-Fi. Les détails sur ces améliorations et ces nouvelles fonctionnalités ont été annoncées par la Wi-Fi Alliance, le 6 septembre dernier.En effet, il est plus qu’impératif d’améliorer continuellement la sécurité des milliards d’appareils à travers le monde entier disposant de la fonctionnalité Wi-Fi afin de protéger les utilisateurs des pirates informatiques dont les techniques d’attaque sont de plus en plus sophistiquées. C’est pour répondre à cette problématique que la Wi-Fi Alliance a officialisé le WPA3 et les deux autres protocoles qui sont constitués de mises à jour majeures et indispensables dont certaines avaient commencé à être mise en œuvre avec WPA2.
Comme déjà annoncé en juin dernier, WPA3, comme ses prédécesseurs WPA et WPA2, se décline en deux modes de sécurité : WPA3-Personal, qui est optimisé pour les petits réseaux et WPA3-Enterprise, qui est un protocole destiné aux déploiements Wi-Fi à grande échelle dans les environnements d'entreprise.
Cependant, cette annonce de disponibilité de nouveaux protocoles ne fait pas l'objet de remplacement obligatoire et immédiat de WPA2 qui demeure toujours un protocole Wi-Fi CERTIFIED jusqu’à ce que WPA3, Enhanced Open et Easy Connect soient progressivement adoptés avec l’arrivée de nouveaux appareils sur le marché.
Voici les nouveautés introduites à travers WPA3 et les deux autres protocoles.
Les changements apportés par WPA3
L’un des changements majeurs introduits par le protocole WPA3 est le mécanisme d’authentification SAE (Simultaneous Authentication of Equals). C’est un mécanisme qui met davantage l’accent sur l’authentification, période sensible pendant laquelle la vigilance du système de sécurité doit être opérationnelle afin de distinguer les connections normales des intrusions. SAE est une nouvelle méthode d’authentification qui vient renforcer cette capacité de veille en dictant exactement comment un nouvel appareil, ou utilisateur, devrait « saluer » un routeur réseau lorsqu'il échange des clés cryptographiques.
Ce nouveau mécanisme plus résistant remplace la méthode PSK (Pre-Shared Key) en vigueur depuis le lancement de WPA2 en 2004. En effet, cette dernière méthode a été découverte par la technique d’attaques par réinstallation de clés (KRACK). SAE résiste à ces attaques ainsi qu’aux attaques par dictionnaire utilisées en cryptanalyse pour trouver un mot de passe, selon IEEE Spectrum.
En outre, SAE offre une nouvelle fonctionnalité de sécurité appelée forward secrecy que la méthode PSK n’offre pas. En effet, auparavant, un pirate qui avait accès à des données chiffrées envoyées à un routeur sur un réseau par Internet pouvait attendre de récupérer ensuite un mot de passe et tenter de déchiffrer les données interceptées précédemment. Ceci n’est plus possible avec SAE car le mot de passe de chiffrement est renouvelé à l’établissement de chaque nouvelle connexion.
Un autre changement apporté par WPA3 est la méthode de chiffrement en 192 bits qui présente un niveau de sécurité excessif. Cette nouvelle méthode est une version de certification WPA3 optimisée pour les réseaux qui traitent des informations particulièrement sensibles tels que les réseaux des industriels, des entreprises du secteur de la finance, des organismes de la défense, des gouvernements ou toute autre organisation avec des exigences de haute sécurité. Néanmoins, ces mesures restent optionnelles pour l’instant, selon IEEE Spectrum.
Les changements apportés par Easy Connect
Easy Connect est un nouveau protocole de connexion pour les réseaux WPA2 et WPA3, qui permet aux utilisateurs d'ajouter des périphériques avec une interface d'affichage limitée ou inexistante à un réseau en scannant un code QR unique intégré à chaque appareil à l’aide d’un smartphone déjà connecté. Le code QR sert de clé publique qui après avoir été analysé, le réseau et le périphérique échangent et authentifient les clés afin de pouvoir connecter l’appareil. Les appareils certifiés Easy Connect doivent être certifiés WPA2 et pas nécessairement certifiés WPA3.
Les changements apportés par Enhanced Open
Le troisième mécanisme lancé par Wi-Fi Alliance, c’est le protocole Enhanced Open. Il est, également, distinct de WPA3 et a été prévu pour protéger les périphériques contre les attaques passives sur les réseaux ouverts tels que les réseaux des cafés et des aéroports, entre autres. Les défis de sécurité sur ces genres de réseaux sont différents de ceux des réseaux domestiques ou professionnels.
Enhanced Open sécurise les utilisateurs sur les réseaux ouverts en utilisant la méthode de chiffrement OWE (Opportunistic Wireless Encryption) qui ne nécessite aucune sorte d'authentification supplémentaire mais améliore plutôt le chiffrement des données envoyées sur le réseau pour les protéger contre les actes malveillants.
Ces nouveaux changements Wi-Fi CERTIFIED, bien que très utiles, ne pourront pas devenir des normes d’ici peu. C’est avec le renouvellement progressif des routeurs et des périphériques par les fabricants que ces mesures deviendront populaires et pourront remplacer la norme WPA2.
Source : IEEE Spectrum
Et vous ?
Pensez-vous que WPA3, Enhanced Open et Easy Connect relèveront tous les défis de sécurité des réseaux Wi-Fi au cours des années à venir ? Voir aussi
WPA2 : des chercheurs en sécurité sont parvenus à casser le protocole de sécurité de Wi-Fi, les utilisateurs du monde entier sont désormais menacés Alerte sécurité : une nouvelle attaque sur les protocoles WPA/WPA2 impacterait plusieurs dispositifs Wifi, qui génèrent les hash PKMID Le FBI et l'US-CERT détaillent deux cybermenaces qui viendraient de Corée du Nord, et les recommandations d'usage permettant de les combattre Sécurité : 57 % des entreprises pensent avoir été exposées par leurs travailleurs mobiles l'an dernier, avec l'utilisation des Wi-Fi publics WPA2 : Microsoft a déjà colmaté la faille affectant ce protocole, Apple a implémenté un correctif dans des versions bêta d'iOS et macOS 
