Le chiffrement

Wep,WPA,TKIP,AES en mode CCM,CCMP… il suffit de demander à un spécialiste des protocoles WiFi d’expliquer sommairement comment tout cela fonctionne pour y perdre son latin. Il serait nécessaire de maîtriser un vocabulaire complexe qui parle de clefs, de hash, d’iv, d’algorithmes… De ce charabia, il ne faut retenir en fait que très peu de choses : le protocole WEP (récemment encensé par certains Ministres ayant voté la loi Hadopi) est à proscrire impérativement. Il se casse en moins d’une heure grâce à des outils à la portée d’un enfant de 10 ans (notamment Aircrack ng). TKIP est une légère amélioration de WEP, et WPA-PSK est “à peine” plus solide. La plus élémentaire des prudences demande de “cocher la case”WPA2 dans les paramètres du réseau Wlan. Ce protocole n’est pas inviolé (le fameux “trou 196”) mais demeure l’un des plus pratiques à déployer et les plus difficiles à casser… pour le moment. Plus solide encore, WPA Radius (authentification PEAP/MsChapv2 pour les intimes, alias WPA Enterprise) nécessite l’installation d’un serveur d’authentification RADIUS. Lequel serveur peut être accessible depuis une liaison Internet si l’on souhaite déployer ce procédé auprès de multiples agences. Ces protocoles de chiffrement ne sont en aucun cas une panacée : ils doivent être accompagnés d’autres mesures, notamment de filtrage MAC / IP, de segmentations logiques et physiques entre points d’accès, d’insertions de firewall aux endroits stratégiques, et de sérieuses précautions architecturales (DMZ notamment), lorsque les Wlan doivent échanger des données avec un maillage cuivre ou communiquer sur le réseau public. La couche radio n’exempte pas des pratiques en usage sur les réseaux câblés classiques …