Les réseaux sans fil vont bientôt avoir accès à un nouveau protocole de sécurité : le WPA3. Le consortium Wi-Fi Alliance annonce la certification de ce mécanisme amélioré, qui sécurisera davantage les liaisons Wi-Fi.

Le protocole Wi-Fi Protected Access 2 (WPA2), qui sert à sécuriser une liaison sans fil entre le point d’accès (la box) et le client (l’ordinateur par exemple), a désormais un successeur : le WPA3. Lundi 25 juin, l’instance qui réunit les industriels fabriquant des systèmes sans fil, la Wi-Fi Alliance, a en effet officialisé le nouveau mécanisme chargé de protéger les communications des regards indiscrets.

Il était temps : la certification du WPA2 remonte à 2004, une éternité dans le monde de la sécurité informatique. Si ce protocole a pendant longtemps démontré sa robustesse, des modèles d’attaque particuliers contre lui ont commencé à voir le jour, dont la faille Krack, qui est à ce jour la vulnérabilité la plus critique qui a été rendue publique, obligeant l’industrie à réagir en urgence.

« Le WPA3 ajoute de nouvelles fonctionnalités pour simplifier la sécurité Wi-Fi, fournir une authentification plus robuste et apporter un degré cryptographique accru », écrit dans un communiqué la Wi-Fi Alliance. Comme avec les générations précédentes, le WPA3 proposera des procédures spécifiques selon les utilisateurs : WPA3-Personal pour le grand public et WPA3-Enterprise pour les professionnels.

Vitre brisée
La brèche Krack. Allégorie.
CC Desirae

Une bascule qui sera lente

Si l’arrivée de la certification du WPA3 est une bonne nouvelle — elle avait été annoncée pour cette année –, il faut avoir en tête que toutes les fonctionnalités et les mécanismes de fonctionnement du nouveau protocole ne seront pas disponibles du jour au lendemain. Il faudra des années pour que cette nouvelle génération se diffuse dans les entreprises et parmi le grand public.

Tout dépendra du rythme de renouvellement des matériels capables de se brancher à un réseau sans fil, ou de leur mise à jour par les constructeurs. Si vos terminaux sont récents, il est raisonnable de penser qu’ils bénéficieront d’une mise à jour logicielle qui leur permettra de fonctionner avec le WP3. S’ils sont anciens par contre, il faudra se contenter du WPA2 — qui est toutefois loin d’avoir rendu les armes.

Mais qu’en est-il d’un foyer qui aurait à la fois des équipements fonctionnant en WPA3 et d’autres uniquement en WPA2 ? Pas de panique, ils pourront quand même se parler : il y aura une rétrocompatibilité, de façon à ce que les systèmes compatibles en WPA3 passent en WPA2 lorsque les autres n’ont que ce protocole à disposition pour communiquer. La transition se fera ainsi tout en douceur.

En clair, vous pouvez tout à fait acheter un matériel en WPA3 : il fonctionnera chez vous.

wifi-wi-fi-reseau-connexion-liaison-sans-fil
CC Josh Zakary

Atouts du WPA3

La Wi-Fi Alliance a donné des précisions sur les atouts du WPA3, comme sa faculté à résister aux attaques hors-ligne par dictionnaire — c’est-à-dire en enchaînant toutes les combinaisons possibles dans l’espoir de tomber sur celle qui donnera accès aux échanges chiffrés. Ce type d’attaque se déroule «  sans autre interaction avec le réseau », une fois que l’assaillant a récupéré une séquence du réseau Wi-Fi ciblé.

Comme le note The Verge, un assaillant ne peut faire qu’une tentative avec le WP3 dans les conditions décrites ci-dessus. S’il veut en faire d’autres, il doit maintenir une interaction avec le réseau Wi-Fi qu’il cible, ce qui est plus difficile, car il lui faut être à portée ; cela peut engendrer une organisation et une logistique excessives, outre le fait que les appareils peuvent être configurés pour contrer les tentatives successives.

La Wi-Fi Alliance mentionne aussi l’emploi de la confidentialité persistante (forward secrecy). Il s’agit d’une propriété cryptographique garantissant que la découverte de la clé privée d’un correspondant ne remet pas en cause la confidentialité des communications passées. En clair, le trafic qui a déjà été transmis reste protégé même si le mot de passe pour accéder au réseau a été compromis.

Seuls les échanges futurs seront menacés.

Enfin, toujours selon la Wi-Fi Alliance, le WPA3 aura une «  sélection naturelle du mot de passe » pour « permettre aux utilisateurs de choisir des mots de passe plus faciles à mémoriser », et restera « facile d’utilisation », en offrant « des protections améliorées sans modification de la façon dont les utilisateurs se connectent à un réseau ». Bref, tout ceci sera transparent pour l’usager.

Calendrier à venir

Pour l’heure, il n’est pas encore question de rendre le mécanisme WPA3 obligatoire ; seul le WPA2 l’est. En outre, la Wi-Fi Alliance n’entend pas délaisser le développement de l’actuel protocole. Elle rappelle qu’elle « a introduit des améliorations et de nouvelles fonctions en début d’année […] afin de s’assurer que WPA2 maintient de fortes protections de sécurité au fur et à mesure que le paysage sans fil évolue ».

La Wi-Fi Alliance prévient toutefois que le mécanisme WPA3 deviendra à terme obligatoire, à mesure que le marché basculera vers cette nouvelle norme. Selon nos confrères, une accélération du déploiement est à prévoir en 2019 et l’adoption de masse devrait être constatée en fin d’année prochaine. À ce moment-là, la Wi-Fi Alliance pourrait juger qu’un appareil est certifié Wi-Fi que s’il gère le WPA3.

De la documentation sur la sécurité proposée par le WPA3 et sur un nouveau mode de connexion simplifié aux réseaux sans fil (Wi-Fi Easy Connect) est disponible sur le site de la Wi-Fi Alliance.

Partager sur les réseaux sociaux