Way To Learn AcademyKnowledge Assessment

Securite Wi Fi WEP WPA WPA2 WPA3

CCST Networking (Cisco Certified Support Technician)Wireless Technologies

Securite Wi Fi WEP WPA WPA2 WPA3

Définition

La securite Wi-Fi repose sur deux piliers : l'authentification (qui a le droit de se connecter ?) et le chiffrement (les donnees sont-elles protegees en transit ?). Les protocoles ont evolue de WEP (casse en minutes) vers WPA, WPA2 et WPA3, chacun corrigeant les failles du precedent.

Contexte

CCST demande de connaitre l'evolution des protocoles de securite, de savoir pourquoi WEP est obsolete, et de distinguer les modes Personal et Enterprise.

Détails techniques

Tableau comparatif des protocoles

Protocole Année Chiffrement Authentification Sécurité
Open Aucun Aucune Nulle
WEP 1999 RC4 (cle statique 64/128 bits) Shared Key ou Open Cassé — ne jamais utiliser
WPA 2003 TKIP (RC4 ameliore) PSK ou 802.1X Transitionnel, obsolete
WPA2 2004 AES-CCMP PSK ou 802.1X Standard actuel minimum
WPA3 2018 AES-GCMP (256 bits) SAE ou 802.1X Recommande

Pourquoi WEP est casse

  • Utilise une cle statique partagee et un vecteur d'initialisation (IV) de seulement 24 bits.
  • Apres ~40 000 trames, les IV se repetent → un attaquant peut retrouver la cle en quelques minutes avec des outils comme aircrack-ng.
  • A proscrire definitivement.

TKIP vs AES-CCMP vs AES-GCMP

Mécanisme Algorithme Clé Intégrité Utilisé par
TKIP RC4 (ameliore) 128 bits, rotation par trame Michael MIC WPA
AES-CCMP AES (block cipher) 128 bits CBC-MAC WPA2
AES-GCMP AES (Galois/Counter) 128 ou 256 bits GHASH WPA3

Mode Personal vs Enterprise

Mode Authentification Gestion des clés Usage
Personal (PSK) Cle pre-partagee (mot de passe) Meme cle pour tous les utilisateurs Domicile, petit bureau
Enterprise (802.1X) Identifiants individuels via RADIUS Cle unique par session et par utilisateur Entreprise, campus

En mode Enterprise, le processus est :

  1. Le client s'associe a l'AP.
  2. L'AP bloque tout trafic sauf les echanges EAP (Extensible Authentication Protocol).
  3. L'AP relaie les credentials vers un serveur RADIUS.
  4. Apres validation, le serveur genere une cle de session unique.
  5. Le client et l'AP derivent les cles de chiffrement pour la session.

WPA3 et SAE

  • SAE (Simultaneous Authentication of Equals) remplace le 4-way handshake PSK classique.
  • Protege contre les attaques par dictionnaire hors ligne : meme si un attaquant capture le handshake, il ne peut pas tester des mots de passe hors ligne.
  • Forward secrecy : chaque session utilise une cle ephemere unique. La compromission d'une session ne compromet pas les precedentes.
  • WPA3-Enterprise peut utiliser un chiffrement 192 bits (suite CNSA) pour les environnements gouvernementaux ou militaires.

Bonnes pratiques

  • Ne jamais utiliser WEP ou WPA (TKIP).
  • Configurer WPA2-AES au minimum, WPA3 de preference.
  • En entreprise, privilegier le mode Enterprise avec authentification 802.1X.
  • Utiliser des mots de passe longs (> 12 caracteres) en mode Personal.

Exemple concret

Un administrateur reseau remplace un vieux routeur configure en WEP par un AP supportant WPA3-Personal. Il configure un mot de passe de 16 caracteres avec SAE. Meme si un attaquant capture les trames d'association, il ne peut pas lancer d'attaque par dictionnaire hors ligne. Pour le reseau d'entreprise, il deploie WPA2-Enterprise avec un serveur FreeRADIUS et des identifiants Active Directory pour chaque employe.

Concepts liés

utilitaires de connexion et de diagnostic cote hoteibss bss ess et ssidpoints d acces nic et roles des equipements sans fil
Roaming Et Mobilite Wi FiUtilitaires De Connexion Et De Diagnostic Cote Hote