Annexe A : L’alternative WPA

gestion de clés et d’authentification.
En 802.11, l’authentification 802.1x par les clients sans fil
est facultative, mais WPA exige 802.1x. WPA autorise deux
types d’authentificateurs. Pour le maximum de sécurité, l’authentificateur
doit être un serveur RADIUS (Remote
Authentication Dial-In User Service) utilisant EAP (Extensible
Authentication Protocol). Mais pour des réseaux plus petits,
WPA accepte aussi l’AP (Access Point) sans fil local comme authentificateur.
L’AP sans fil utilise alors une phrase de passe
secrète qu’il faut configure sur chaque AP sans fil et ordinateur
client. Les phrases de passe WPA sont plus faciles à  utiliser
que les clés prépartagées de WEP parce que chaque fabricant
a tendance à  traiter les clés prépartagées à  sa façon :
certains vous demandent d’entrer la clé en hexadécimal,
d’autres comme un mot de passe et ainsi de suite, au grand
dam de l’interopérabilité entre les composants sans fil. WPA
oblige tous les fabricants à  traiter les phrases de passe de manière
homogène. Cependant, les phrases de passe WPA ne
sont pas sans danger : elles peuvent introduire de fâcheuses
failles de sécurité à  moins d’utiliser une grande variété de caractères
aléatoires et d’adopter des phrases de passe d’au
moins 20 caractères.
Dans les standards antérieurs à  WPA (comme 802.11 avec
802.1x), les paquets multicast (comme le contenu streaming)
et broadcast ne bénéficient pas du changement de la clé de
cryptage après un certain nom de paquets, mais ces paquets
en bénéficient dans WPA. En outre, il est facultatif de redéfinir
les clés pour le trafic unicast (c’est-à -dire un trafic classique
où les paquets ne sont envoyés qu’à  un destinataire).
WPA requiert la redéfinition régulière des clés pour le trafic
broadcast, multicast et unicast, pour améliorer la sécurité.
Pour résoudre d’autres problèmes posés par le cryptage
Web de 802.11, WPA remplace WEP par TKIP (Temporal Key
Integrity Protocol) qui traite mieux les clés de cryptage. Pour
pallier les faiblesses du contrôle d’intégrité de 802.11 et de
WEP, WPA apporte une nouvelle méthode appelée Michael,
qui remplace l’ancien ICV (Integrity Check Value) à  32 bits de
802.11 par un MIC (Message Integrity Code) de 64 bits et un
nouveau compteur de trame pour déjouer les attaques par
replay. WPA présente un autre changement important : le
support d’AES (Advanced Encruption Standard), facultatif.
La plupart des sociétés devraient pouvoir passer à  WPA
sans acquérir de nouveau hardware. Des fournisseurs d’AP
sans fil, comme D-Link Systems, Linksys et Cisco Systems, offrent
déjà  des mises à  niveau du firmware WPA pour leurs AP
sans fil, que l’on peut télécharger puis flasher vers l’AP sans
fil. Pour faciliter le passage à  WPA, les AP sans fil conformes à 
WPA supportent temporairement un environnement mixte
de clients WPA et 802.11. Les NIC Wi-Fi peuvent supporter
WPA si vous obtenez des drivers mis à  jour. Jusqu’ici, seul
Windows Server 2003 et Windows XP supportent WPA et il
faut installer le WPA Wireless Security Update. Pour plus d’informations
sur WPA et sur le chargement de WPA Wireless
Security Update for XP, voir l’article Microsoft « Overview of
the WPA Wireless Security Update in Windows XP » (http://
support.microsoft.com/?kbid=815485).