par Shon Harris
Grâce au miracle de la communication sans fil, on peut envoyer des
informations confidentielles sécurisées sur des ondes ouvertes et
partagées. Dans son standard WLAN (wireless LAN) 802.11, l'IEEE a
intégré des mécanismes de sécurité concernant la confidentialité,
le contrôle d'accès et l'intégrité des données qui empruntent la voie des ondes. Mais la technologie est-elle aussi sûre qu'elle le prétend ?
Des constatations récentes indiquent que le standard
802.11 présente de graves failles dans son système de sécurité,
permettant à des assaillants d'accéder, par de banales attaques, à
des informations confidentielles. Ces découvertes portent un sérieux
coup aux affirmations de l'IEEE quant à son standard et aux déclarations
de nombreux fournisseurs à propos de la sécurité des produits sans fil
utilisant le standard 802.11. Pour comprendre les défauts du standard
802.11, il faut pénétrer dans les entrailles du protocole WEP (Wired
Equivalent Privacy) et de son algorithme de cryptage RC4.
La communication sans fil existe depuis plusieurs années.
Mais elle ne s’est banalisée que récemment. Les appareils portables
(PDA, téléphones cellulaires, portables, etc.) ont proliféré, permettant
aux utilisateurs mobiles d’accéder aux comptes e-mail, aux sites
Internet, aux transactions bancaires en ligne, et aux transactions
boursières. Face à cette explosion, les fournisseurs de VLAN ont
développé à la hâte des solutions réseaux sans fil propriétaires et les
fournisseurs d’applications se sont empressés d’écrire de nouveaux
programmes sans fil. Les appareils de communication sans fil utilisent
une pile de protocoles et des langages de programmation différents
de ceux des PC et serveurs en réseau local (LAN) câblé. Le besoin
d’une pile de protocoles différente s’explique par la maigreur des
ressources de ces appareils (puissance de CPU, mémoire, stockage, par
exemple), une puissance limitée, et un affichage rudimentaire. En vue
de fournir une connexion aussi sécurisée que celle d’une voie de
communication câblée équivalente, le standard 802.11 applique le
protocole WEP, qui utilise un contrôle de redondance cyclique
(CRC, cyclical redundancy check) pour l’intégrité des données et le
procédé (stream cipher) RC4 pour le cryptage et le décryptage. Les
développeurs du WEP affirment que, comme WEP ne traite que des messages
cryptés, le protocole s’oppose aux tentatives d’écoute illicites et
contrôle l’accès à l’ordinateur de destination.
Pour battre en brèche ces affirmations, un groupe de
recherche de l’University of California, Berkeley, a démontré comment
certaines attaques peuvent mettre à mal toute communication sans fil
utilisant WEP. (Pour obtenir l’analyse détaillée des constatations de ce
groupe, aller à http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html.) Le
groupe a pratiqué l’écoute illicite passive pour intercepter et
décrypter le trafic, a redirigé le trafic IP d’une connexion sans fil
vers les ordinateurs du groupe, utilisé des attaques de dictionnaire
pour décrypter le trafic en temps réel, et pratiqué des attaques actives
pour injecter du nouveau trafic à partir d’appareils sans fil non
autorisés. Muni seulement d’un portable, d’une carte d’interface
Ethernet sans fil, et d’un driver NIC, le groupe a modifié le driver et
a été capable de décrypter et de lire les données voyageant d’un
appareil sans fil vers une station de base.
Téléchargez cette ressource
Guide de Cyber-résilience pour Microsoft 365
La violation de votre tenant M365 va au-delà d’un simple incident de cybersécurité. Elle peut entraîner une interruption opérationnelle généralisée, des perturbations commerciales et une exposition de vos données sensibles. Découvrez les méthodes et technologies pour évaluer, comparer et renforcer votre posture de sécurité Microsoft 365.
Pour offrir les meilleures expériences, nous utilisons des technologies telles que les cookies pour stocker et/ou accéder aux informations des appareils. Le fait de consentir à ces technologies nous permettra de traiter des données telles que le comportement de navigation ou les ID uniques sur ce site. Le fait de ne pas consentir ou de retirer son consentement peut avoir un effet négatif sur certaines caractéristiques et fonctions.
Fonctionnel
Toujours activé
Le stockage ou l’accès technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’internaute, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
Le stockage ou l’accès technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou la personne utilisant le service.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
Le stockage ou l’accès technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’internaute sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
