> Tech > Les lacunes de 802.11 en matière de sécurité

Les lacunes de 802.11 en matière de sécurité

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Shon Harris
Grâce au miracle de la communication sans fil, on peut envoyer des informations confidentielles sécurisées sur des ondes ouvertes et partagées. Dans son standard WLAN (wireless LAN) 802.11, l'IEEE a intégré des mécanismes de sécurité concernant la confidentialité, le contrôle d'accès et l'intégrité des données qui empruntent la voie des ondes. Mais la technologie est-elle aussi sûre qu'elle le prétend ?

  Des constatations récentes indiquent que le standard 802.11 présente de graves failles dans son système de sécurité, permettant à  des assaillants d'accéder, par de banales attaques, à  des informations confidentielles. Ces découvertes portent un sérieux coup aux affirmations de l'IEEE quant à  son standard et aux déclarations de nombreux fournisseurs à  propos de la sécurité des produits sans fil utilisant le standard 802.11. Pour comprendre les défauts du standard 802.11, il faut pénétrer dans les entrailles du protocole WEP (Wired Equivalent Privacy) et de son algorithme de cryptage RC4.

Les lacunes de 802.11 en matière de sécurité

  La communication sans fil existe depuis plusieurs années.

Mais elle ne s’est banalisée que récemment. Les appareils portables

(PDA, téléphones cellulaires, portables, etc.) ont proliféré, permettant

aux utilisateurs mobiles d’accéder aux comptes e-mail, aux sites

Internet, aux transactions bancaires en ligne, et aux transactions
boursières. Face à  cette explosion, les fournisseurs de VLAN ont

développé à  la hâte des solutions réseaux sans fil propriétaires et les

fournisseurs d’applications se sont empressés d’écrire de nouveaux

programmes sans fil. Les appareils de communication sans fil utilisent

une pile de protocoles et des langages de programmation différents
de ceux des PC et serveurs en réseau local (LAN) câblé. Le besoin
d’une pile de protocoles différente s’explique par la maigreur des

ressources de ces appareils (puissance de CPU, mémoire, stockage, par
exemple), une puissance limitée, et un affichage rudimentaire. En vue

de fournir une connexion aussi sécurisée que celle d’une voie de

communication câblée équivalente, le standard 802.11 applique le

protocole WEP, qui utilise un contrôle de redondance cyclique
(CRC, cyclical redundancy check) pour l’intégrité des données et le

procédé (stream cipher) RC4 pour le cryptage et le décryptage. Les

développeurs du WEP affirment que, comme WEP ne traite que des messages

cryptés, le protocole s’oppose aux tentatives d’écoute illicites et

contrôle l’accès à  l’ordinateur de destination.

  Pour battre en brèche ces affirmations, un groupe de

recherche de l’University of California, Berkeley, a démontré comment

certaines attaques peuvent mettre à  mal toute communication sans fil

utilisant WEP. (Pour obtenir l’analyse détaillée des constatations de ce

groupe, aller à  http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html.) Le

groupe a pratiqué l’écoute illicite passive pour intercepter et

décrypter le trafic, a redirigé le trafic IP d’une connexion sans fil

vers les ordinateurs du groupe, utilisé des attaques de dictionnaire

pour décrypter le trafic en temps réel, et pratiqué des attaques actives

pour injecter du nouveau trafic à  partir d’appareils sans fil non

autorisés. Muni seulement d’un portable, d’une carte d’interface

Ethernet sans fil, et d’un driver NIC, le groupe a modifié le driver et

a été capable de décrypter et de lire les données voyageant d’un

appareil sans fil vers une station de base.

Téléchargez gratuitement cette ressource

Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Ce livre blanc expose les problématiques auxquelles sont confrontés les DAF modernes et souligne les bénéfices de la facturation électronique pour la trésorerie. Il dévoile également le processus de déploiement de ce projet de transformation digitale que la réglementation rendra bientôt obligatoire.

Tech - Par iTPro.fr - Publié le 24 juin 2010