La Wi-Fi Alliance est presque prête à fournir WPA3 aux consommateurs et aux fournisseurs de services. La nouvelle norme de sécurité Wi-Fi s'appuiera sur la norme WPA2 vieillissante, inaugurant une nouvelle ère de sécurité Wi-Fi.
Qu'est-ce que WPA3 améliore ? Votre routeur l'utilisera-t-il ? Et quand WPA3 sera-t-il disponible ? Jetons un coup d'œil.
WPA signifie Wi-Fi Protected Access . Votre réseau domestique utilise probablement WPA2, la deuxième itération et la plus préférée de la norme WPA. Pourquoi? Parce que c'est la meilleure protection disponible -- ou du moins, c'était le cas.
Malheureusement, WPA2 a été compromis à l'aide d'une attaque d'installation de clé (ou KRACK, en abrégé). Cependant, même avec KRACK en jeu, WPA2 est toujours beaucoup plus sécurisé que son prédécesseur essentiellement défunt, WPA, et avant cela, WEP.
WPA2 régit ce qui se passe lorsque vous vous connectez à un réseau Wi-Fi fermé. Essentiellement, WPA2 utilise un cryptage fort pour protéger votre mot de passe et toutes les autres communications de toute personne souhaitant espionner. En fait, depuis mars 2006, les appareils affichant une marque Wi-Fi doivent être conformes à la norme WPA2.
WPA2 a également introduit une poignée de main sécurisée à quatre voies entre le point d'accès et le client potentiel. Sans aller trop loin, cette poignée de main à quatre voies permet à chaque appareil de confirmer son mot de passe et sa clé de cryptage sans jamais divulguer la clé. L'introduction d'un cryptage fort dans la norme WPA a entraîné une légère baisse des performances du réseau, mais qui est tout à fait négligeable par rapport à l'amélioration de la sécurité.
WPA3 est la norme la plus récente. Il introduit quatre composants clés introuvables dans WPA2. Comme WPA2, à moins que les fabricants ne disposent des quatre composants suivants, leurs appareils ne peuvent pas être commercialisés en tant que "Wi-Fi CERTIFIED™ WPA3™".
Repensons aux poignées de main. La poignée de main garantit que les mots de passe corrects sont utilisés entre chaque client et définit le type de cryptage utilisé pour sécuriser la connexion. L'exploit KRACK a révélé des vulnérabilités sous-jacentes dans la procédure de prise de contact WPA2.
WPA3 définit une nouvelle poignée de main qui « fournira des protections robustes même lorsque les utilisateurs choisissent des mots de passe qui ne répondent pas aux recommandations de complexité typiques ». Ceci est particulièrement utile pour ceux qui ont des mots de passe faibles. La norme WPA3 protège contre les attaques par dictionnaire de force brute (attaques qui tentent de deviner les mots de passe encore et encore).
À présent, la plupart des internautes comprennent que les connexions Wi-Fi publiques sont un handicap potentiel. Ils sont toujours moins sécurisés que votre connexion domestique en raison des limites de sécurité inhérentes à la sécurité sans fil existante, et du fait que la grande majorité des propriétaires de librairies ne sont pas également des mordus de la sécurité du réseau.
Les nouvelles normes WPA3 promettent de "renforcer la confidentialité des utilisateurs dans les réseaux ouverts grâce au cryptage des données individualisé". En théorie, cela signifie que chaque fois que vous vous connectez à un point d'accès sans fil public, votre trafic sera crypté, que vous saisissiez ou non un mot de passe. Il s'agit d'une avancée majeure pour la sécurité des réseaux Wi-Fi publics.
La nouvelle norme WPA3 introduira une sécurité supplémentaire bien nécessaire pour les appareils de l'Internet des objets. C'est une décision bienvenue, car de plus en plus d'appareils IoT sont mis en ligne sans fonctionnalités de sécurité adéquates.
Un problème majeur de sécurité IoT est le manque de mots de passe modifiables. Taper un nouveau mot de passe sur un grille-pain ou un mixeur est étonnamment difficile car vos mains se brûlent. Je plaisante. C'est parce qu'ils n'ont pas d'interface utilisateur graphique avec laquelle interagir, ce qui rend le passage à un mot de passe plus sécurisé presque impossible.
Naturellement, le fait d'avoir des milliers d'appareils en ligne utilisant tous un seul mot de passe pose un problème ou deux. Par exemple, le puissant botnet Mirai a exploité des appareils IoT mal protégés dans ses attaques DDoS massives. L'identifiant numéro un utilisé pour compromettre les appareils ? Une combinaison nom d'utilisateur et mot de passe "Admin ; Admin", bien sûr.
Il existe peu de détails sur la manière dont WPA3 améliorera directement la sécurité des appareils IoT, mais des chercheurs en sécurité de l'Université de Southampton, au Royaume-Uni, ont réussi à mettre à jour la sécurité des appareils IoT en les configurant avec un smartphone.
WPA3 introduit le cryptage 192 bits et l'alignement "avec la suite d'algorithmes de sécurité nationale commerciale du Comité sur les systèmes de sécurité nationale". Bien que ce ne soit pas une fonctionnalité "wow", cela donne certainement un coup de pouce significatif à la sécurité des consommateurs.
Toutes ces mises à jour de sécurité sonnent bien, non ? Heureusement, la Wi-Fi Alliance pense que les appareils prenant en charge WPA3 sont presque là. Ils devraient commencer à arriver sur le marché vers la fin de 2018. Cependant, comme mentionné précédemment, les nouveaux appareils doivent prendre en charge les nouvelles fonctionnalités, sinon ils ne recevront pas la nouvelle marque WPA3.
Si vous envisagez d'acheter un nouveau routeur, il est probablement préférable de le faire. WPA3 apparaîtra probablement dans les dernières étapes de 2018, mais il est possible que la grande majorité des appareils ne reçoivent tout simplement pas les mises à jour à temps. Les smartphones, ordinateurs portables, tablettes et autres ont tous besoin de correctifs de sécurité ou de mises à jour pour s'assurer que les appareils peuvent utiliser WPA3. Il se peut que vous n'utilisiez pas de routeur WPA3 avec vos appareils pendant un certain temps après la mise en place de la norme.
Le cas échéant, cela vaudra la peine de mettre à niveau ou de changer votre routeur. Mais, jusqu'à présent, la Wi-Fi Alliance n'a rien annoncé sur la prise en charge des appareils hérités. Les fabricants d'appareils pourraient créer un nouveau micrologiciel qui ajoute la prise en charge de WPA3 aux appareils plus anciens. Cela obligerait les fabricants à demander et à recevoir une certification mise à jour pour les anciens appareils, couvrant également une très longue période.
Une critique adressée à la Wi-Fi Alliance est l'approche de développement derrière les portes. La mise en œuvre de WPA3 va sécuriser nos connexions Wi-Fi pour au moins la prochaine décennie. Un projet transparent et régulièrement revu aurait pu devenir une option plus robuste que la nouvelle spécification actuelle. Cela dit, le WPA2 vieillissait et une nouvelle norme était attendue depuis longtemps.
Achèterez-vous un nouveau routeur compatible WPA3 ? Ou les fabricants doivent-ils mettre à jour l'ancien matériel pour la nouvelle norme ? Faites-nous part de vos réflexions ci-dessous !