markrubens - Fotolia
La Wi-Fi Alliance lève le voile sur le successeur de WPA2
Une vulnérabilité dans ce protocole de sécurisation des connexions sans fil avait été découverte à l’automne. WPA3 doit commencer à faire son apparition dans le courant de l’année.
Généralisé car accepté comme un successeur sûr à WPA pour sécuriser les connexions Wi-Fi, le protocole WPA2 s’avère en fait vulnérable à une attaque sérieuse, baptisée Krack, découverte à l’automne dernière. Celle-ci permet, pour peu qu’elle soit exécutée avec succès, de s’interposer entre un terminal et le point d’accès auquel il est connecté. A la clé, en théorie : le risque d’interception de données, de détournement de l’utilisateur vers des sites et services malveillants, ou encore d’injection de données à son insu.
C’est donc sans surprise que Mathy Vanhoef, le chercheur à l’origine de la découverte de Krack, a accueilli avec une satisfaction non dissimulée l’annonce, par la Wi-Fi Alliance de l’imminent WPA3. Celui-ci doit intégrer quatre nouveaux mécanismes visant à renforcer la sécurité des réseaux sans domestiques et des entreprises.
Dans un communiqué, la Wi-Fi Alliance explique deux d’entre elles visent à « apporter des protections robustes même lorsque les utilisateurs choisissent des mots de passe qui n’atteignent pas la complexité généralement recommandée » et à « simplifier le processus de configuration de la sécurité pour les appareils à l’interface d’affichage limitée ou absente ».
La troisième nouveauté doit « renforcer la confidentialité des échanges sur les réseaux ouverts par chiffrement individualisé des données ». La dernière consiste à utiliser une nouvelle « suite de sécurité 192 bits aligné sur la suite CNSA du comité sur les systèmes de sécurité nationale », notamment pour répondre aux exigences de secteurs sensibles « du gouvernement, de la défense et de l’industrie ».
Finally, WPA3!! It will include a more secure handshake: "WPA3 will deliver robust protections even when users choose passwords that fall short of typical complexity recommendations" https://t.co/9Ty1SrI1VB
— Mathy Vanhoef (@vanhoefm) January 8, 2018
Sur Twitter, Matty Vanhoef explique que ces nouvelles dispositions vont notamment permettre d’empêcher les attaques en force brute par dictionnaire, et également assurer le chiffrement des communications sans besoin d’authentification.
La Wi-Fi Alliance indique que WPA3 devrait émerger courant 2018. Et ce calendrier ne devrait pas être trop difficile à tenir : Mathy Vanhoef relève que « les standards derrière WPA3 existent déjà depuis un moment. Mais désormais, les appareils devront les supporter, faute de quoi ils ne recevront pas le label de certification WPA3 ».