Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Le WPA craqué, la preuve par l’exemple

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Le WPA craqué, la preuve par l’exemple

Il y a un an, Robert Moskowitz, directeur technique chez ICSA Labs, annonçait la découverte d’une faille dans le WPA (Wifi Protected Access). Ironie du sort, le WPA était censé résoudre les problèmes de sécurité causés par le WEP. Le problème de sécurité découle de l’utilisation de  » passphrases  » trop simples qui pourraient être rapidement déchiffrées.


Un outil démontrant l’exploitabilité de cette faille a été mis en ligne le 5 Novembre.

L’équipe à l’origine de cette preuve par l’exemple (proof of concept) est celle qui a également développé  » tinyPEAP « , un firmware sécurisé pour routeur WiFi Linksys (RADIUS avec 802.1X et PEAP).

Pour utiliser cet outil, il suffit de capturer les données dans un format spécifique (du type de ceux utilisés par les sniffers de type Ethereal) et l’outil applique sur les données son algorithme de craquage. Seules certaines clés courtes ou basées sur des mots usuels sont facilement  » déchiffrables « . Pour éviter cette faiblesse de WPA, les trois solutions suivantes sont préconisées :

Choisir des  » passphrases  » de plus de 20 caractères et non triviales

En effet, « Ceci est mon mot de passe » contient trop de mots connus et à l’opposé

« 2004 SnoRkY_is_4n_3L337 %$ no ? » plus rude à craquer mais aussi difficile à retenir.

Choisir la  » passphrase  » le plus aléatoirement possible

Une passphrase d’au moins 96 bits, voire 128 bits, sera suffisante pour éviter l’écueil du WPA évoqué. De nombreux outils existent d’ailleurs pour l’aide à la création de passphrases (SecureEZSetup, AOSS, …).

Utiliser le WPA version Enterprise ou le 802.1X et du WPA

Ce couplage entre un politique d’authentification à l’échelle de l’entreprise et des clés WPA robustes permettra par exemple d’associer une clé unique à chaque utilisateur. De nombreux éditeurs et constructeurs ont à présent des solutions appropriées dans ce domaine.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.