Funk Software, un éditeur américain a annoncé avant-hier le lancement d'Odyssey, le premier logiciel de sécurité pour réseau WLAN reposant sur le standard 802.1x de l'IETF intégrant la spécification TTLS (Tunneled Transport Layer Security). Grâce à cette extension, l'authentification des utilisateurs d'un réseau Wi-Fi pourra désormais se faire par le biais d'une clef privée aléatoire, renforçant la sécurité du réseau tout en simplifiant la tâche des administrateurs.

Génération aléatoire des certificats
Pour comprendre l'intérêt du logiciel de Funk Software, il faut revenir quelques mois en arrière. La première couche d'authentification des réseaux WLAN - baptisée EAP (pour eXtended Authentification Protocol) - a été proposée à l'IETF en mai 2001. C'est à partir d'elle que la spécification complémentaire EAP-TLS (Transport Layer Security) a été mise au point. Actuellement, seul Microsoft a implémenté cette couche sur Windows XP. Seul inconvénient à EAP-TLS : comme le Secure Sockets Layer (SSL) dont il dérive, il oblige chaque utilisateur d'un terminal Wi-Fi à acheter auprès d'un organisme de certification tiers un certificat pour chaque poste, rendant complexe et couteuse l'administration du parc de terminaux pour les entreprises.

D'où l'idée simple de TTLS : s'affranchir de la certification rigide des terminaux (PC portables, PDA, etc.) de TLS en générant des clefs aléatoires protégées par un tunnel IPSec ((Tunneled TLS). "TTLS génère une clef privée sur le serveur à chaque transaction, ce qui évite d'avoir à s'en fournir une auprès d'un organisme de certification", explique Didier Fourcot, directeur technique de Comware, seul revendeur de Funk Software en France. Les certificats sont ainsi exlusivement gérés par le serveur Radius (Remote Authentification in Dialup User Service) de l'entreprise, qui génère à la volée de nouvelles clefs crytées 128 bits à chaque demande de session initiée.

Deux précautions valent mieux qu'une
Second point fort de la technologie EAP-TTLS, elle vient compléter les limites des clefs WEP (Wired Equivalent Privacy) à 40 ou 128 bits habituellement utilisées, en conservant le principe d'allocation dynamique des serveurs Radius. Le système de clef WEP se contente en effet de demander le login et le password de l'utilisateur au moment où il veut commencer une transaction sur le réseau IP de l'entreprise : pour accéder à la borne d'accès Wi-Fi, celui-ci n'a pas besoin de s'identifier puisque sa clef est enregistrée une fois pour toutes sur son terminal. Ce qui rend possible, une fois la connexion à la borne réalisée, le passage en force sur le réseau Internet.

En revanche, EAP-TTLS fait intervenir le processus d'identification de l'utilisateur dès le niveau du réseau Wi-Fi. Pour accéder au point d'accès du réseau WLAN, le possesseur du terminal doit entrer son login et son mot de passe. Le serveur Radius EAP-TTLS va alors générer une clef privée aléatoire qui sera attribuée au requêteur pour le temps de sa connexion et qui sera vérifiée par l'algorithme de clef publique du serveur. Ce n'est qu'à cette condition que l'utilisateur pourra pénétrer sur le réseau WLAN, et ensuite sur le réseau IP de l'entreprise.

Si dans le principe Odyssey semble séduisant, il faudra pourtant patienter quelque temps pour le tester et l'utiliser. En phase béta actuellement, le logiciel sera pas disponible en France avant la fin du premier trimestre 2002, voire cet été. A titre indicatif, l'éditeur a annoncé un prix de 2500 dollars (2285 euros) pour une licence serveur et 25 licences client.