Funk
Software, un éditeur américain a annoncé
avant-hier le lancement d'Odyssey, le premier logiciel
de sécurité pour réseau WLAN reposant
sur le standard 802.1x de l'IETF intégrant la
spécification TTLS (Tunneled Transport Layer
Security). Grâce à cette extension, l'authentification
des utilisateurs d'un réseau Wi-Fi pourra désormais
se faire par le biais d'une clef privée aléatoire,
renforçant la sécurité du réseau
tout en simplifiant la tâche des administrateurs.
Génération aléatoire
des certificats
Pour comprendre l'intérêt du
logiciel de Funk Software, il faut revenir quelques
mois en arrière. La première couche
d'authentification
des réseaux WLAN - baptisée EAP (pour
eXtended Authentification Protocol) - a été
proposée à l'IETF en mai 2001. C'est à
partir d'elle que la spécification complémentaire
EAP-TLS (Transport Layer Security) a été
mise au point. Actuellement, seul Microsoft a implémenté
cette couche sur Windows XP. Seul inconvénient
à EAP-TLS : comme le Secure Sockets Layer (SSL)
dont il dérive, il oblige chaque utilisateur
d'un terminal Wi-Fi à acheter auprès d'un
organisme de certification tiers un certificat pour
chaque poste, rendant complexe et couteuse l'administration
du parc de terminaux pour les entreprises.
D'où l'idée
simple de TTLS : s'affranchir de la certification rigide
des terminaux (PC portables, PDA, etc.) de TLS en générant
des clefs aléatoires protégées
par un tunnel IPSec ((Tunneled TLS). "TTLS génère
une clef privée sur le serveur à chaque
transaction, ce qui évite d'avoir à s'en
fournir une auprès d'un organisme de certification",
explique Didier Fourcot, directeur technique de Comware,
seul revendeur de Funk Software en France. Les certificats
sont ainsi exlusivement gérés par le serveur
Radius (Remote Authentification in Dialup User Service)
de l'entreprise, qui génère à la
volée de nouvelles clefs crytées 128 bits
à chaque demande de session initiée.
Deux
précautions valent mieux qu'une
Second point
fort de la technologie EAP-TTLS, elle vient compléter
les limites des clefs WEP (Wired Equivalent Privacy)
à 40 ou 128 bits habituellement utilisées,
en conservant le principe d'allocation dynamique des
serveurs Radius.
Le
système de clef WEP se contente en effet de demander
le login et le password de l'utilisateur au moment où
il veut commencer une transaction sur le réseau
IP de l'entreprise : pour
accéder à la borne d'accès Wi-Fi,
celui-ci n'a pas besoin de s'identifier puisque sa clef
est enregistrée une fois pour toutes sur son
terminal. Ce qui rend possible, une fois la connexion
à la borne réalisée, le passage
en force sur le réseau Internet.
En revanche, EAP-TTLS fait intervenir le processus d'identification
de l'utilisateur dès le niveau du réseau
Wi-Fi. Pour accéder au point d'accès du
réseau WLAN, le possesseur du terminal doit entrer
son login et son mot de passe. Le serveur Radius EAP-TTLS
va alors générer une clef privée
aléatoire qui sera attribuée au requêteur
pour le temps de sa connexion et qui sera vérifiée
par l'algorithme de clef publique du serveur. Ce n'est
qu'à cette condition que l'utilisateur pourra
pénétrer sur le réseau WLAN, et
ensuite sur le réseau IP de l'entreprise.
Si
dans le principe Odyssey semble séduisant, il
faudra pourtant patienter quelque temps pour le tester
et l'utiliser. En phase béta actuellement, le
logiciel sera pas disponible en France avant la fin
du premier trimestre 2002, voire cet été.
A titre indicatif, l'éditeur a annoncé
un prix de 2500 dollars (2285 euros) pour une licence
serveur et 25 licences client.
|