JDNet
Solutions. Quel est aujourd'hui l'état de la
sécurité sur les réseaux sans fil
?
Paul Mühlethaler.
La norme initiale 802.11, qui date de 1997 et qui est
toujours valide comporte de nombreuses erreurs, notamment
dans le protocole de sécurité WEP. Les
normes 802.11a et 802.11b, qui proposent des débits
supérieurs et qui sont arrivées deux ans
plus tard, utilisent également ce protocole de
sécurité.
Le système d'intégrité des données
n'est pas bon. J'ai travaillé de 1995 à
1998 sur la norme radio HyperLAN et nous avions vu que
les systèmes linéaires ne fonctionnaient
pas bien car, par des dérivations, on peut "forger"
de fausses trames. Par ailleurs, la façon de
mélanger la clé de chiffrement avec le
vecteur d'initialisation (ce nombre entier qui va caractériser
le chiffrement) n'est pas optimale car trop simple,
des informations sur la clé définitive
peuvent être récupérées facilement.
Ce vecteur n'est en outre pas assez long, on peut, en
cas d'écoute prolongée, retomber sur le
même... Enfin, le système RC4 qui chiffre
la trame a quelques faiblesses. Pour certaines clés
de chiffrement, dès lors que vous possédez
certaines informations partielles, vous pouvez trouver
toute la clé et lancer des attaques.
Quelles
sont les réponses, les alternatives à
ces lacunes ?
Plusieurs voies ont été
empruntées par les acteurs de ce secteur. Certaines
sociétés, des start-up notamment, comme
la société Blue Socket, ont dit :
puisque 802.11 n'est pas bon en sécurité,
utilisons des techniques de sécurisation classiques,
comme les VPN par exemple, ces réseaux privés
virtuels qui garantissent une porte d'accès sécurisée.
D'autres entreprises se sont engagées dans la
voie de l'amélioration de 802.11. Ce sont des
entreprises qui possédaient toute la technologie,
comme Lucent/Agire, Intersil, Aironet (qui a été
rachetée par Cisco). Ces acteurs ont pu résoudre
les problèmes de jeunesse de la norme en patchant
à différents niveaux. Ils évitent
de créer des clés faibles, en n'utilisant
pas les vecteurs d'initialisation qui pourraient y conduire.
L'inconvénient, c'est qu'ils ont créé
des produits propriétaires, certes plus sûrs
mais qui doivent fonctionner dans un milieu homogène
(avec du matériel de la même marque) pour
garantir un niveau de sécurité maximal.
Une autre approche, que l'on peut qualifier de "normative",
repose sur le système TKIP (Temporal Key Integrity
Protocol). Elle est proposée dans le 802.11i
et devrait aboutir à des solutions normées,
interopérables, où seul le firmware,
c'est-à-dire le programme informatique embarqué
dans les périphériques ou les cartes, devrait être
changé. Le groupe de travail 802.11i, dans sa
version ultime, propose également de remplacer
le système de chiffrement RC4 par AES. Il propose également
d'importantes améliorations pour la gestion des
clés : hiérarchie de clés, clés
uniques par session, clés pour le trafic en diffusion...
Il faut selon moi, quand on est une entreprise, adopter
une approche objective en se demandant quelle est la
valeur réelle des informations transmises et
s'il existe une véritable nécessité
de les protéger au maximum...
Que pensez-vous des performances
de ces réseaux ?
Les performances sont connues. Pour les
réseaux 802.11b, elles sont comparables à ce qu'on pouvait
attendre, ce qui n'est pas le cas des produits en 802.11a
et g, où les débits réels, environ
15 Mbits, sont plus faibles que les débits théoriques
attendus.
Et en termes de qualité
de service ?
Contrairement aux réseaux téléphoniques,
les réseaux dont nous venons de parler sont des
systèmes "de meilleur effort", un peu
comme dans le domaine juridique, ils ont obligation
de moyen et non de résultat. Avec l'approche
802.11, on exploite mieux le réseau, ce qui n'est
pas le cas pour un réseau cellulaire - où
l'on peut estimer que seule la moitié de la capacité
est utilisée -, mais il n'y a pas d'assurance
de service.
Avec 802.11e, les premières tentatives voient le jour
pour utiliser des nuds maîtres qui vont gérer
la bande passante, une approche adoptée par les
réseaux cellulaires. Ces balises vont, en fonction
des utilisateurs abonnés, leur fournir une bande passante
prédéterminée, ce qui est une approche
novatrice. Il existe également une possibilité
de différencier des services en utilisant des
priorités d'accès. Cette approche pourrait
permettre de faire coexister des applications de voix
et de données.
Dans
le "match" UMTS versus Wi-Fi, comment vous
positionnez-vous ?
Je pense
que les deux technologies sont complémentaires.
Mais j'ai encore un peu de mal à percevoir quelles
applications ont réellement besoin des débits
proposés par l'UMTS (jusqu'à 200 Kbit/s).
Je pense que des applications gourmandes en bande passante
ne sont pas forcément gourmandes en mobilité...
En revanche, les approches de type Hot Spot Wi-Fi me
semblent plus pertinentes, d'autant que le coût
des matériels professionnels est très
abordable (1500 euros en moyenne pour une borne).
|