La rétrospective sécurité de 2008 Wi-Fi : WEP et WPA au même niveau ?
Le WEP n'a plus la cote depuis déjà plusieurs années, ses failles ayant déjà été largement démontrées. Ce protocole censé sécuriser les réseaux Wi-Fi subsiste encore, même au sein d'entreprises traitant des données sensibles. Le vol record de données au sein de l'américain TJX a pu se produire en grande partie du fait de l'utilisation du WEP.
Mais dans le domaine du commerce, la mort du protocole est d'ores et déjà annoncée pour les entreprises soumises à PCI-DSS. Le PCI Security Standards Council qui statue sur le contenu du standard a fixé au 30 juin 2010 la date à laquelle les implémentations du WEP devront cesser.
L'alternative est alors de migrer vers le WPA. Sauf que celui-ci semble avoir montré récemment quelques faiblesses. Deux chercheurs, Erik Tews et Martin Beck, ont découvert une faille au niveau de TKIP (Temporal Key Integrity Protocol).
En matière de sécurité des infrastructures Wi-Fi, la France bénéficie d'une relative maturité
Passé l'effet d'annonce, on constate toutefois que le risque n'est pas aussi critique que les premières déclarations pouvaient le laisser entendre. C'est avant tout le protocole TKIP qui a été pris en défaut. Un réseau Wi-Fi protégé par WPA ou WPA2 n'est donc exposé que s'il est accompagné de TKIP. Or certains de ces réseaux s'appuient sur un autre protocole de chiffrement, comme CCMP/AES.
En matière de sécurité des infrastructures Wi-Fi, la France bénéficie d'une relative maturité comme a pu le souligner une récente opération de wardriving conduite par RSA.. Seuls 4% des réseaux Wi-Fi des entreprises ne sont pas protégés, c'est-à-dire qu'aucun chiffrement n'a été mis en place ou seulement via le protocole vulnérable WEP. Le taux d'adoption des formes avancées de chiffrement est à Paris de 76%, contre 52% pour New York, et 56% à Londres.
Articles liés
WPA ne suffit plus pour protéger
Paris en avance sur la sécurité du Wi-Fi