Quand on cherche à configurer un réseau Wi-Fi (IEEE 802.11) , (on devrait dire sans fil ou WLAN, car Wi-Fi est une marque déposée de la Wi-Fi Alliance), on se retrouve face à plein d'acronymes étranges. Expliquons les ici.
Il faut différencier les méthodes de contrôle d'intégrité, les algorithmes de chiffrement et les noms d'usages.
Disclaimer : quand je vous dis que des gens prennent des décisions, rappelez vous simplement qu'ils ont été corrompus par la NSA, c'est plus simple.
Algorithmes de chiffrement
RC4
Ou plutôt ARC4 pour Alleged RC4 (on ne sait pas ce que RC4 veut dire, tout le monde relaye que c'est Ronald's Cipher 4, mais personne n'en est sûr. RSA Security Inc. n'a jamais publié l'algorithme, ils l'ont juste vendu dans des outils propriétaires et un jour un type a balancé un code (qui ressemble à un truc décompilé :° ) sur une mailing qui produit exactement les mêmes octets de chiffrement quand on lui donne les mêmes clefs. Mais on n'a pas le droit d'admettre que c'est exactement RC4, du coup comme on ne veut pas se retrouver hors la loi on l'appelle ARC4.
AES
Advanced Encryption Standard, qui n'a pas pu être nommé Data Encryption Standard, c'était déjà pris par le précédent est un standard fixé par le NIST (les mêmes qui fixent Secure Hash Algorithm à l'issue d'un concours et d'un audit) est un algorithme de chiffrement solide à l'heure actuelle, quand on ne fait pas de bêtises avec ses modes (si vous comprenez on est d'accord et je n'ai pas besoin de développer, si vous ne comprenez pas lisez donc Applied Cryptography de Ronald Rivest (le même que RC4, fondateur de RSA Security Inc.).
Protocoles de contrôle des paquets
Chaque paquet réseau est un peu préparé et maquillé avant de se faire chiffrer la gueule et balancer sur les ondes, ce sont eux qui s'en chargent.
WEP
(Décrit dans IEEE 802.11 original) Wired Equivalent Privacy (et non pas Wireless Encryption Protocol) est un alrogithme de chiffrement raté. Il est vulnérable à des attaques statistiques car chaque paquet est chiffré directement avec la clef qui est exactement celle que vous tapez (40 ou 104 bits). Soit dit en passant, je pète du WEP 40 bits par bruteforce tout seul en interceptant deux paquets. Et n'importe qui avec la suite aircrack peut, moyennant client, générer du trafic et avoir la clef en 5 minutes.
WEP utilise RC4 comme algorithme de chiffrement et n'a pas d'authentification. Soit on connaît la clef et le paquet est chiffré et déchiffré correctement, soit le paquet est invalide et tout le monde l'ignore.
TKIP
(Brouillon de IEEE 802.11i de 2002/2003)
Temporal Key Integrity Protocol est une reprise de WEP par des types pressés à l'époque où ce dernier est subitement devenu inutile. (il l'est toujours) Il évite de trop faire dépendre chaque paquet de la clef secrète (le mot de passe) en dérivant celle-ci à chaque paquet. Pour ce faire il passe par une authentification bien faite auprès de l'AP (Access Point, la box).
Bien que l'authentification soit sérieuse, l'algorithme de chiffrement est toujours RC4 (il fallait que ça soit rétrocompatible et tout le monde ne peut pas se mettre à jour pour apprendre AES), et est donc de plus en plus mis à mal. Les attaques d'aujourd'hui permettent dans certains cas de récupérer un ou deux bits à droite à gauche, mais il ne faudra pas venir pleurer quand dans 20 ans RC4 sera tout pété et que tout le monde pourra déchiffré ce qu'il enregistre aujourd'hui.
WPA
(Brouillon de IEEE 802.11i de 2002/2003)
Wireless Protected Access est le terme utilisé par la Wi-Fi alliance pour vendre TKIP. TKIP = WPA = WPA1 = RC4 = danger.
CCMP
Counter Mode Cipher Block Chaining Message Authentication Code Protocol What The Fuck BarBeCue est un mode de préparation, contrôle et chiffrement des paquets très bien fait. Il utilise AES comme chiffrement et le même schéma d'authentification bien pensé que TKIP (WPA1).
C'est lui qu'il faut utiliser.
WPA2
(IEEE 802.11i)
De même que pour WPA tout court, c'est un alias commercialement bien plus sexy que CCMP.
Méthodes d'authentification
PSK
Pre Shared Key désigne la clef que tout le monde partage, une phrase lisible par un humain, de taille variable (plus de 8 lettres ascii, jusqu'à 63. si vous mettez des lettres qui sont encodées sur deux octets, ça compte pour deux lettres ascii. Enfin tout le monde s'en fout.) Celle-ci est transformée en PMK (Pairwise Master Key), de taille fixe (256 bits, 32 octets) qui est utilisée pour le chiffrement symétrique des données. Vous ne devriez pas la voir, elle n'est pas facile à retenir pour un humain (ça fait 64 caractères hexadécimaux, c'est pas cool). Sachez que c'est elle et non la PSK qui est enregistrée par Microsoft Windows dans le registre.
WPA-Personal
C'est le terme commercial pour dire 'PSK', ça veut dire qu'il y a un mot de passe à rentrer.
EAPOL
(IEEE 802.1X)
Extensible Authentification Protocol over Lan est une utilisation du framework EAP sur le réseau. C'est la méthode de communication entre l'AP et le client pour s'authentifier via EAP. En général, l'AP va demander au serveur d'authentification (genre celui de votre entreprise ou de votre association) si vous êtes bien qui vous prétendez être en encapsulant votre requête EAP dans du Radius.
Le serveur (qui répond à du EAP encapsulé dans du Radius) donne une PMK à usage unique qui sera utilisée par l'AP et le client.
WPA-Enterprise
C'est le terme commercial utilisé pour dire « WPA1/2 avec du EAP dedans pour l'authentification, faites gaffe il faut un serveur Radius par exemple qui sait répondre à de l'EAP ». C'est pas facile à mettre en place, du coup c'est réservé aux professionnels. Mais vous l'aurez compris, l'utilisation d'une PMK à usage unique rend la chose bien plus solide.
WPS
Wi-Fi Protected Setup mes fesses.
WPS est le nom donné à une série de simplifications de la part des commerciaux (c.f. disclaimer) pour madame Michu. Il y a plein de méthodes louches sous ce nom, je ne vais vous parler que de ces deux-ci :
WPS Push-button
Il propose entre autres de permettre d'appuyer sur un bouton physique de l'AP pour dire «Autorise ce client à se connecter et file-lui la PSK». En théorie c'est cool, en pratique aussi (le fait qu'il lui file la PSK et pas la MSK est discutable, mais je préfère ne pas dire de bêtises).
WPS PIN
La plus grosse blague de tous les temps. Un code de 8 chiffres pour s'authentifier. C'est plus simple qu'une longue phrase difficile à retenir ou qu'un mot de passe. C'est 8 chiffres, mais en deux parties vérifiables séparément pour un pirate avec un chiffre de contrôle, ce qui nous fait 4 chiffres + 3 chiffres = 11000 possibilités. Ça se bruteforce en 4h, désactivez moi cette chose affreuse.
Voila.
N'hésitez pas à me frapper par mail ou sur twitter avec les fautes que j'ai commis.