La sécurité des réseaux Wi-Fi est un point crucial et le seul gros défaut si on ne met pas en œuvre des politiques strictes. En effet, les ondes radio se diffusent dans tous les sens, traversent les murs, les planchers ou votre jardin. Elles peuvent être reçues par vos voisins ou par une personne passant devant chez vous. Au vu des portées atteintes par les normes Wi-Fi, il faut obligatoirement sécuriser son réseau. Pour cela, les données circulant sur votre réseau sont cryptées avec des algorithmes plus ou moins complexes et déchiffrables uniquement par les personnes qui en ont la clé. Sinon, toute personne entrant dans la zone de couverture de votre réseau pourra s’y connecter, utiliser votre connexion internet, accéder à vos postes informatiques ou intercepter et lire les données échangées sur le réseau.

Plusieurs méthodes de cryptage ont existé au cours du temps et elles se complexifient de plus en plus. Les méthodes antérieures à l’ère informatique sont totalement dépassées, car n’importe quel ordinateur avec sa puissance de calcul peut décrypter ces messages. Même les premières méthodes de cryptage utilisées (WEP) ne sont plus sûres actuellement. Tout informaticien professionnel peut « casser » ces clés de cryptage très facilement. Des algorithmes de plus en plus complexes (WPA) apparaissent et sont aussi de plus en plus gourmands en ressources pour les matériels chargés de crypter les messages envoyés et de décrypter les messages reçus. Certains peuvent même diminuer sensiblement les performances globales du réseau, comme les récents cryptages AES, tout en garantissant une sécurité à toute épreuve. Il faut absolument s’assurer que le cryptage que vous emploierez soit supporté par tous les composants de votre réseau et par ailleurs que tous les périphériques et points d’accès du réseau soient configurés avec les mêmes clés secrètes.

Wireless Equivalent Privacy permet un chiffrement des communications avec une clé secrète de 64 à 128 bits (40 à 104 bits réels, car 24 bits sont utilisés pour l’initialisation). Plus la clé est grande, plus il sera difficile de la casser. Le plus couramment supporté et employé est le cryptage de 128 bits soit 13 caractères ASCII (quasi toutes les touches d’un clavier) ou 26 caractères hexadécimaux (0 à 9 et A à F). Le cryptage WEP est suffisamment simple pour être réalisé très rapidement de sorte qu’il ne pénalise pas ou peu le débit. Plusieurs clés peuvent être renseignées sur un même système permettant de fournir une clé WEP à des visiteurs occasionnels, clé que l’on changera fréquemment tout en gardant les autres secrètes pour des systèmes plus sensibles. Deux modes WEP existent :

• Open System (système ouvert) : toute station peut se connecter au point d’accès, mais si elle ne connaît pas la clé WEP, toute transmission est impossible ;
• Shared Key (clé partagée) : toute connexion au point d’accès est impossible sans connaître la clé WEP. Malgré son nom qui signifie « sécurité équivalente à un réseau filaire », le cryptage WEP est facilement cassable avec des outils fournis gratuitement sur le web. Ce cryptage n’offre donc pas une sécurité suffisante pour un réseau d’entreprise. Cependant, il reste, mixé avec d’autres systèmes de sécurité (masquage SSID et filtrage par adresse Mac), suffisant pour la plupart des réseaux familiaux ou pour des petites entreprises pour lesquelles le système informatique n’est pas primordial. La faiblesse du mode WEP vient de son algorithme de cryptage : le RC4, assez ancien et dont le code source est connu.

WPA

Vu le peu de sécurité apportée par le WEP, l’IEEE a décidé de réagir en créant la 802.11i. Cependant, la norme tardant à arriver, la WiFi Alliance a finalement lancé une norme Light : la WPA. WPA repose sur le protocole 802.1x, un serveur Radius d’authentification et un algorithme de cryptage robuste TKIP. Le protocole TKIP permet la génération de clés aléatoires modifiées plusieurs fois par seconde. WPA/TKIP est très robuste et utilisé dans de grands réseaux d’entreprise. Cependant, une version restreinte WPA-PSK est utilisée sur les réseaux familiaux ou par de petites entreprises en s’affranchissant de l’utilisation du serveur Radius. Une même clé est alors déployée sur l’ensemble des postes et des points d’accès. La WPA ne supporte que le mode Infrastructure avec un point d’accès et donc pas la communication Ad-Hoc entre ordinateurs.

WPA2

La norme 802.11i a quand même été ratifiée par l’IEEE, en reprenant les caractéristiques de WPA, en utilisant un algorithme de cryptage encore plus puissant : l’AES. Néanmoins, il peut aussi utiliser TKIP comme WPA. WPA2 sécurise aussi bien les réseaux en mode Infrastructure qu’en mode Ad-Hoc. Deux modes de fonctionnement existent :

• WPA Personal : il utilise une clé partagée ou PSK (PreShared Key) renseignée sur les ordinateurs et les points d’accès. La méthode est pratique car la clé secrète est une phrase aussi longue que possible, appelée passphrase, traduite en PSK par l’algorithme de hachage. C’est de loin la solution la plus simple est la plus sécurisée pour les petits réseaux ;
• WPA Entreprise : il repose sur un serveur Radius d’authentification réservé aux grandes entreprises.

Sur les fiches techniques de matériel, les constructeurs n’indiquent pas WPA2 mais WPA avec le support du cryptage AES qui correspond forcément à la norme WPA2.