PSK ou 802.1x pour l'authentification

Pour l'authentification, le WPA utilise, quand c'est possible, le 802.1x. Il faut savoir que l'utilisation était déjà possible sur une majorité d'équipements avant l'apparition du WPA et que ce standard a fait ses preuves. Nous ne reviendrons pas sur ses qualités.

Cependant, il est apparu que l'infrastructure nécessitée par 802.1x, notamment le serveur de gestion de comptes (RADIUS) n'était pas à la portée du grand public, pourtant cible privilégiée jusqu'ici par les fabriquants. Ainsi, il a été décidé que le WPA proposerait, en sus du 802.1x, un mode Pre Shared Key (PSK), comparable au WEP dans le fait que chaque client dispose d'une clé privée appelée Primary Master Key (PMK) sur 256 bit. Cette clé PMK sera entrée sous forme d'une série de 64 octets aléatoires ou d'une passphrase de 8 à 63 caractères qui sera dérivée en PMK par un calcul de normalisation.

Ainsi, dans le cas de WPA-PSK, la phase d'authentification ne changera pas vraiment de celle utilisée pour le WEP. Celle-ci se fera toujours par la méthode du "challenge".

La vulnérabilité de la clé privée restera tout de même moindre, car, comme nous le verrons dans la suite, la méthode de cryptage utilisée par WPA empêche de remonter à la clé privée, même si l'on arrive à déduire la clé qui a été utilisée pour le challenge. Seule restera la méthode de la force brute, qui, si elle est basée sur un dictionnaire, permettra de déduire la clé privée si elle est sous la forme d'une passphrase. Ainsi, il est fortement conseillé d'utiliser pour la PMK une séquence aléatoire ou d'avoir une passphrase de 20 caractères au minimum.

2004-08-25