Comment déployer WPA3 pour une sécurité WiFi renforcée

La dernière version de la norme WiFi Protected Access apporte son lot de protection contre les attaques en tous genres et accroit fortement la sécurité des connexions réseaux. Zoom sur les bonnes pratiques à suivre pour réussir son adoption.

Succédant à WPA2, qui a été le protocole de sécurité de facto pour les réseaux sans fil pendant près de vingt ans, le WPA3 est la dernière itération de la norme WiFi Protected Access (WPA). Cette norme corrige les failles de sécurité inhérentes au WPA2, tout en ajoutant des fonctionnalités inédites de sécurité. Que vous mettiez en œuvre le mode personnel ou entreprise, ou que vous diffusiez un réseau ouvert, le WPA3 apporte une protection beaucoup plus solide contre l'écoute et le piratage WiFi.

Zoom sur les principales caractéristiques du WPA3

- Chiffrement amélioré pour le mode personnel : Le WPA3 introduit des protocoles de chiffrement plus puissants, tels que l'authentification SAE (simultaneous authentication of equals), également connue sous le nom de Dragonfly, qui propose une meilleure protection contre les attaques par dictionnaire hors ligne. Il remplace la méthode de la clé pré-partagée (PSK) utilisée dans le mode WPA/WPA2-Personal.

- Protection contre les attaques par force brute en mode personnel : Le WPA3 offre des garanties supplémentaires contre les attaques par force brute lors de l'utilisation du mode de sécurité personnel, ce qui complique considérablement la tâche des pirates lorsqu'il s'agit de déchiffrer les mots de passe WiFi.

- Le secret de transmission pour le mode personnel : Avec le WPA3, chaque connexion utilise des clés de session uniques. Même si un pirate parvient à intercepter et à déchiffrer une connexion, il ne peut pas utiliser la clé obtenue pour décrypter des sessions passées ou futures, ce qui garantit la confidentialité des données.

- Sécurité 192 bits pour le mode entreprise : Une suite de sécurité optionnelle de 192 bits est ajoutée pour les réseaux WPA3-Enterprise. Elle donne un niveau de protection supplémentaire aux organisations qui exigent le niveau de sécurité le plus élevé. Cette suite utilise la cryptographie CNSA (Commercial National Security Algorithm) Suite, qui répond aux exigences de sécurité rigoureuses des secteurs gouvernementaux et de la défense.

- Connexions publiques chiffrées pour les réseaux ouverts : Le dernier système OWE (opportunistic wireless encryption) publié en même temps que WiFi 6 ajoute la possibilité de crypter les réseaux WiFi sans mot de passe, appelés WiFi Enhanced Open par la WiFi Alliance. Cela permettrait des connexions plus sûres et plus privées aux réseaux WiFi ouverts et publics, un peu comme si l'on se connectait à un simple hotspot tout en utilisant un VPN pour chiffrer le trafic. Il ne faut pas oublier qu'il s'agit d'une fonctionnalité facultative pour les matériels réseau et que sa prise en charge n'est pas nécessaire pour que le point d'accès soit conforme à la norme WiFi 6 ou WPA3. N'oubliez pas non plus qu'il n'y a pas d'authentification avec OWE, ce qui signifie que n'importe quel client peut se connecter. Mais, encore une fois, c'est l'objectif : assurer une certaine confidentialité sur les réseaux ouverts.

Conditions d'utilisation du WPA3 sur les réseaux d'entreprise

La mise en œuvre du WPA3 nécessite une planification et une réflexion approfondies dans quelques domaines :

- Prise en charge du réseau : s'assurer que son infrastructure réseau, y compris les points d'accès et les contrôleurs, prend en charge le WPA3 et (si souhaité) l'option OWE pour Open Networks. Bien que de nombreux dispositifs de réseau récents soient compatibles avec le WPA3, le matériel plus ancien peut nécessiter des mises à jour ou des remplacements. Si l'on souhaite utiliser certaines fonctionnalités optionnelles du WPA3, il faut faire des recherches et tenir compte de toutes les exigences relatives à ces fonctionnalités. Par exemple, pour utiliser la sécurité 192 bits en mode Entreprise, son serveur Radius doit prendre en charge certains modes EAP et on doit mettre en œuvre EAP-TLS avec des certificats côté serveur et côté client pour l'authentification 802.1X. Le contrôleur sans fil peut fournir la prise en charge, ou on peut être amené à utiliser un serveur Radius externe.

- Prise en charge du client : Vérifiez que les appareils qui se connectent à votre réseau sont compatibles avec le WPA3. Si la plupart des smartphones, tablettes et ordinateurs portables modernes sont compatibles avec le WPA3, certains anciens terminaux peuvent nécessiter des mises à jour ou des remplacements. Si tous ne prennent pas en charge le WPA3, on peut faire fonctionner le réseau en mode mixte WPA2/WPA3.

- Mises à jour logicielles : Même si le matériel réseau prend déjà en charge les normes WPA3 et OWE, il faut vérifier les mises à jour des firmwares et des pilotes au cas où de nouvelles caractéristiques et fonctionnalités WPA3 auraient été mises en place pour prendre en charge une plus grande partie de la norme. La mise à jour peut ajouter des options de déploiement supplémentaires.

- Configuration : On doit configurer le contrôleur/point d'accès pour permettre l'utilisation des protocoles de chiffrement et d'authentification WPA3 et/ou OWE. Tous les équipements de réseau ne prennent pas non plus en charge exactement les mêmes options de déploiement.

Conseils pour l'utilisation du WPA3

Voici quelques conseils pour maximiser les avantages du WPA3 sur le réseau d'entreprise :

1/ Utiliser le mode mixte WPA2/WPA3 : À moins que vous ne travailliez avec un réseau plus petit et contrôlé où vous pouvez vous assurer que tous les clients prendront en charge le WPA3, vous voudrez probablement continuer à prendre en charge les clients WPA2. C'est possible avec les modes mixte ou de transition WPA2/WPA3. Bien que les performances ne soient pas optimales, les clients plus anciens pourront toujours se connecter.

2/ Comprendre les différentes configurations de déploiement : Lorsque vous configurez un équipement qui prend en charge le WPA3, vous découvrez de nombreuses options inédites de déploiement en matière de sécurité. Il convient d'y réfléchir avant même le déploiement, lors de la sélection de l'équipement, pour s'assurer qu'il prendra en charge les méthodes souhaitées. Pour le WPA3-Personal, on trouvera des options telles que Hash-to-Element (H2E) pour la génération de mots de passe ou une option avec Fast Transition activée. Autre exemple : certains équipements réseau peuvent prendre en charge le WPA3 uniquement pour les SSID diffusant sur la bande de 6 GHz, tandis que d'autres peuvent prendre en charge le mode mixte WPA2/WPA3 pour la bande la plus récente. Pour le WPA3-Entreprise, vous pouvez voir la prise en charge de différentes options de déploiement, telles que 802.1X-SHA256 AES CCMP 128, GCMP128 SuiteB 1x, et GCMP256 SuiteB 192 bit. Si vous avez une préférence, assurez-vous que le matériel que vous choisissez la prend en charge. Faites des recherches sur chacune des configurations de déploiement prises en charge pour comprendre ce qui convient le mieux à votre réseau local sans fil et à vos clients.

3/ Utiliser le mode mixte OWE : En activant OWE pour les connexions WiFi Enhanced Open, il faut envisager le mode mixte ou de transition. De cette manière, le réseau accepte à la fois les connexions traditionnelles non chiffrées des anciens clients et les connexions cryptées des clients plus récents qui prennent en charge OWE.

4/ Utiliser des mots de passe forts partout : Même avec la sécurité renforcée du WPA3, les mots de passe faibles constitueront toujours une certaine vulnérabilité. En utilisant des mots de passe WiFi complexes et difficiles à deviner et, si le mode entreprise avec des mots de passe utilisateur est activé, il faut imposer des mots de passe utilisateur sécurisés via le serveur Radius. De plus, avec toutes ces dernières techniques de chiffrement, il ne faut pas oublier les bonnes vieilles vulnérabilités, comme les mots de passe administrateur faibles sur les composants du réseau.

5/ Mettre régulièrement à jour les microprogrammes et les pilotes : Maintenir les firmwares de son infrastructure réseau à jour pour s'assurer de disposer des derniers correctifs et améliorations de sécurité, en particulier les mises à jour du WPA3. Le même principe s'applique aux terminaux clients ; les nouveaux pilotes peuvent prendre en charge de nouvelles fonctionnalités WPA3 ou des fonctionnalités améliorées.

6/ Surveiller les points d'accès indésirables, mal configurés et interférents : on peut mettre en place la meilleure sécurité WiFi et un chiffrement de niveau militaire sur ses points d'accès, mais un point d'accès indésirable branché sur le réseau par un employé ou un pirate peut alors ouvrir une brèche béante. Il se peut aussi qu'un point d'accès approuvé soit mal configuré. Activer donc toutes les fonctions de détection ou de surveillance des points d'accès non autorisés que l'on dispose est une bonne chose.

Il ne faut pas oublier que le WPA3 comporte des améliorations significatives qui corrigent les vulnérabilités et introduisent des fonctions de sécurité. Cependant, il y a de nombreuses exigences à prendre en compte sans même aborder les autres aspects du WiFi 6. L'effort peut valoir la peine pour utiliser le chiffrement beaucoup plus sûr et le secret de transmission avec le mode personnel ou pour obtenir la sécurité 192 bits pour le mode entreprise. De plus, n'oubliez pas que si vous souhaitez utiliser le WiFi Enhanced Open pour le WiFi public, il faudra rechercher des équipements réseau et des clients qui le prennent réellement en charge. La mise en œuvre réussie du WPA3 nécessite une infrastructure réseau mise à jour, la compatibilité des terminaux et une configuration minutieuse. L'utilisation de modes mixtes ou transitoires pour WPA2/WPA3 et OWE, l'application de mots de passe forts et la mise à jour des microprogrammes et des pilotes sont des conseils essentiels pour maximiser les avantages du WPA3 et garantir une sécurité WiFi plus solide.