Cette fois, nous avons opté pour un dossier sur les réseaux wireless. Comme cette technologie est encore peu répandue, nous avons surtout insisté sur sa présentation.
Vous y retrouverez également toutes les rubriques habituelles (cryptographie, virus, science, système, réseau ...) Champ libre : cyberterrorisme : fiction ou menace réelle ?
Cryptographie : génération d'aléa
Virus : un virus de boot furtif : stealth
Dossier : (In)sécurité du wireless
Présentation du WiFI
Principes de la norme 802.11
Attaques sur les réseaux 802.11b
La sécurité du WEP
Bluetooth, hiperlan, les autres normes du wireless
Programmation : communication userland/kernelland
Système : sécuriser un FreeBSD 4.7
Fiche pratique : réseaux sans fil : menaces, enjeux et parades
Réseau : protégez votre infrastructure réseau IP : IPv6 et IP anycast
Science : récupérez votre code PIN ou une clé RSA avec un chronomètre
Aller plus loin
- miscmag (8 clics)
- Diamond Edition (5 clics)
- Linux Mag (1 clic)
- Linux Pratique (2 clics)
# Re: MISC 6 : (in)sécurité du wireless
Posté par Laurent GRANIE (site web personnel) . Évalué à 7.
2 - Je me serais bien installé un réseau sans fil chez wam : ça tombe bien.
3 - Pappy : t'es abonné à "ton propre" magazine?
4 - Merci merci merci. J'ai découvert le monde de la sécu info avec Misc en Novembre (Misc 4) et depuis je n'arrête pas d'apprendre (lire). Une sensation magnifique. Bientôt, je pense avoir acquis suffisament de connaissances pour passer à la pratique et participer aux discutions.
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par pappy (site web personnel) . Évalué à 10.
Ben quoi, moi aussi faut bien que je le lise pour savoir de quoi il parle ;-)
4 - Merci merci merci. ...</>
Bah, faut pas se gêner de toute façon ;-)
# Re: MISC 6 : (in)sécurité du wireless
Posté par Anonyme . Évalué à 5.
Il est aussi possible d'utiliser l'encription pour protéger un minimum les communications, ca n'atteint pas le niveau d'IPsec, mais c'est relativement bien et n'entraine que peu de perte de performance...
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par Pascal Terjan (site web personnel) . Évalué à 8.
Pourquoi ne pas utiliser IPsec justement ?
La mobilité est le plus important, les performances le sont moins à mon avis.
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par eolyte . Évalué à 9.
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par free2.org . Évalué à 2.
les réponses sont donc en grande partie les mêmes: ipsec, ssh, ssl, gpg, etc.
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par Anonyme . Évalué à 1.
---
Qu'on ne me parle pas de crypto, de ssh, et autres, je parle des utilisateurs moyens d'aujourd'hui, genre Luce et Henri.
---
Pourquoi ne pourraient-ils par utiliser la cryptographie si les logiciels qu'ils utilisent le propose ?
@+
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par pappy (site web personnel) . Évalué à 10.
oui mais non quand même ;-)
Il y a des contraintes de sécurité qui sont différentes de celles des réseaux filaires, ne serait-ce que parce que les paquets te parviennent sans que tu n'aies rien à faire.
Et puis, je ne comprends cette vision qui consiste à considérer la sécurité comme une espèce de truc bonus qu'on ajoute à la fin après tout le reste ... alors que c'est quand même plus facile, et souvent plus efficace, de l'intégrer directement dans le processus.
Il est aussi possible d'utiliser l'encription pour protéger un minimum les communications, ...
Perso, si tu ne veux pas que tout le monde lise tes trames, je recommande de chiffrer en wep128. Pour la charge, effectivement, ça ne change (presque) rien parce que c'est fait directement sur les cartes en hardware.
Maintenant, rien ne t'empêche d'ajouter de l'IPSec (ou n'importe quoi d'autres) parce que le WEP se situe au niveau 2 du modèle OSI. Donc, tu lui passe ce que tu veux comme données, même des données chiffrées
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par jojo2002 . Évalué à 8.
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par bmc . Évalué à 4.
> Il y a aussi des sociétés qui veulent refaire le cablage de leurs locaux
> et prenant le moins cher, se rendent compte, une fois installé, qu'aucun
> lien filaire n'est en place mais tout est en WiFi. Et ces sociétés peuvent
> avoir des besoins de confidentialité.
Eh oui, y'a des inconscients partout. Personnellement, je pense que si je signais un contrat avec un fournisseur (ici, un câbleur), j'aurais au moins la présence d'esprit de me renseigner sur ce qu'il va exactement faire dans mes locaux... même (et peut-être surtout) si c'est le moins cher !
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par jojo2002 . Évalué à 2.
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par Anonyme . Évalué à 5.
IPsec est plus lourd, plus lent, charge les machines et n'est pas trivial a configurer (combien de personnes savent configurer racoon ou ISAkmp de tete ???).
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par Vanhu . Évalué à 4.
Ca dépend quand meme énormément des équipements et des algos utilisés.
C'est clair que du 3DES fait en soft par mon téléphone portable, je prefere pas y penser, alors qu'il commence à y avoir des chips pas trop chers de chiffrement AES.
Et apres, il faut aussi voir les besoins en terme de débits. Souvent, on choisit de mauvais algos/pas d'algos du tout car "c'est plus rapide", alors qu'on a un debit effectif ridicule....
et honnètement le WEP est suffisant pour la plupart des usages, tant qu'on ne crie pas le code de la cle d'encription sur tous les toits
Moyen quand meme, puisque (de mémoire), il y a des problèmes d'IV qui facilitent beaucoup le "travail" de l'attaquant éventuel.....
combien de personnes savent configurer racoon ou ISAkmp de tete ???
moi, moi !! :-)
Mais tu triches, la, deja: Luce et Henri ont plutot besoin d'un client sous Windows, et certains sont "relativement" faciles à configurer....
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par jojo2002 . Évalué à 3.
Mais dès qu'un besoin de confidentialité existe, je ne pense pas que l'on puisse faire confiance (actuellement) uniquement au WEP dont certaines implémentations sont foireuses.
Sans vouloir faire l'apologie de Microsoft, il faut reconnaitre que IPSec n'est pas trivial à configurer sous linux (installation de FreeSWAN, paramètrage, gestion des incompatibilités mineures si le réseau est hétérogène) mais sous Win2000 avec un secret prépartagé, çà peut être fait en 2mn...
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par gle . Évalué à -4.
Ca veut dire que si tu as 1 Mo à envoyer, une fois que tu as fini il t'e reste 1,2 Mo à émettre ?
J'ai rarement vu des baisses dépasser les 100% moi...
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par Bruno Stévant (site web personnel) . Évalué à 5.
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par jojo2002 . Évalué à 0.
Du coup, dans la version suivante, un certain nombre de clés dites faibles ont été écartées (pas possible de les utiliser) et on ne pouvait plus alors parler de 128 bits...
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par pappy (site web personnel) . Évalué à 10.
Maintenant, je ne vois pas là de pb d'incompatibilité entre ls matériels qui les utilisent les les autres : quand l'émetteur qui utilise un IV faible[1], le récepteur reçoit quand même le paquet et le déchifre sans se soucier de savoir si l'IV est faible ou pas, puisqu'il dispose de toutes les informations nécessaires au déchiffrement.
[1] l'IV (vecteur d'initialisation) est en fait constitué des premiers octets qui serviront au RC4 (algo de chiffrement) utilisé par le WEP. Certains IVs révèlent des bits de la clé secrète, d'où le qualificatif de "faible"
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par PLuG . Évalué à 5.
Il faut bien que les "bugs" aient de bon coté aussi ...
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par Huzi . Évalué à 6.
Je pense qu'il parlait de l'incompatibilite materielle au niveau 802.11g.
802.11g prend du retard en standardisation a cause de la gue-guerre economiquement justifiable entre Intersil et Texas Instruments.
Pour information : TI propose un schema de modulation appele PBCC (Packet binary Convolutional Code) et Intersil propose CCK-OFDM (Complementary Code Keying - orthogonal frequency division multiplexing).
Comme la solution de TI etait mature des constructeurs comme DLINK ont sortis des equipements sous le nom 802.11b+ atteignant les 22 Mbps soit le double du 802.11b. Bien entendu, cela ne marche qu'entre appareil qui comprennent le PBCC ....
ahhh ca fait du bien d'etaler sa culture :)
Pour ceux qui veulent un bon resume de la situation actuelle de 802.11g, je vous conseille cet article :
http://www.80211-planet.com/columns/article.php/1478441(...)
# Re: MISC 6 : (in)sécurité du wireless
Posté par tatayo . Évalué à 5.
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par pappy (site web personnel) . Évalué à 3.
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par tatayo . Évalué à -2.
# Re: MISC 6 : (in)sécurité du wireless
Posté par vga1523 . Évalué à 4.
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par pappy (site web personnel) . Évalué à 4.
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par Olivier ROSET (site web personnel) . Évalué à 2.
d'agilité de fréquence dans le Wifi.
Come ca, ca deviendrait VRAIMENT difficile "d'écouter" un réseau en particulier.
C'est une idée comme ca, lançée avant d'aller déjeuner, et
certainement ridicule, mais bon.
A votre avis, c'est quoi le pour et le contre ?
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par Bruno Stévant (site web personnel) . Évalué à 7.
Actuellement, le 802.11b ne permet aucune protection contre le repèrage de réseau wireless (wardriving). On peut localiser ton réseau, mais pas y entrer.
Ensuite, si la clé WEP est déchiffrée (ce qui peut se faire en quelques heures), on peut eventuellement accéder à du contenu (s'il n'est pas chiffré), mais aussi tenter des attaques par spoofing. Par exemple, un terminal changeant son adresse MAC peut simuler une deconnection (qui est une requete du terminal vers le point d'acces). La victime se retrouve alors violemment ejecter du réseau ...
La sécurité WEP se remplace aujourd'hui des solutions 802.11i (tkip), basées sur des changements périodiques de clés. Malheureusement, peu de points d'acces le proposent, comme les Cisco assez onereux. A noter que ces solutions ne permettent pas encore de se proteger contre des DoS :]
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par vga1523 . Évalué à 1.
et dire que g faillis en installer un au boulot ! je le laisserais à la maison....
bon, donc g mon petit réseau wifi avec wep, ipsec et stunnel (pour chaque service). si en plus j'applique une politique de certification des postes clients. je peux être tranquille ?
si un des client ce fait jetter du réseau à cause d'une sotre de "spoof arp", le pirate devrait avoir du mal à accéder au serveur puisqu'il n'a pas de certificat ??? dites mois si je fais fausse route."
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par PLuG . Évalué à 2.
http://www.missl.cs.umd.edu/wireless/eaptls/(...)
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
"La première sécurité est la liberté"
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par Vanhu . Évalué à 1.
Enfin, bien configuré, avec des algos efficaces, etc.... :-)
# Re: MISC 6 : (in)sécurité du wireless
Posté par Benjamin . Évalué à 3.
Mais c'est parfait, continuez ainsi et merci pour tout.
# A propos du WEP
Posté par Alan_T . Évalué à 1.
Une suggestion est (évidemment) d'encapsuler le traffic dans de l'IPsec, mais cela ne fait que régler le probleme de la confidentialité et pas de la non répudiation ou de l'authentification (il me semble).
Est-ce que le protocole WEP a évolué depuis ou est-ce toujours une rigolade?
[^] # Re: A propos du WEP
Posté par Cédric Blancher . Évalué à 3.
Sans commentaire...
Les efforts qui ont ete faits portent essentiellement sur la suppression des IV faibles, mais du coup, on diminue la taille de l'espace des cles, sans compter que l'algorithme de generation n'est plus aleatoire (il deviendrait meme tres previsible).
Sinon, on nous sort le WEP a 256 bits. Sympa, ca ne fait que doubler le temps pour le casser...
Donc on va pencher pour la rigolade ;)
[^] # Re: A propos du WEP
Posté par djrom . Évalué à 5.
[^] # Re: A propos du WEP
Posté par Cédric Blancher . Évalué à 2.
Mantin et Shamir n'est pas une attaque en force brute.
Il se trouve que plus on augmente la taille de la cle, et plus on dispose d'IV faibles. De fait, en quelque sorte, plus on augmente la taille de la cle, plus on a de matos pour la casser. De fait, le temps mis pour casser la cle n'augmente pas lineairement avec la taille de l'espace de cles.
[^] # Re: A propos du WEP
Posté par Vanhu . Évalué à 2.
Bah a moins que tout le monde n'utilise le meme identifiant et la meme preshared-key, la phase1 d'IPSec me parait régler le problème d'authentification de facon tout à fait satisfaisante !!
Un couple identifiant/PSK par utilisateur, voire une PKI si cela se justifie, c'est très largement suffisant !!!!!!!
[^] # Re: A propos du WEP
Posté par Annah C. Hue (site web personnel) . Évalué à 6.
IPSec gère l'authentification, mais ça dépend ce que tu comptes authentifier :
http://www.securiteinfo.com/crypto/IPSec.shtml(...)
«Rappelons tout de même qu'IPSec est un protocole de niveau 3 et qu'il ne fournit donc qu'une authentification de niveau égal, c'est-à-dire une authentification des machines mettant en oeuvre le protocole plutôt que des personnes utilisant réellement la machine.»
[^] # Re: A propos du WEP
Posté par Alan_T . Évalué à 1.
Mais, je peux me tromper.
[^] # Re: A propos du WEP
Posté par PLuG . Évalué à 5.
1/ utiliser iptables pour filtrer les cartes wifi sur l'adresse MAC (c'est pas du tout fiable mais c'est gratuit ... iptables)
2/ utiliser freeswan (ou le support IPSEC inclu au noyau 2.5) pour authentifier et encrypter les communications IP.
3/ de nouveau utiliser iptables pour n'accepter via eth0 que le traffic esp/udp 500 qui est necessaire pour freeswan.
cela authentifie les machines (et non pas les personnes), et assure un niveau de chiffrement assez elevé. Pour le type qui commence son attaque depuis la rue ca met le ticket d'entree sur le réseau un poil haut tout de meme.
NB: évidement ces restrictions sont a faire sur l'access-point (sous linux) mais AUSSI SUR CHAQUE CLIENT (sinon depuis la rue on peut attaquer un client et se servir de son tunnel IPSEC pour entrer ... )
[^] # Re: A propos du WEP
Posté par Vanhu . Évalué à 3.
Bah, le niveau 3, j'appelle pas encore ca "haut".....
A priori, il suffit, sur la borne centrale, de n'autoriser que le traffic IPSec, et ca restreint très bien l'accès à ceux qui peuvent négocier un tunnel IPSec, donc à ceux qui peuvent s'authentifier....
[^] # Re: A propos du WEP
Posté par Alan_T . Évalué à 2.
PS: Je voulais dire que IPsec est dans une couche plus _élevée_ que le driver des cartes wireless (mais je me suis mal exprimé, donc mea culpa, mea maxima culpa). :-)
# IPsec ? Pas seulement !
Posté par François B. . Évalué à 6.
Inconvénient : OpenVPN n'est qu'à l'état d'ébauche sous Windows, et expérimental sur freeBSD et netBSD.
[^] # Re: IPsec ? Pas seulement !
Posté par Cédric Blancher . Évalué à 4.
http://www.ring2.org/seppl/(...)
[^] # Re: IPsec ? Pas seulement !
Posté par PLuG . Évalué à 3.
a noter par rapport a IPSEC, (et IKE ) la renégociation des clefs est ... comment dire ... beaucoup plus faible.
les vecteurs IV sont simplement incrémentés, on connait la version "en clair" de plusieurs parties du message chiffré (en particulier un octet toujours a zéro pour faciliter le repérage des mauvaises clefs !!).
a priori, IANAC comme il dit mais c'est beaucoup plus faible qu'une bonne implementation IPSEC+IKE avec un re-keying régulier, meme si ca profite déjà du tout nouveau algo AES.
mais ca a l'air tellement simple a mettre en place !!
faudra que j'essaye, en complement a WEP ...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.