Opportunistic Wireless Encryption — Wikipédia

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

Cet article ne cite pas suffisamment ses sources (avril 2018).

Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ».

En pratique : Quelles sources sont attendues ? Comment ajouter mes sources ?

L'Opportunistic Wireless Encryption, ou OWE, est un mécanisme de sécurisation des communications Wi-Fi qui n'apparait qu'à partir de la nouvelle norme de sécurité WPA3 publiée en 2018 et qui fait suite aux mécanismes existants du Wi-Fi Protected Access (WPA et WPA2).

L'OWE a pour but spécifique d'apporter une couche de sécurité pour les échanges Wi-Fi correspondants aux services dits publics du type hotspot ou invité.

Historique[modifier | modifier le code]

Jusqu'alors, les services Wi-Fi publics que l'on retrouve dans les environnements ouverts d'accès au public (musées, gares, aéroports, cafés, hôtels, etc.) sont principalement configurés en mode open soit avec un mot de passe partagé, soit plus communément sans mot de passe. L'usage est alors de mettre en place une page spécifique limitant l'accès à Internet dans un premier temps afin de forcer les utilisateurs à s'enregistrer et/ou à valider les conditions générales d'utilisation de l'accès fourni par l'entreprise ou la collectivité.

Les deux risques principaux sur ce type d'accès sont les suivants :

Les attaques passives par simple écoute des échanges radios entre les périphériques utilisateurs et les points d'accès de l'infrastructure Wi-Fi : Les échanges n'étant pas chiffrées dans un mode open, l'ensemble du trafic est librement accessible.
Les attaques actives de type homme du milieu, qui permettent à un attaquant de se positionner entre l'utilisateur et l'infrastructure concernant le flux de communication (il se fait passer pour l'infrastructure auprès du client, et comme un client auprès de l'infrastructure). L'attaquant contrôle alors aussi bien le contenu des communications que la forme et la destination.

Ainsi, l'ensemble des communications sur des services Wi-Fi de ce type ne sont pas sécurisées.

Mécanisme[modifier | modifier le code]

L'OWE est un protocole s'appliquant au Wi-Fi définit par une RFC éditée en mars 2017 : la RFC 8110^[1]^[2].

Général[modifier | modifier le code]

L'objectif de ce protocole est de mettre en place une session chiffrée pour chaque périphérique Wi-Ffi grâce à la méthode cryptographique d'établissement des clés de Diffie-Hellman. Deux possibilités suite à l'établissement des clés de sessions pour chiffrer les données : soit via la cryptographie des courbes elliptiques (ECC), soit via la cryptographie des champs finis^[3] (FFC).

Le fait d'utiliser un tel mécanisme d'établissement des clés permet de rester transparent pour l'utilisateur : celui-ci n'aura toujours aucun mot de passe à entrer manuellement, la génération de clés de sessions Wi-Fi (PMK et PTK) se feront automatiquement et seront uniques pour chaque session générée.

Technique[modifier | modifier le code]

Dans la pratique, les trames d'associations 802.11 se voient ajouter un paramètre OWE Discovery au sein du groupe de paramètres des éléments du Robust Security Network (RSN, OUI 00-0F-AC, code 18).

À la suite du processus d'association OWE, une PMK valide est créée et permet la génération de PTK pour les sessions de communication à l'issue d'échange de type 4-way Handshake classique en Wi-Fi.

Le fonctionnement du roaming sécurisé grâce au PMK-Caching (802.11r) n'est pas affecté par les mécanismes ajoutés par l'OWE.

Implémentation et limites[modifier | modifier le code]

Afin de mettre en place un tel mécanisme, il est nécessaire que les périphériques et l'infrastructure Wifi soient compatibles.

La bonne pratique lorsque l'OWE sera disponible pourra être de mettre en place un SSID de type open spécifique pour l'OWE distinct du SSID open historique à titre de transition.

Attention, l'OWE permet uniquement de mettre en place un chiffrement des communications entre un périphérique et une infrastructure, il n'est en rien capable de réaliser l'authentification du client auprès de l'infrastructure ou l'inverse. Ainsi, une attaque de l'homme du milieu reste envisageable avec l'utilisation de ce seul mécanisme.

Notes et références[modifier | modifier le code]

↑ (en) Request for comments n^o 8110
↑ (en) Kumari, Warren et Harkins, Dan, « Opportunistic Wireless Encryption », sur tools.ietf.org (consulté le 24 avril 2018)
↑ « Un peu de crypto avec les courbes elliptiques », Miximum,‎ 17 juin 2014 (lire en ligne, consulté le 24 avril 2018)

Voir aussi[modifier | modifier le code]

Chiffrement opportuniste

[RFC-8110-1] (en) Request for comments n^o 8110

[2] (en) Kumari, Warren et Harkins, Dan, « Opportunistic Wireless Encryption », sur tools.ietf.org (consulté le 24 avril 2018)

[3] « Un peu de crypto avec les courbes elliptiques », Miximum,‎ 17 juin 2014 (lire en ligne, consulté le 24 avril 2018)

[1]

[2]

[3]