Il est conseille de mettre un clé WPA2, qui est plus sécurisé que le WPA ou le WEP.
Surtout, d'utiliser le protocole CCMP et non le protocole TKIP. La Freebox v5 ne propose pas WPA2 pour le WLAN perso, mais propose CCMP, c'est ce qui compte.
Wi-Fi Protected Access (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans-fil de type Wi-Fi. Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. (Il ne faut plus utiliser ce dernier). WPA utilise un chiffrement basé sur TKIP. WPA2 utilise chiffrement basé sur AES.
- En WPA*-CCMP, le chiffre est AES (méthode de chiffrement par blocs). Le protocole qui met en œuvre AES est CCMP.
- En WPA*-TKIP, le chiffre est RC4 (méthode de chiffrement d'un flot). Le protocole qui met en œuvre RC4 est CCMP.
- En WEP, le chiffre est RC4 (méthode de chiffrement d'un flot)
Le choix de RC4 dans WEP est le résultat de l'incompétence crasse des concepteurs (niveau étudiant en échec scolaire), qui n'entravent rien en cryptologie. RC4 a une faiblesse qui fait qu'il est recommandé de sauter le début du flot, ce qui est irréaliste dans cette utilisation et qui n'a pas été fait.
Le choix de RC4 dans WPA-TKIP est lié au fait que les cartes Wi-Fi de première génération intégraient en hard le chiffrement RC4; il paraitrait que sur certaines cartes le chiffrement RC4 n'est pas désactivable ni contournable (mais cette affirmation me parait absurde, il faut bien que la carte puisse envoyer et recevoir des trames Wifi en clair).
En novembre 2008 deux chercheurs allemands en sécurité ont annoncé découvert une faille de sécurité dans le protocole WPA au niveau de l'algorithme TKIP.
Ce n'était pas une très grande surprise. Dès le départ, WPA-TKIP est un bricolage pour intégrer un moteur inadéquat (RC4) dans un système plus sûr (WPA). C'est un système complexe et qui intègre de façon normative une vulnérabilité (un oracle qui aide un attaquant potentiel).
Une implèmentation non-conforme de TKIP est plus sure et donc préférable à une implèmentation conforme!Il est donc recommandé d'utiliser WPA2 qui impose le support d'un chiffrement basé sur AES.
Au contraire de TKIP, CCMP utilise un moteur adéquat (AES) et qui n'a pas de vulnérabilité connue.
À ce jour, aucune attaque contre le protocole CCMP lui-même n'a été publiée (à ma connaissance).
Le WPA2 reste vulnérable aux attaques par force brute sur les mots de passe.
C'est WPA*-PSK = WPA* Personal qui l'est. PSK = Pre-Shared Key =
clé pré-partagée. Cela signifie qu'
un secret commun de 128 256 bits, le PSK, est connu de tous les invités à la Wi-fête.
Si quelqu'un peut écouter votre WLAN, il peut enregistrer un message qui ne dépend que de la clef, c'est à dire qui satisfait l'équation :
f(PSK) = M
où :
- M est un message capté
- f est une fonction qui dépend uniquement des messages précédents (donc connue de celui qui capte le WLAN)
L'attaquant veut trouver la PSK pour être invité à la Wi-fête (le WLAN). Il pourrait donc résoudre cette équation la PSK énumérant toutes les possibilités; mais la PSK fait
128 256 bits, donc c'est impossible en pratique (même avec tous les ordinateurs de la planète pendant des siècles). Mais l'attaque ne vise pas directement la PSK, mais la phrase secrète de l'utilisateur.
En effet,
la PSK est calculée en fonction de la passphrase (phrase secrète) que vous entrez. La passphrase est la variante humaine, lisible; la PSK est la variante binaire; la passphrase a une longueur variable, mais la PSK fait toujours exactement
128 256 bits.
En fait, la PSK est aussi fonction du SSID (nom du réseau). Le processus de calcul de la PSK demande beaucoup de calcul,
il est conçu pour être très très lent afin de gêner l'attaquant qui veut tester beaucoup de passphrases. Cela n'empêchera pas un attaquant disposant de matériel très performant, comme des consoles de jeu ou des cartes graphiques, de tester énormèment de passphrases.
Toute protection -PSK est par construction susceptible d'une attaque par énumération des passphrases. La seule limite est la puissance de calcul de l'attaquant et le temps qu'il veut bien y consacrer.
Il faut donc choisir une clé wifi complexe.
Idéalement, il faut choisir une passphrase complètement aléatoire.
La clé doit contenir entre 10 et 63 caractères alphanumériques. Il est fortement déconseillé d'utiliser des mots du dictionnaire / prénoms, l'attaque par force brute permettant de rapidement retrouver le mot de passe utilisé. Vous pouvez combiner les 3 premières lettres de chaque mot d'une phrase pour constituer un mot de passe sur. Mélanger majuscules, minuscules chiffres est également conseillé.
La passphrase WPA n'a pas besoin d'être mémorisable par l'utilisateur. La clé partagée est normalement enregistrée dans la configuration de l'interface Wifi. (Cela veut dire que quelqu'un qui vole votre PC peut récupérer la PSK.)
Pour la configurer, il suffit de la copier-coller d'un PC à l'autre. Sur l'interface de gestion de la Freebox, on peut voir et copier la passphrase, ce qui est bien pratique. Il y a aussi un bouton générer pour fabriquer une phrase complètement aléatoire.
Ou bien, faites courir un chat sur le clavier (s'il ne perd pas ses poils).