La Wi-Fi Alliance, le consortium en charge de la famille de standards de communication sans fil, lance le protocole de sécurité WPA3, qui devrait à terme remplacer WPA2.
Matthy Vanhoef de l’université belge KU Leven, dévoila en octobre 2017 sur un microsite une faille critique du protocole de sécurité WPA2, utilisé par presque tous les appareils Wi-Fi.
Contrairement à la plupart des vulnérabilités de sécurités, la faille n’est pas occasionnée par des bogues dans l’implémentation d’un logiciel, mais bien d’un défaut fondamental du protocole de sécurité lui-même, qui le rend vulnérable à une attaque par réinstallation de clé (key reinstallation attack, KRACK).
D’où le nouveau protocole WPA3.
Comme WPA2, il se décline en deux variantes :
WPA3-Personal, basé sur les mots de passe, et compatible avec le protocole d’établissement de clés Simultaneous Authentification of Equals (SAE, Authentification simultanée des égaux), qui renforce la protection contre les attaques brutes.
WPA3-Entreprise. Offre l’équivalent d’un chiffrement avec clé de 192 bits. Contrairement au mode personnel, il nécessite un serveur d’authentification.
Concrètement, les industriels peuvent soumettre dès aujourd’hui leurs produits pour certifier leur compatibilité avec WPA3.
Pour assurer la transition, tous les nouveaux appareils Wi-Fi doivent rester compatibles avec une version améliorée de WPA2.
Il faudra quelques années avant que tous les routeurs et tous les appareils clients soient compatibles WPA3 : il y a plus d’appareils équipés en Wi-Fi que de femmes et d’hommes sur terre.
La Wi-Fi Alliance présente également deux nouveautés :
- Wi-Fi Certified Easy Connect : réduit la complexité de la prise en charge d’appareils Wi-Fi avec peu ou pas d’écran, comme des objets IoT, tout en maintenant un haut niveau de sécurité : on scanne simplement un code QR sur l’appareil à l’aide d’un ordiphone.
- Wi-Fi Certified Enhanced Open : offre un certain niveau de sécurité aux utilisateurs dans un endroit où l’authentification n’est pas souhaitée, ou où la distribution de certificats de sécurité n’est pas possible : café, McDonald’s, accès ouvert dans les aéroports, les hôtels, les stades, etc.