Présentation de la mise à jour de sécurité sans fil WPA (Wi-Fi Protected Access) sous Windows XP

Cet article traite de la nouvelle mise à jour WPA (Wi-Fi Protected Access) dans Microsoft Windows XP.

La norme de mise en réseau sans fil IEEE (Institute of Electrical & Electronics Engineers) 802.11i spécifie des améliorations de la sécurité des réseaux locaux. La norme 802.11i est actuellement en phase de développement et sa ratification est prévue pour la fin de l'année 2003. Elle aborde en grande partie des problèmes de sécurité soulevée par la norme 802.11 d'origine. Dans l'attente de la ratification de la norme IEEE 802.11i, les fournisseurs sans fil se sont mis d'accord sur une norme intérimaire interopérable appelée WPA (Wi-Fi Protected Access).

Fonctionnalités de la sécurité WPA

Les fonctionnalités de sécurité suivantes sont incluses dans la norme WPA :

authentification WPA

L'authentification 802.1x est exigée dans WPA. Dans la norme 802.11, l'authentification 802.1x est facultative.

Pour les environnements sans infrastructure RADIUS (Remote Authentication Dial-In User Service), WPA prend en charge l'utilisation d'une clé pré-partagée. Pour les environnements à infrastructure RADIUS, le protocole EAP (Extensible Authentication Protocol) et RADIUS sont pris en charge.

Gestion des clés WPA

Avec la norme 802.1x, la régénération des clés de cryptage monodiffusion est facultative. De plus, les normes 802.11 et 802.1x ne fournissent aucun mécanisme pour changer la clé de cryptage globale utilisée pour le trafic de monodiffusion et de diffusion. Avec WPA, la régénération des clés de cryptage monodiffusion et globales est exigée. Pour la clé de cryptage monodiffusion, le protocole TKIP change la clé à chaque trame et le changement est synchronisé entre le client sans fil et le point d'accès sans fil. Pour la clé de cryptage globale, WPA fournit une fonctionnalité qui permet au point d'accès de publier la clé modifiée aux clients sans fil connectés.

Protocole TKIP (Temporal Key Integrity Protocol)

Pour 802.11, le cryptage WEP (Wired Equivalent Privacy) est facultatif. Pour WPA, le cryptage avec le protocole TKIP est exigé. Le protocole TKIP remplace WEP par un nouvel algorithme de cryptage plus puissant que l'algorithme WEP, mais qui utilise les fonctionnalités de calcul présentes sur les périphériques sans fil existants afin d'effectuer les opérations de cryptage. Le protocole TKIP offre également les fonctionnalités suivantes :

• la vérification de la configuration de sécurité une fois les clés de cryptage déterminées ;
• la modification synchronisée de la clé de cryptage monodiffusion pour chaque trame ;
• la détermination d'une clé de cryptage monodiffusion de départ unique pour chaque authentification de clé pré-partagée.

Michael

Avec la norme 802.11 et WEP, l'intégrité des données est assurée par une valeur ICV (Integrity Check Value) 32 bits ajoutée à la charge de travail 802.11 et cryptée avec WEP. Bien que la valeur ICV soit cryptée, vous pouvez utiliser une cryptanalyse pour modifier des bits dans la charge de travail cryptée et mettre à jour la valeur ICV cryptée sans être détecté par le destinataire.

Avec WPA, une méthode appelée Michael spécifie un nouvel algorithme qui calcule un code MIC (Message Integrity Code) de 8 octets à l'aide des fonctionnalités de calcul disponibles sur les périphériques sans fil existants. Le code MIC est placé entre la partie des données de la trame IEEE 802.11 et la valeur ICV de 4 octets. Le champ MIC est crypté avec les données de trame et la valeur ICV.

Michael fournit également une protection contre la relecture. Un nouveau compteur de trames dans la trame IEEE 802.11 prévient les attaques de relecture.

Prise en charge AES

WPA définit l'utilisation de la norme AES (Advanced Encryption Standard) en tant que remplacement supplémentaire du cryptage WEP. Étant donné que vous ne serez pas forcément en mesure d'ajouter la prise en charge AES par le biais d'une mise à jour du microprogramme de l'équipement sans fil existant, la prise en charge AES est facultative et dépend de la prise en charge des pilotes des fabricants.

Prise en charge d'une combinaison de clients sans fil WPA et WEP

Pour prendre en charge la transition progressive des réseaux sans fil WEP vers WPA, un point d'accès sans fil peut prendre en charge à la fois les clients WEP et WPA. Durant l'association, le point d'accès sans fil détermine les clients qui utilisent WEP et ceux qui utilisent WPA. La prise en charge d'une combinaison de clients WEP et WPA est problématique. la clé de cryptage n'est pas dynamique du fait que les clients WEP ne peuvent la prendre en charge. Tous les autres avantages offerts aux clients WPA, dont l'intégrité, sont conservés.

Modifications nécessaires à la prise en charge de WPA

WPA exige des modifications logicielles sur les éléments suivants :

• points d'accès sans fil ;
• cartes réseau sans fil ;
• programmes clients sans fil.

Modifications des points d'accès sans fil

Le microprogramme des points d'accès sans fil doit être mis à jour afin de prendre en charge les éléments suivants :

• le nouvel élément d'informations WPA
  
  Pour publier leur prise en charge de WPA, les points d'accès sans fil envoient la balise avec un nouvel élément d'informations WPA 802.11 qui contient la configuration de sécurité du point d'accès sans fil (des informations relatives à l'algorithme de cryptage et à la configuration de la sécurité sans fil).
• l'authentification WPA en deux étapes
  
  Système ouvert, puis 802.1x (EAP avec RADIUS ou clé pré-partagée).
• le protocole TKIP
• Michael
• AES (facultatif)

Pour mettre à niveau vos points d'accès sans fil pour la prise en charge de WPA, contactez votre fournisseur de points d'accès sans fil afin d'obtenir une mise à jour de microprogramme WPA et téléchargez-la sur vos points d'accès.

Modifications des cartes réseau sans fil

Le microprogramme des cartes réseau sans fil doit être mis à jour afin de prendre en charge les éléments suivants :

• le nouvel élément d'informations WPA
  Les clients sans fil doivent être capables de traiter l'élément d'informations WPA et de répondre avec une configuration de sécurité spécifique.
• l'authentification WPA en deux étapes
• Système ouvert, puis 802.1x (EAP ou clé pré-partagée)
• le protocole TKIP
• Michael
• AES (facultatif)

Pour mettre à niveau vos cartes réseau sans fil pour la prise en charge de WPA, contactez votre fournisseur de cartes réseau sans fil afin d'obtenir une mise à jour WPA et effectuez la mise à jour du pilote de carte réseau sans fil.

Pour les clients sans fil Windows, vous devez obtenir un pilote de carte réseau mis à jour qui prend en charge WPA. Pour les pilotes de cartes réseau sans fil compatibles avec Windows XP (Service Pack 1), le pilote de carte réseau mis à jour doit être capable de passer les capacités WPA et la configuration de sécurité de la carte au service Configuration automatique sans fil.

Microsoft a collaboré avec de nombreux fournisseurs sans fil afin d'imbriquer la mise à jour de microprogramme WPA dans le pilote de carte sans fil. Par conséquent, pour mettre à jour votre client sans fil Windows, il vous suffit d'obtenir et d'installer le nouveau pilote compatible WPA. Le microprogramme est automatiquement mis à jour lors du chargement du pilote de carte réseau sans fil dans Windows.

Modifications des programmes client sans fil

Les programmes client sans fil doivent être mis à jour afin d'autoriser la configuration de l'authentification WPA (et de la clé pré-partagée) et des nouveaux algorithmes de cryptage WPA (protocole TKIP et le composant facultatif AES).

Pour les clients sans fil qui exécutent Windows XP Service Pack 1 (SP1) et qui utilisent une carte réseau sans fil prenant en charge le service Configuration automatique sans fil, vous devez obtenir et installer le client WPA Windows. Pour les clients sans fil qui exécutent Windows XP Service Pack 2 (SP2) et qui utilisent une carte réseau sans fil prenant en charge le service Configuration automatique sans fil, le client WPA Windows est inclus dans Windows XP SP2. Par conséquent, aucun téléchargement supplémentaire n'est requis. Le client WPA Windows met à jour les boîtes de dialogue de configuration de réseau sans fil afin de prendre en charge les nouvelles options WPA.

Pour plus d'informations et afin d'obtenir ce programme client WPA, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft. Pour les clients sans fil qui exécutent Windows 2000 (ou les clients qui exécutent Windows XP Service Pack 1 et qui utilisent une carte réseau sans fil ne prenant pas en charge le service Configuration automatique sans fil), vous devez contacter votre fournisseur de carte réseau sans fil afin d'obtenir et d'installer un nouvel utilitaire de configuration compatible WPA.

Informations connexes relatives à Intel

Pour plus d'informations, reportez-vous au site Web d'Intel à l'adresse suivante : Les produits tiers mentionnés dans le présent article proviennent de sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Microsoft fournit les coordonnées de sociétés tierces afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.