Dans les années 1970, IBM et la NSA ont mis au point l’algorithme de cryptage DES (Data Encryption Standard). Ce dernier était considéré invulnérable jusqu’à ce que, 20 ans après son lancement, il soit finalement « décrypté », puis remplacé par l’AES (Advanced Encryption Standard). Aujourd’hui, l’AES est considéré inviolable puisqu’actuellement aucune puissance de calcul disponible sur le marché ne permet des attaques par force brute réussies. Il existe d’autres technologies de sécurité, qui, à leur apparition, étaient considérées comme extrêmement perfectionnées mais que le génie humain et le temps ont rendues obsolètes.

Remplacer les technologies de sécurité obsolètes

L’algorithme de hachage SHA-0 (Secure Hashing Algorithm) conçu en 1993, suivi peu après du SHA-1, a été déclaré vulnérable au bout de 20 ans et a été remplacé par le SHA-2 en 2017. N’oublions pas le SSL (Secure Socket Layer) lancé en 1996. Ce protocole était utilisé pour chiffrer les connexions depuis et vers les sites Internet, mais il a été jugé obsolète et remplacé en 2015 par le protocole TLS (Transport Layer Security), alors bien plus sécurisé. Actuellement, les versions recommandées de TLS sont, depuis le 30 juin 2018, TLS 1.2 et TLS 1.3. Cette recommandation est principalement fondée sur les règles de conformité des cartes de crédit imposées par la norme de sécurité de l’industrie des cartes de paiement PCI DSS, TLS 1.1 n’étant plus considéré comme sécurisé.

Le protocole WEP (Wireless Encryption Protocol) lancé en 1997 par l’Institute of Electrical and Electronics Engineers, était alors considéré comme une norme sécurisée de protection des communications sur les réseaux sans fil 802.11. Toutefois, la sécurité du protocole n’a pourtant pas fait long feu, il a donc été déclaré vulnérable en à peine deux ans. Cette technologie avait été largement adoptée et utilisée par de nombreux routeurs de réseaux domestiques. Or, quiconque disposerait des bons outils et de compétences de piratage basiques serait en mesure de décrypter le WEP en moins de temps qu’il ne faut pour commander une pizza.

L’évolution du WPA : qu’en est-il aujourd’hui ?

Le WPA (Wireless Protected Access) a été mis en place en 2003 pour remplacer provisoirement le WEP et ses failles de sécurité reconnues. En 2004, lui a succédé le WPA2 et tout allait pour le mieux dans le meilleur des mondes. Grâce au WPA2, nos communications sans fil étaient ainsi de nouveau sécurisées... mais pour combien de temps ?

Les années ont passé et, aujourd’hui, en 2018, le WPA2 en est à sa deuxième vulnérabilité reconnue. Elle exploite une faille du 4-Way Handshake que le protocole utilise pour établir une connexion sécurisée. Les attaquants n’ont plus besoin de s’insérer dans des communications, ils peuvent réaliser une attaque hors ligne dite « par dictionnaire », pour trouver un mot de passe Wi-Fi. Une attaque hors ligne implique un faible niveau d’interactions avec la victime (à l’inverse d’une attaque en ligne). Une fois le mot de passe trouvé, l’attaquant dispose des clés de votre royaume, à savoir votre réseau. Votre routeur ne connaît que le bon mot de passe et ne peut distinguer un invité légitime d’un attaquant, ce dernier pouvant désormais user de ses pouvoirs sur tous les appareils de votre réseau.

Le problème n’est pas la solidité du cryptage utilisé mais la façon dont les fonctions 4-Way Handshake permettent aux attaquants de s’adonner à leurs activités de piratage hors ligne. Les attaques hors ligne leur laissent le temps nécessaire pour utiliser des programmes informatiques conçus pour trouver votre mot de passe, celui que vous imaginiez si spécial : votre équipe de base-ball préférée, le prénom de votre nièce, le nom de votre chien, votre voiture préférée, votre ancienne université, etc.

Un mot de passe sécurisé : bonnes et mauvaises nouvelles

La bonne nouvelle, c’est qu’un mot de passe solide peut aider à rendre ce type d’attaque hautement improbable. La mauvaise, c’est que vous devez disposer d’un mot de passe « vraiment solide ». Depuis au moins 10 ans, les experts en cybersécurité nous rappellent l’importance d’utiliser des mots de passe forts. Si les humains savent faire preuve d’innovation et de créativité, il semble pourtant que nous choisissions des mots de passe très simples et largement prévisibles, il est donc extrêmement important de faire preuve de créativité et d’utiliser des mots de passe solides !

Avec suffisamment de temps, il est pratiquement possible de tout réaliser ou de tout découvrir. N’oublions pas que nous avons su envoyer un homme sur la Lune et le faire revenir en un seul morceau. Rien n’est acquis à jamais, et que rien ne peut être sécurisé ad vitam aeternam, car, en tant qu’humains, nous disposons de suffisamment de créativité pour continuer à innover et à repousser les limites.

Heureusement, le WPA 3 est en route pour nous protéger… jusqu’à la prochaine innovation.