IEEE 802.11i

IEEE 802.11i est un amendement à la norme IEEE 802.11 ratifié le 24 juin 2004 et publié le 23 juillet de la même année. Cet amendement plus connu sous le vocable de WPA2 (nom donné par la Wi-Fi Alliance pour les matériels gérant cet amendement) traite du renforcement de la sécurité des échanges au niveau des réseaux informatiques locaux utilisant une liaison sans fil (WLAN).

IEEE 802.11i définit un réseau de sécurité robuste (Robust Security Network ou RSN) comportant des améliorations par rapport au mode de sécurisation WEP (Wired Equivalent Privacy) préconisé par le standard IEEE 802.11. Cet amendement a amélioré les méthodes d'authentification et de chiffrement. La norme utilise les moyens d'authentification et de chiffrement suivants :

• Le standard IEEE 802.1X qui permet de réaliser une authentification par contrôle de l'accès réseau au niveau du port (Port Based Network Access Control) et d'autoriser ou non une liaison physique entre un client et un point d'accès.
• Le processus de chiffrement basé sur l'algorithme AES (Advanced Encryption Standard) permettant de réaliser le mode de sécurisation WPA2.
• Le processus de chiffrement TKIP (Temporal Key Integrity Protocol) permettant d'obtenir le mode de sécurisation WPA (moins robuste que WPA2) à l'aide de clés de 128 bits dynamiques modifiées de manière aléatoire.

L'authentification est le processus permettant à un Supplicant de s'authentifier auprès d'un Authentificator afin d'avoir accès à certains services. Dans le cas du Wifi, le Supplicant est une station (STA) cherchant à obtenir un accès à l'Internet auprès d'un point d'accès (PA). 802.11i ratifie deux méthodes d'authentification :

• PSK : Cette authentification est basée sur un secret partagé entre la STA et le PA. Tous deux sont en possession d'une clé symétrique appelée PSK (Pre-Shared Key). L'implémentation de cette authentification est appelé WPA-Personnel par la WiFi alliance.
• 802.1X : Cette authentification est basée sur le protocole IEEE 802.1X. Ici l'authentificator (PA) va simplement servir de relais entre la STA et un serveur d'authentification (AS) en utilisant par exemple le protocole RADIUS (également appelé AAA). L'implémentation de cette authentification est appelée WPA-Entreprise par la Wi-Fi Alliance.

Dans les deux cas, l'authentification se fait au moyen du protocole EAP. À l'issue de l'authentification, si cette dernière est un succès (c'est-à-dire qu'elle termine par un EAP-SUCCESS) la STA et l'AP sont tous deux en possession d'une clef appelée PMK (Pairwise Master Key). Cette PMK est soit la PSK (dans le cas d'une authentification basée sur PSK) soit les 256 premiers bits de la clef AAA (dans le cas d'une authentification basée sur 802.1X). La phase suivant l'authentification est appelée le 4-Way Handshake, elle consiste à la dérivation et à l'échange des clefs unicast/multicast à partir de la clef PMK. Le 4-Way Handshake permet également de sélectionner le protocole de chiffrement qui sera utilisé pour sécuriser les communications entre la STA et l'AP.

802.11i permet de définir un RSN mais est cependant rétro-compatible avec l'ancien mode de sécurisation WEP. Dans cet amendement sont introduits deux nouveaux procédés de chiffrement, le TKIP ainsi que le CCMP.

• WEP (Wired Equivalent Privacy) ;
• TKIP (Temporal Key Integrity Protocol) ;
• CCMP (CTR with CBC-MAC protocol).

Il est à noter que le WEP est défini en tant que pré-RSN dans la mesure où il n'offre pas une sécurité suffisante pour un réseau sans-fil. TKIP est certifié RSN et est compatible avec le matériel pré-RSN, c'est une évolution plus robuste que le WEP permettant une transition douce vers un réseau totalement RSN (Robust Secure Network). CCMP est la méthode de chiffrement la plus sûre offerte par la norme 802.11i mais n'est pas compatible avec les vieux matériels.

• Wi-Fi
• IEEE 802.11

• (en) [PDF] IEEE Std 802.11i-2004
• (en) Wi-Fi Alliance

• Portail de la sécurité informatique
• Portail des télécommunications