Chapitre 4 — Sécurité Wi-Fi & Attaques Sans Fil
Le Wi-Fi introduit des vecteurs d'attaque uniques. Ce module couvre les protocoles de sécurité Wi-Fi (WEP, WPA, WPA2, WPA3), les attaques courantes et les bonnes pratiques de déploiement.
Mémorisez ! WEP = brisé (ne jamais utiliser). WPA/WPA2-Personal = clé pré-partagée (PSK). WPA2/WPA3-Enterprise = authentification individuelle via 802.1X + RADIUS. WPA3 est le standard actuel.
| Protocole | Chiffrement | Authentification | Statut |
|---|---|---|---|
| WEP | RC4 (40/104 bits) | PSK faible | Compromis — ne jamais utiliser |
| WPA | TKIP + RC4 | PSK ou 802.1X | Obsolète |
| WPA2-Personal | AES-CCMP (128 bits) | PSK (mot de passe partagé) | Acceptable pour domicile, vulnérable PMKID/KRACK |
| WPA2-Enterprise | AES-CCMP (128 bits) | 802.1X + RADIUS (identifiant individuel) | Recommandé pour entreprise |
| WPA3-Personal | AES-CCMP (128 bits) | SAE (Simultaneous Authentication of Equals) | Recommandé, résiste au brute force offline |
| WPA3-Enterprise | AES-GCMP-256 (256 bits) | 802.1X + RADIUS | Recommandé, chiffrement le plus fort |
802.1X — Port-Based Network Access Control
802.1X est un standard d'authentification réseau basé sur EAP (Extensible Authentication Protocol). Utilisé pour le Wi-Fi Enterprise et les accès Ethernet sécurisés.
- Supplicant : le client qui s'authentifie (PC, téléphone).
- Authenticator : le point d'accès (AP) ou switch qui relaie l'authentification.
- Authentication Server : serveur RADIUS qui vérifie les credentials.
- EAP types : EAP-TLS (certificat client — le plus sécurisé), PEAP (mot de passe dans un tunnel TLS), EAP-TTLS.
| Attaque | Description | Contre-mesure |
|---|---|---|
| Rogue AP | Point d'accès non autorisé installé sur le réseau interne | Wireless IDS, 802.1X sur ports Ethernet, détection de ssid suspects |
| Evil Twin | AP malveillant imitant un AP légitime (même SSID) pour intercepter le trafic | Certificats EAP-TLS, VPN obligatoire, alertes WIDS |
| Deauthentication Attack | Envoi de frames deauth forgées pour déconnecter les clients (DoS Wi-Fi) | 802.11w (Protected Management Frames — PMF) |
| KRACK (WPA2) | Attaque sur le handshake WPA2, rejoue le nonce pour déchiffrer le trafic | Patches disponibles, migrer vers WPA3 |
| PMKID Attack | Capture du PMKID depuis un seul frame pour cracker le PSK WPA2 hors ligne | Mot de passe PSK long et complexe, migrer WPA3 (SAE) |
| War Driving | Conduite autour d'une zone pour cartographier les réseaux Wi-Fi (avec Kismet, Wireshark) | Masquer SSID (faible protection), surveillance physique |
| Jamming | Brouillage du signal radio pour perturber les communications Wi-Fi (DoS physique) | Détection radio, changement de canal, 5GHz |
Astuce Examen
802.11w (Protected Management Frames / PMF) protège contre les attaques de deauthentification. WPA3 inclut SAE (résistant au PMKID offline) et PMF obligatoire. Si une question mentionne "déconnecter des utilisateurs Wi-Fi" → deauthentication attack → contre-mesure 802.11w/PMF.
- Utiliser WPA3-Enterprise ou WPA2-Enterprise avec EAP-TLS (certificats clients).
- Déployer un Wireless IDS (WIDS) pour détecter les rogue AP et evil twin.
- Isoler le Wi-Fi invité dans un VLAN séparé sans accès au réseau interne.
- Activer 802.11w (PMF) pour protéger les frames de gestion.
- Changer régulièrement les PSK des réseaux Wi-Fi si WPA2-Personal est utilisé.
- Désactiver WPS (Wi-Fi Protected Setup) — vulnérable aux attaques brute force PIN (8 chiffres = 10^7 possibilités).
- Surveiller les AP pirates avec des scans réguliers et du port security sur les switches (pour détecter les AP rogue connectés en Ethernet).