Le 24 juin dernier, l'IEEE a ratifié à l'unanimité le standard longtemps attendu, 802.11i, traitant de la sécurité des réseaux locaux sans fil. Cette norme emploie les schémas d'authentification IEEE 802.1X et EAP (Extensible authentication protocol) , et l'algorithme de chiffrement éprouvé AES (Advanced encryption standard) dans son mode CCMP (Counter mode with CBC-MAC protocol), auxquels s'ajoute un schéma de distribution des clés dynamiques beaucoup plus solide, baptisé TKIP (Temporal key integrity protocol) . Le 802.1X, qui ne se limite pas au réseau sans fil, fait appel à EAP et à Radius.

Comme prévu, les premiers produits certifiés n'ont pas tardé à apparaître sur le marché. La Wi-Fi Alliance utilise la dénomination WPA2 pour les reconnaître. WPA2 correspond ainsi à la deuxième génération postérieure à WEP (Wired equivalent privacy) , qui souffre de lacunes majeures en matière de chiffrement et de gestion des clés. Optionnel, WEP n'est, de surcroît, pas souvent mis en oeuvre sur le terrain, et facilement cassable avec des outils disponibles sur le web et un peu de patience...

Les entreprises soucieuses de sécuriser leurs réseaux 802.11a-b-g étaient alors obligées de recourir à des solutions de sécurité propriétaires ou à des VPN de niveau 3.

En attendant la norme 802.11i, la communauté informatique liée au monde du Wi-Fi n'est cependant pas restée inactive et a lancé, en 2003, WPA (Wi-Fi protected access) , un sous-ensemble de 802.11i, alors considéré, avec raison, comme une solution pérenne (lire 01 Réseaux , n° 130, p. 78).

WPA2 est compatible de manière descendante avec WPA. Contrairement à WPA2, WPA ne requiert pas de mise à jour matérielle, mais simplement une mise à jour du logiciel du point d'accès et du pilote de la carte réseau. WPA comblait deux lacunes importantes de WEP : le chiffrement des données afin d'assurer leur confidentialité, et l'authentification des utilisateurs. Notons que WEP ne disparaît pas pour autant, ni, d'ailleurs, WPA, qui pourra toujours être utilisé par les particuliers ou les petites entreprises qui n'auraient pas usage d'un chiffrement évolué et d'une authentification Radius. La différence principale entre WPA et WPA2 est l'algorithme de chiffrement employé : AES au lieu de RC-4. AES répond aux besoins de l'américain NIST (National Institute of Standards and Technology) en remplacement du vénérable DES 56 bits, et est éligible aux spécifications FIPS (Federal information processing standard) 140-2. Le seul inconvénient, si l'on peut dire, est que les opérations de chiffrement-déchiffrement sont gourmandes en ressources et requièrent une puce dédiée. L'AES, intégré à la norme IEEE 802.11i, propose des clés de 128, 192 et 256 bits.

À l'heure actuelle, on ne sait pas casser l'AES, et le temps nécessaire pour y parvenir est jugé beaucoup trop important. Mais, dans quelques années, on verra sûrement les choses autrement.

Il est cependant certain que, avec des produits certifiés et une norme solide de sécurité, les entreprises françaises devraient moins craindre de passer au monde des réseaux sans fil IEEE 802.11.