X-FeedAbuse: http://nntpfeed.proxad.net/abuse.pl feeded by 82.66.60.35 Path: ...!news.mixmin.net!proxad.net!feeder1-2.proxad.net!nntpfeed.proxad.net!pasdenom.info!from-devjntp Message-ID: JNTP-Route: news2.nemoweb.net JNTP-DataType: Article Subject: Re: Authentification d'un =?UTF-8?Q?r=C3=A9seau=20wifi?= References: Newsgroups: fr.comp.reseaux.ip JNTP-HashClient: OnHPIwSEw5pcS5Iuxa3VMaumrbo JNTP-ThreadID: pB-sMSfOWJ_9rWEEEjrY49ifvRs JNTP-Uri: http://news2.nemoweb.net/?DataID=X5Zj-zorXHSR8SBc4nOpXsHQu3U@jntp User-Agent: Nemo/0.999a JNTP-OriginServer: news2.nemoweb.net Date: Sat, 23 Jul 22 11:55:33 +0000 Organization: Nemoweb JNTP-Browser: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36 Injection-Info: news2.nemoweb.net; posting-host="2589bf6d9a62e132fcd6ac3961d86a60cb52854d"; logging-data="2022-07-23T11:55:33Z/7097720"; posting-account="1@news2.nemoweb.net"; mail-complaints-to="newsmaster@news2.nemoweb.net" JNTP-ProtocolVersion: 0.21.1 JNTP-Server: PhpNemoServer/0.94.5 MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit X-JNTP-JsonNewsGateway: 0.96 From: Julien Arlandis Bytes: 3753 Lines: 48 Le 23/07/2022 à 12:48, Marc SCHAEFER a écrit : > Julien Arlandis wrote: >> Je suis surpris car cela signifie que n'importe quel pirate pourrait >> dupliquer un réseau wifi avec son propre matériel et détourner ainsi la >> connexion des équipements. > > Oui, c'est pour cela que les entreprises utilisent plutôt des systèmes à > tunnels d'authentification: EAP TTLS dans le monde standard et d'autres > protocoles similaires dans le monde propriétaire. > > Pour que cela fonctionne, les clients doivent pouvoir vérifier le > certificat présenté par le serveur d'authentification, puis établir un > tunnel chiffré garanti sans attaque du relais (MitM). Enfin, les > protocoles d'authentification classiques comme PAP, CHAP, voire MS-CHAP > peuvent être utilisés (eux n'ont pas de protection contre le MitM, mais > c'est le tunnel sécurisé qui l'assure). > > Si un faux access-point se présente, alors il n'aura pas le bon > certificat (soit la chaîne de confiance ne sera pas présente, soit, et > c'est plus simple, cela ne correspondra pas au certificat sauvegardé). > > Sans utiliser cette technique et avec un simple WEP/WPA/WPA2/WPA3, ou si > le certificat n'est pas vérifié en mode "entreprise", il est possible de > faire des attaques MitM, voire même, par exemple avec un T/TLS + PAP > sans certificat vérifié, d'obtenir le mot de passe en clair. Merci pour les explications. >> Je pensais à minima que la l'authentification >> d'un réseau wifi repose sur un échange de clef publique comme cela se >> fait lors d'une première authentification sur un serveur SSH. > > Je n'ai jamais vu d'option, sur les clients "accepter ce certificat et > le sauvegarder", ça pourrait être une excellente idée. > > Quel est le protocole d'authentification utilisé par ton access point? WPA2 PSK, je n'ai rien configuré ce sont les paramètres par défaut. >> Étant donné que le routeur wifi est lié à un compte google, se >> pourrait il qu'au moment de la configuration du routeur, google qui aurait >> conservé une copie de la clef privée, duplique la clef sur le nouveau >> routeur pour assurer la continuité du service ? > > C'est envisageable, avec un protocole d'authentification de type > "entreprise".