X-FeedAbuse: http://nntpfeed.proxad.net/abuse.pl feeded by 82.66.60.35
Path: ...!news.mixmin.net!proxad.net!feeder1-2.proxad.net!nntpfeed.proxad.net!pasdenom.info!from-devjntp
Message-ID: <X5Zj-zorXHSR8SBc4nOpXsHQu3U@jntp>
JNTP-Route: news2.nemoweb.net
JNTP-DataType: Article
Subject: Re: Authentification d'un =?UTF-8?Q?r=C3=A9seau=20wifi?=
References: <zIycbeBR-FoqynTo0gnJix-gxVE@jntp> <tbgjl9$mhe$1@shakotay.alphanet.ch>
Newsgroups: fr.comp.reseaux.ip
JNTP-HashClient: OnHPIwSEw5pcS5Iuxa3VMaumrbo
JNTP-ThreadID: pB-sMSfOWJ_9rWEEEjrY49ifvRs
JNTP-Uri: http://news2.nemoweb.net/?DataID=X5Zj-zorXHSR8SBc4nOpXsHQu3U@jntp
User-Agent: Nemo/0.999a
JNTP-OriginServer: news2.nemoweb.net
Date: Sat, 23 Jul 22 11:55:33 +0000
Organization: Nemoweb
JNTP-Browser: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36
Injection-Info: news2.nemoweb.net; posting-host="2589bf6d9a62e132fcd6ac3961d86a60cb52854d"; logging-data="2022-07-23T11:55:33Z/7097720"; posting-account="1@news2.nemoweb.net"; mail-complaints-to="newsmaster@news2.nemoweb.net"
JNTP-ProtocolVersion: 0.21.1
JNTP-Server: PhpNemoServer/0.94.5
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-JNTP-JsonNewsGateway: 0.96
From: Julien Arlandis <julien.arlandis@gmail.com>
Bytes: 3753
Lines: 48

Le 23/07/2022 à 12:48, Marc SCHAEFER a écrit :
> Julien Arlandis <julien.arlandis@gmail.com> wrote:
>> Je suis surpris car cela signifie que n'importe quel pirate pourrait 
>> dupliquer un réseau wifi avec son propre matériel et détourner ainsi la 
>> connexion des équipements.
> 
> Oui, c'est pour cela que les entreprises utilisent plutôt des systèmes à
> tunnels d'authentification: EAP TTLS dans le monde standard et d'autres
> protocoles similaires dans le monde propriétaire.
> 
> Pour que cela fonctionne, les clients doivent pouvoir vérifier le
> certificat présenté par le serveur d'authentification, puis établir un
> tunnel chiffré garanti sans attaque du relais (MitM). Enfin, les
> protocoles d'authentification classiques comme PAP, CHAP, voire MS-CHAP
> peuvent être utilisés (eux n'ont pas de protection contre le MitM, mais
> c'est le tunnel sécurisé qui l'assure).
> 
> Si un faux access-point se présente, alors il n'aura pas le bon
> certificat (soit la chaîne de confiance ne sera pas présente, soit, et
> c'est plus simple, cela ne correspondra pas au certificat sauvegardé).
> 
> Sans utiliser cette technique et avec un simple WEP/WPA/WPA2/WPA3, ou si
> le certificat n'est pas vérifié en mode "entreprise", il est possible de
> faire des attaques MitM, voire même, par exemple avec un T/TLS + PAP
> sans certificat vérifié, d'obtenir le mot de passe en clair.

Merci pour les explications.

>> Je pensais à minima que la l'authentification 
>> d'un réseau wifi repose sur un échange de clef publique comme cela se 
>> fait lors d'une première authentification sur un serveur SSH.
> 
> Je n'ai jamais vu d'option, sur les clients "accepter ce certificat et
> le sauvegarder", ça pourrait être une excellente idée.
> 
> Quel est le protocole d'authentification utilisé par ton access point?

WPA2 PSK, je n'ai rien configuré ce sont les paramètres par défaut.


>> Étant donné que le routeur wifi est lié à un compte google, se 
>> pourrait il qu'au moment de la configuration du routeur, google qui aurait 
>> conservé une copie de la clef privée, duplique la clef sur le nouveau 
>> routeur pour assurer la continuité du service ?
> 
> C'est envisageable, avec un protocole d'authentification de type
> "entreprise".