Académique Documents
Professionnel Documents
Culture Documents
WIFI Professionnel
WIFI Professionnel
rseaux
WiFi
Professionnel
La norme 802.11,
le dploiement, la scurit
Aurlien Gron
Prface de Marc Taieb
3e dition
ISBN 978-2-10-054183-6
Prface
Svrement touche par laventure UMTS, lEurope a cherch des solutions conomiques la transmission de donnes sans fil. Elle a su trouver une voie honorable en
proposant des services sur la norme Wireless-Fidelity. Les usages ont t dclins la
maison, au bureau, dans la rue et dans les zones blanches .
Les constructeurs y ont dcel un relais de croissance et les oprateurs, gnralement frileux, ont fini par leur emboter le pas. En 2002 la technologie tait
confidentielle, aujourdhui la France compte des milliers de points daccs. La presse,
friande de sujets leur rappelant la grande poque de la bulle , ne tarit pas dloge
pour cette forme de cabine tlphonique daccs haut dbit. Certains ont mme
imagin une France couverte en WiFi.
Les technologies sans fil existent depuis des dizaines dannes, avec des dbits
croissants et des bandes de frquences de plus en plus rares. Les normes ont donc
volu pour optimiser et simplifier les plages. Si le GSM a t capable de transporter de
la voix pour 75 % des habitants (moyenne europenne), les transmissions de donnes
gnrent moins de 10 % des revenus et doivent sadosser dautres normes comme la
3G et le WiFi. lheure o la 4G pointe son nez, nous savons que le WiFi ne sera pas
une parenthse de lhistoire de la haute technologie.
En dpit des rumeurs des plus acides qui ironisaient sur le dbit et la scurit des
rseaux sans fil le standard 802.11 a surpris par sa stabilit et sa simplicit. Le livre
dAurlien G RON cristallise, dans une dmarche pdagogique, la diffrence entre
le WiFi et la perception que lon peut en avoir. Peu douvrages ont su dcrire avec
autant de prcision ltat rel de cette technologie. Il tait ncessaire dinscrire la
norme dans une photo plus grande qui la positionnait face aux autres normes sans fil
et qui lgitimait sa prdominance. Cette tche a t acquitte sans quitter du regard
les problmatiques de scurit.
Je tiens enfin saluer la rigueur de louvrage et de son auteur, que je connais
personnellement et qui je voue une grande admiration, tant pour ses qualits de
travail que pour sa crativit.
Marc TAIEB
Cofondateur et directeur de la socit Wifirst
Prface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
III
Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
XV
1.1.1
De lhistoire ancienne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1.2
1.1.3
Le boom du WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2.1
1.2.2
1.2.3
Le modle OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
1.2.4
11
1.2.5
Les WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
1.2.6
14
15
1.3.1
15
1.3.2
Le WiFi domicile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
1.3.3
Les hotspots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
VI
WiFi Professionnel
1.3.4
Le WiFi communautaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
1.3.5
Le point point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
1.3.6
21
23
1.4.1
LEthernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
1.4.2
Le CPL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
1.4.3
Linfrarouge et le laser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
1.4.4
Le Bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
1.4.5
La data mobile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
1.4.6
Autres technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
1.4.7
La place du WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
29
29
2.1.1
30
2.1.2
30
2.1.3
30
31
2.2.1
31
2.2.2
33
38
2.3.1
38
2.3.2
40
2.3.3
Le FHSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
44
2.3.4
Le DSSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
2.3.5
LOFDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
2.3.6
Techniques multi-antennes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
55
2.4.1
55
2.4.2
57
2.4.3
Regroupement de canaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
59
2.5.1
59
2.5.2
Le prambule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
VII
Len-tte PLCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
61
2.6.1
61
2.6.2
61
2.6.3
62
65
65
3.1.1
65
3.1.2
66
3.1.3
67
3.1.4
69
73
3.2.1
Le mode DCF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
3.2.2
Le mode PCF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
3.2.3
77
3.2.4
Le paramtrage et la compatibilit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80
81
3.3.1
Le mode Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
82
3.3.2
82
85
3.4.1
85
3.4.2
85
3.4.3
Lauthentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
3.4.4
Lassociation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
3.4.5
La rassociation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
3.4.6
Et en mode Ad Hoc ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
89
3.5.1
Masquer le SSID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
3.5.2
90
3.5.3
Le WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
3.5.4
Le 802.11i et le WPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
92
Le contrle derreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
2.5.3
3.6.1
WiFi Professionnel
VIII
3.6.2
La fragmentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
3.6.3
93
3.6.4
Lconomie dnergie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
3.6.5
Le WMM-PS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
98
99
3.7.1
99
3.7.2
101
3.7.3
103
104
3.8.1
Lagrgation de trames . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
104
3.8.2
Acquittements groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
105
109
109
4.1.1
Le rle de ladaptateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
109
4.1.2
La connectique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
110
4.1.3
Le pilote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
112
114
4.2.1
114
4.2.2
117
4.2.3
121
4.2.4
Le routeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
125
4.2.5
126
4.2.6
La configuration dun AP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
132
4.2.7
Comment choisir un AP ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
132
135
4.3.1
135
4.3.2
137
4.3.3
139
4.3.4
140
141
141
4.4.1
IX
4.4.2
145
4.4.3
147
147
4.5.1
Le PoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
147
4.5.2
Le CPL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
149
4.5.3
149
153
153
5.1.1
Un schma gnral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
153
5.1.2
156
5.1.3
157
161
5.2.1
161
5.2.2
Labsorption et la rflexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
163
5.2.3
La polarisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
165
5.2.4
La diffraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
166
5.2.5
168
5.2.6
171
5.2.7
174
175
5.3.1
175
5.3.2
176
5.3.3
179
5.3.4
Laudit de site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
183
5.3.5
190
195
195
6.1.1
Dfinir la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
195
6.1.2
197
6.1.3
La compartimentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
198
WiFi Professionnel
6.1.4
La connexion Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
200
6.1.5
Lvolution de la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
200
201
6.2.1
Le wardriving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
201
6.2.2
Lespionnage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
203
6.2.3
Lintrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
203
6.2.4
Le dni de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
207
6.2.5
209
212
6.3.1
212
6.3.2
212
6.3.3
La supervision radio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
212
6.3.4
Masquer le SSID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
213
6.3.5
213
6.3.6
Les VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
213
6.3.7
Le cryptage WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
214
6.3.8
215
6.3.9
216
217
6.4.1
La mort du WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
217
6.4.2
218
6.4.3
Le WPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
218
6.4.4
Le 802.11i (WPA2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
218
Chapitre 7 Le WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
221
221
7.1.1
Dployer le WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
221
7.1.2
223
7.1.3
224
227
7.2.1
Lalgorithme RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
227
7.2.2
227
7.2.3
229
7.2.4
Le vecteur dinitialisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
230
XI
7.2.5
Lauthentification WEP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
231
7.2.6
Le contrle dintgrit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
231
233
7.3.1
233
7.3.2
237
7.3.3
238
Chapitre 8 Le 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
241
242
8.1.1
LIETF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
242
8.1.2
Le protocole PPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
242
8.1.3
243
245
8.2.1
245
8.2.2
249
8.2.3
LEAP et le 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
251
253
8.3.1
EAP/MD5. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
253
8.3.2
EAP/MS-CHAP-v2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
253
8.3.3
EAP/OTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
253
8.3.4
EAP/GTC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
254
8.3.5
EAP/SIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
255
8.3.6
EAP/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
255
8.3.7
EAP/PEAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
257
8.3.8
EAP/TTLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
259
8.3.9
PEAP ou TTLS ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
260
8.3.10 EAP/FAST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
260
262
263
8.4.1
Les failles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
263
8.4.2
263
8.4.3
Lattaque de la session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
264
8.4.4
266
8.4.5
269
XII
WiFi Professionnel
271
271
9.1.1
Rappels et dfinitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
271
9.1.2
Le WPA Personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
272
9.1.3
Le WPA Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
274
276
9.2.1
276
9.2.2
279
9.2.3
281
9.2.4
La rotation de la cl de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
284
9.2.5
284
287
9.3.1
Prsentation gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
287
9.3.2
Le cryptage TKIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
288
9.3.3
Empcher la relecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
291
9.3.4
291
9.3.5
296
297
9.4.1
Pourquoi AES ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
297
9.4.2
Le WPA/AES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
297
9.4.3
299
9.4.4
Le CCMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
302
Chapitre 10 Le RADIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
307
307
10.1.1 Lauthentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
307
10.1.2 Lautorisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
311
10.1.3 La comptabilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
312
315
315
317
318
320
XIII
322
322
10.3.2 Lauthenticator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
323
326
326
327
331
331
335
335
336
338
338
338
339
339
341
11.4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
341
342
345
348
Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
353
Webographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
367
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
371
Avant-propos
WiFi Professionnel
XVI
Objectif de ce livre
Comme son nom lindique, ce livre a pour but de prsenter le WiFi de faon aussi
exhaustive que possible, pour les entreprises dsireuses de passer au WiFi, mais aussi
pour le particulier passionn par les technologies ou le simple curieux. Autant les
ouvrages ddis au grand public abondent, autant un responsable informatique ou un
administrateur rseau est aujourdhui dmuni lorsquon lui demande de wifiser son
entreprise et quil cherche la littrature adapte (en franais, en tout cas). Dexcellents
ouvrages dtaillent les rouages du protocole lui-mme. Dautres dcrivent les solutions
de scurit en vigueur actuellement. Quelques-uns traitent de loptimisation de la
couverture radio. Mais trs peu offrent une synthse pratique et complte. Cest cette
lacune que cet ouvrage a pour but de combler.
Avant-propos
XVII
Les annexes
Ce livre comporte quatre annexes qui prsentent des sujets divers, utiles pour comprendre certaines parties de cet ouvrage, mais trop loigns du WiFi proprement dit
pour figurer au sein dun chapitre, elles sont disponibles sur le Web (www.livrewifi.com
ou www.dunod.com) :
Lannexe A dcrit les rseaux IP, ladressage, le routage et les principaux
protocoles. Cette annexe est importante pour toute personne qui ne serait pas
dj familire avec ces notions. Si vous ne savez pas ce quest une adresse IP, un
paquet TCP ou une requte ARP, cette annexe est faite pour vous.
Lannexe B prsente lattaque ARP, qui est le point de dpart de plusieurs
attaques permettant un pirate de compromettre la scurit de votre rseau.
Elle illustre quel point les pirates sont cratifs et combien ils peuvent nuire.
Lannexe C prsente les certificats lectroniques, le cryptage asymtrique et
les protocoles TLS et SSL.
WiFi Professionnel
XVIII
Remerciements
Je tiens remercier vivement Emmanuelle Tessier, pour sa grande patience, son
soutien, ses relectures attentives et ses conseils aviss. Merci galement ma famille
et mes amis, que jespre voir davantage maintenant que ce livre est termin !
Je remercie lquipe Wifirst, pour son extraordinaire nergie, sa bonne humeur et
son efficacit. En particulier, un grand merci Marc Taieb, Leif Stevenin, Arnaud Puy
et Arno Pical pour leur prcieux soutien pendant lcriture de cet ouvrage. Lil de
lynx de Leif ma vit bien des coquilles !
Je tiens galement remercier lquipe des ditions Dunod, Jean-Luc Blanc, Carole
Trochu et Sbastien Bago, pour leur dynamisme, leur gentillesse et la qualit de leurs
relectures et commentaires.
Un grand merci Michel Tessier qui ma aid ne pas aggraver les choses dans le
match (hum...) entre le franais et langlais.
Merci galement Emmanuel Curis qui a eu la gentillesse et la patience de relire
et corriger lensemble de cet ouvrage avec une minutie rare : des virgules en trop
aux questions de propagation des ondes radio, rien ne lui a chapp. Je lui en suis
profondment reconnaissant.
Les modulations radio nont aucun secret pour Adrien Demarez : jai eu la chance
de pouvoir bnficier de ses cours particuliers improviss qui navaient rien envier
aux meilleurs cours magistraux. Il tait parfois relay par Michel Chevallier, qui
ma apport une aide prcieuse pour le dernier chapitre en compilant une riche
bibliographie sur les effets des ondes sur la sant. A tous les deux je tiens dire merci !
Avant-propos
XIX
Un clin dil Tristan Boureau, pour ses sessions de travail acharn, son optimisme
et son esprit Mouduge .
Pour finir, je remercie affectueusement mon frre Sylvain Gron qui ma propuls
dans laventure du WiFi.
PREMIRE PARTIE
Comprendre
le WiFi
Ces trois premiers chapitres ont pour but de vous apporter une bonne comprhension
du WiFi :
le chapitre 1 prsente le WiFi, son contexte historique, technique et commer-
1
Contexte et applications
du WiFi
Objectif
Ce premier chapitre a pour but de prsenter brivement lhistoire de la technologie
WiFi, son contexte technique, ses applications principales et les technologies
concurrentes : le lecteur novice aura ainsi une vision densemble de la technologie
et de sa finalit.
fois sur un cran de tlvision via les ondes radio : la tlvision hertzienne est ne.
Les techniques se perfectionnent tout au long du sicle et en particulier pendant la
deuxime guerre mondiale : certaines des techniques du WiFi sont dailleurs nes des
recherches militaires.
Faible dbit
Dune part, les dbits des connexions sans fil ont toujours t loin derrire ceux des
connexions filaires (fig. 1.1). Il a longtemps fallu se contenter de quelques kilobits par
seconde (kb/s) ce qui ntait pas comparable aux dbits des rseaux filaires o lon
parle depuis longtemps en mgabits par seconde (Mb/s). Encore aujourdhui, le WiFi
permet au mieux datteindre quelques centaines de mgabits par seconde, alors que
le filaire peut atteindre sans difficult le gigabit par seconde (Gb/s), voire mme le
trabit par seconde (Tb/s)1 .
Solutions propritaires
En outre, les produits disponibles ntaient gnralement pas standardiss (on parle de
solutions propritaires ) ce qui interdisait le plus souvent linteroprabilit entre
les offres des diffrents fournisseurs. Cela signifie quen choisissant une technologie
donne, on tait dpendant dun constructeur unique, qui pouvait disparatre ou
encore imposer des tarifs excessifs.
Rglementation
Par ailleurs, la rglementation sur les ondes radio a galement ralenti le dveloppement
du sans fil pour les rseaux dentreprise. Les ondes radio tant par nature une ressource
limite, chaque pays dfinit des rgles que les metteurs doivent respecter.
1. Le dbit dun lien numrique se mesure en nombre de bits dinformation (0 ou 1) par seconde
que lon peut changer : 1 kb/s = 1 024 b/s, 1 Mb/s = 1 024 kb/s, 1 Gb/s = 1 024 Mb/s, 1 Tb/s
= 1 024 Gb/s.
Malgr des efforts dhomognisation, ces rgles varient beaucoup dun pays
lautre. Elles fixent en gnral une puissance rayonne maximale, imposent parfois
dacheter une licence pour avoir le droit dmettre, voire mme prcisent quelle
technologie radio utiliser.
Lintrt de ces rglementations est dviter que les missions des uns ne brouillent
celles des autres, de permettre un partage quitable des ondes radio et de limiter
limpact des ondes sur la sant. Des bandes de frquences sont donc dfinies et rserves
certains usages : tlvision, radio, communications militaires, etc.
En France, cest lAutorit de Rgulation des Communications lectroniques et
des Postes (ARCEP), anciennement appele lAutorit de Rgulation des Tlcommunications (ART), qui a la responsabilit de dfinir ces rgles et lAgence Nationale
des Frquences (ANF) a pour rle de les faire respecter, en effectuant des contrles
rguliers et en distribuant des amendes dissuasives aux contrevenants.
Seules quelques bandes de frquences assez limites sont libres pour tout usage et
sans licence, en respectant tout de mme une limite de puissance1 . En France, ce nest
que fin 2002 que lARCEP a dcid de librer compltement la bande de frquences
radio de 2,4 gigahertz (GHz) sur laquelle reposent les normes WiFi 802.11b et 802.11g
(fig. 1.2). Encore aujourdhui, il faut se contenter dune puissance dmission de
10 100 milliwatts (mW) ce qui limite fortement la porte des quipements2 . Le
WiFi 802.11a, qui fonctionne sur la bande de frquences radio de 5 GHz, tait tout
simplement interdit lextrieur et limit lintrieur 200 mW seulement jusquen
janvier 2006. Il est maintenant autoris lextrieur sous certaines conditions, comme
nous le verrons plus loin. Le 802.11n peut tre utilis sur les deux plages de frquence
2,4 GHz ou 5 GHz, mais de nombreux adaptateurs 802.11n ne grent que lune
des deux frquences, le plus souvent le 2,4 GHz.
Le prix
Dernier frein du sans fil et non des moindres : le cot des quipements tait trs
lev, ce qui rendait prohibitif linstallation dun rseau sans fil dans la majorit des
contextes, en particulier pour les rseaux dentreprises. Labsence de standard explique
en grande partie ce cot lev : si chaque constructeur utilise sa propre technologie,
il doit utiliser des composants spcialiss produits uniquement pour lui, cest--dire
en relativement faibles quantits, donc chers. Inversement, si tous les constructeurs
appliquent le mme standard, les composants utiliss seront communs et bon
march.
Rsumons : faible dbit, cot lev, absence de standard, lgislation htrogne et
contraignante... Bref, on comprend mieux pourquoi le sans fil a tant tard connatre
le succs.
Un standard
Mais surtout, en 1997, lInstitute of Electrical and Electronics Engineers (IEEE) ratifiait
son premier standard 802.11 qui promettait des dbits thoriques1 de 1 2 Mb/s
sur diffrents mdias : soit la lumire infrarouge2 , soit les ondes radio de frquence
2,4 GHz. Cette bande de frquences radio a lavantage dtre utilisable sans licence
dans de trs nombreux pays et cest surtout pour cette raison quelle a t choisie.
peine deux ans plus tard, en juillet 1999, lIEEE publia le 802.11b qui apportait une
amlioration importante du dbit sur les ondes radio 2,4 GHz : on pouvait ds lors
atteindre des dbits thoriques de 11 Mb/s, ce qui devenait tout fait comparable
aux connexions filaires. Ds la fin 1999, les premiers produits respectant cette norme
arrivaient sur le march, des prix relativement bas et qui allaient trs vite encore
baisser.
1. Le dbit thorique est le nombre maximum de bits transmis par seconde au niveau physique
(radio). Le dbit rel, toujours plus faible, est le dbit observ par lutilisateur. Avec la technologie
WiFi, le dbit rel est environ gal la moiti du dbit thorique. Ceci est d aux erreurs de
transmission, la redondance de certaines informations, aux silences entre lenvoi des paquets de
donnes, etc.
2. Il nexiste pas ce jour de produits au standard 802.11 reposant sur la lumire infrarouge, aussi
nous ne dtaillerons pas cet aspect du WiFi. En outre, lInfrared Data Association (IrDA) a dfini des
standards infrarouges plus performants et pour lesquels il existe de nombreux produits.
Grce en grande partie la WiFi Alliance, le WiFi est donc trs rapidement pass
du papier la ralit et les produits ont vite gagn en stabilit et maturit. Lune des
nombreuses raisons du succs du WiFi est en effet la qualit des produits : en bref, grce
aux contrles quils doivent subir pour obtenir leur label de qualit, ils fonctionnent,
dans lensemble, trs bien.
Enfin, une fois tous ces critres runis, prix, maturit, standard, dbit, lgislation
et grce aussi une bonne couverture mdiatique, la masse critique a t dpasse,
ce qui a entran et entrane encore aujourdhui et de plus en plus vite, leffet boulede-neige . Voyons donc maintenant plus prcisment en quoi consiste le WiFi.
1. Cest--dire fidlit sans fil . Il sagit dun jeu de mot en rfrence la qualit High-Fidelity ou
Hi-Fi du monde audio.
10
heure (cest le dbit), mais une voiture donne mettra plusieurs heures pour parcourir
son trajet (cest le temps de latence).
11
En ce qui nous concerne, le plus important est de savoir que le WiFi ne concerne
que les couches 1 et 2 du modle OSI. Il dfinit donc prcisment quel mdia utiliser
(couche 1) et comment des paquets de donnes doivent tre changs au sein dun
mme rseau (couche 2), mais il ne soccupe pas du routage des paquets entre diffrents
rseaux, par exemple. De mme que le livreur ne se proccupe pas du contenu des
paquets quil livre, le protocole WiFi peut transporter nimporte quelles donnes
correspondant des protocoles de niveau suprieur ou gal 3 dans le modle OSI.
Cest le cas en particulier du protocole Internet (Internet Protocol, IP) qui est de
niveau 3.
La norme 802.11 dfinit uniquement les couches 1 et 2 du modle OSI : la couche
physique et la couche de liaison de donnes.
12
cette chelle, les chemins possibles pour aller dun point un autre sont souvent
multiples. Lorsquun paquet de donnes est mis en un point, il est donc ncessaire
dappliquer des rgles de routage pour lacheminer bon port. Cest le rle dun
protocole de niveau 3 dans la couche OSI et le plus souvent, on choisit IP.
loppos des WAN, linterconnexion entre quelques quipements trs proches
les uns des autres, comme par exemple un clavier sans fil et un ordinateur, constitue
un Personal Area Network (PAN). Lespace occup par un PAN, souvent centr sur
lutilisateur, est parfois appel le Personal Operating Space (POS).
Les rseaux sont classs par leur taille : PAN < LAN < MAN < WAN
Pour communiquer, chaque station doit bien sr tre quipe dun adaptateur
WiFi et dune antenne radio (souvent intgre dans ladaptateur). De plus en plus
13
Dbit Max.
Frquence
Canaux
Modulation radio
802.11a
2 Mb/s
2,4 GHz
FHSS ou DSSS
802.11a
54 Mb/s
5 GHz
19
OFDM
802.11b
11 Mb/s
2,4 GHz
DSSS ou HR-DSSS
802.11g
54 Mb/s
2,4 GHz
802.11n
2,4 GHz
ou 5 GHz
3
ou 19
a. Le 802.11 tout court dsigne ici la premire version du standard, parue en 1997.
Le fait que le WiFi soit conu lorigine pour raliser des WLAN ne lempche
pas dtre galement utilisable dans dautres contextes. Par exemple, une myriade de
produits, tels que des agendas lectroniques (organiseurs) ou Personal Data Assistant
(PDA), des imprimantes, des crans dordinateurs, des magntoscopes ou encore des
chanes Hi-Fi, sont maintenant pourvus de connexions WiFi leur permettant dtre
relis entre eux sans le moindre fil. Dans ce cas, le WiFi est employ pour raliser un
WPAN. linverse, de nombreuses collectivits locales nayant pas accs au haut
dbit (lADSL ntant pas encore disponible partout) se tournent vers le WiFi pour
couvrir toute une commune voire plusieurs communes avec un mme rseau sans fil.
On peut alors parler de Wireless MAN (WMAN).
Pour finir, des socits dploient actuellement des rseaux WiFi, appels des
hotspots1 , qui permettent nimporte qui de se connecter Internet sans fil un peu
partout en France et dans le monde entier. On voit donc apparatre actuellement
1. Hotspot signifie point chaud en anglais.
14
ce que lon pourrait appeler des WWAN (Wireless Wide Area Networks) bass sur
la technologie WiFi (la technologie WiFi elle-mme ne transporte cependant les
donnes que sur de faibles distances). Nous y reviendrons dans les paragraphes
suivants.
Maintenant que nous avons apport toutes ces prcisions sur lorigine du WiFi,
voyons quelles en sont les principales applications.
1. Contrairement une ide reue, le WiMAX nest pas une nouvelle version du WiFi : malgr
quelques similitudes, il sagit dun tout autre protocole, conu pour les WMAN et non les WLAN.
15
Ceci pose un certain nombre de problmes dont le plus vident est la scurit. En
effet, connecter une borne WiFi un rseau dentreprise sans se soucier de la scurit
signifie donner accs toutes les ressources de lentreprise au premier venu.
16
17
sont appels les Wireless Internet Service Providers (WISP) cest--dire Fournisseurs
dAccs Internet (FAI) sans fil.
Les trois oprateurs mobiles franais, Orange, SFR et Bouygues, qui ont dploy le
plus de hotspots ce jour, ont ainsi cr une association appele Wireless Link (cest-dire lien sans fil , not W-Link) pour dfinir les modalits dinteroprabilit entre
leurs rseaux. Dautres WISP les ont rejoints et si lon rajoute cela que de nombreux
petits WISP disparaissent ou se font racheter, on peut penser que le morcellement des
rseaux de hotspots va tendre sattnuer. terme, on pourra peut-tre se connecter
nimporte quel hotspot en France en ne payant quun seul abonnement auprs du
WISP de son choix, voire mme directement sur sa facture tlphonique si lon passe
par lun des oprateurs mobiles.
18
Certains WISP ont dj dploy un important rseau international par le biais des
accords de roaming. Cest le cas des WISP Boingo et FatPort, par exemple. Dautres
WISP nont en ralit jamais dploy eux-mmes de hotspots, mais ont en revanche
sign de nombreux accords de roaming lchelle internationale. On parle alors
de WISP virtuels . On peut citer, parmi les plus importants, les socits GRIC
Communications, iPass ou RoamPoint, par exemple. Est-il envisageable dimaginer
terme un rseau mondial unifi ? Il est bien sr encore trop tt pour laffirmer.
Enfin, une initiative originale mrite dtre mentionne : la socit Naxos, filiale
de la RATP, a dploy un rseau WiFi dans de nombreuses stations de mtro de Paris.
Ce rseau couvre lextrieur des stations de mtro et permet donc de se connecter dans
la rue ou la terrasse des cafs voisins. Loriginalit de ce projet, dnomm Wixos,
rside dans le fait que Naxos a simplement dploy linfrastructure WiFi, mais quelle
laisse la gestion des clients et du paiement aux WISP partenaires de ce projet.
Autres technologies
Des technologies concurrentes conues spcialement pour la cible WMAN et WWAN,
certaines plus rsistantes aux obstacles et mieux adaptes aux couvertures radio de
grande envergure que le WiFi, se battent pour dominer le march. Cest le cas par
exemple de la 2G (GPRS), de la 2,5G (EDGE), de la 3G (lUMTS), la 3G+ (HSDPA),
ou encore de la 4G (Wimax, LTE). Nous y reviendrons au 1.4.
Et votre entreprise ?
Aujourdhui, la majorit des ordinateurs portables professionnels sur le march est
quipe de la technologie WiFi. Si les employs de votre entreprise possdent des
ordinateurs portables rcents, il est fort probable quils soient dores et dj Wifiss .
19
Si vous installez un rseau WiFi dans votre entreprise, vous devrez quiper les
ordinateurs les plus anciens dadpateurs WiFi. Vos collaborateurs prendront lhabitude
de se connecter sans fil. Tous les employs pourront alors se connecter Internet sur
nimporte quel hotspot WiFi en France ou ltranger. Ils pourront tlcharger leurs
e-mails au cours de leurs trajets, surfer sur Internet, se connecter votre entreprise
distance via un Rseau Priv Virtuel (RPV), galement appel Virtual Private Network
(VPN), etc. Bref, ils pourront rester productifs pendant leurs dplacements. Cest une
des raisons de passer au WiFi dans votre entreprise.
Il peut galement tre intressant de faire appel un WISP pour mettre en uvre
un hotspot dans vos locaux, lusage de vos visiteurs, clients ou fournisseurs. Outre
le service pour le visiteur et limage moderne que cela pourra donner votre socit,
ceci permettra damliorer la scurit de votre rseau dentreprise en vitant que des
visiteurs ne passent par celui-ci pour se connecter Internet. Vous pouvez bien sr
dcider de mettre en uvre ce hotspot par vous-mme et ce livre peut vous aider le
faire.
20
tenter dobtenir une couverture WiFi importante sur des sites de plus ou moins grande
envergure. Lavantage de ces rseaux sur les hotspots classiques est leur gratuit totale !
Chaque membre dispose chez lui dun petit rseau sans fil, ouvert tous. Certaines
associations ne font que fournir la liste des sites o lon peut se connecter ainsi
gratuitement, dautres vont plus loin et relient entre eux les points daccs, ce maillage
permettant ainsi de partager les connexions Internet. Ceci est particulirement
intressant pour les habitants de communes o lADSL nest pas disponible : ainsi,
une seule connexion Internet par satellite (assez coteuse) peut tre distribue sur
toute une commune grce un maillage serr de points daccs WiFi (fig. 1.10).
21
Les inventaires
Des PDA, Smartphones ou Tablet PC sont quips dune connexion WiFi et permettent ainsi aux employs de raliser des inventaires qui sont enregistrs en temps
rel dans la base de donnes de lentreprise. Ceci peut tre utile pour les inventaires
dune grande surface, par exemple, pour gagner du temps. On trouve galement cet
usage du WiFi pour les loueurs de voitures, qui peuvent ainsi saisir directement partir
du parking les voitures qui partent et qui rentrent. Les aroports de Paris utilisent
galement le WiFi pour enregistrer les bagages avant de les charger dans les avions.
Ceci est un point crucial dans leur politique de scurit car on doit toujours sassurer
que les bagages et leurs propritaires sont bien dans le mme avion.
22
Le positionnement
Des logiciels installs sur des PDA quips en WiFi permettent, en mesurant la
puissance du signal radio provenant des diffrentes antennes WiFi voisines, de
positionner avec une relative prcision (moins de 2 mtres) le porteur du PDA,
moyennant un talonnage initial assez simple. Ceci peut tre mis profit dans
les inventaires, bien entendu, mais galement pour offrir des clients un service
localis. Par exemple, un muse peut mettre ceci profit pour offrir ses visiteurs des
informations sur les uvres situes leur proximit. Le visiteur na rien dautre faire
que de se promener dans le muse muni de son PDA, prt par le muse pour la dure
de la visite.
La voix
Lune des grandes promesses du WiFi est sa capacit grer les communications
audionumriques grce aux technologies de voix sur IP (Voice over Internet Protocol,
VoIP). Lorsque la VoIP est ralise sur un rseau sans fil, on parle parfois de VoWIP
(le W vient de Wireless), mais la technologie est absolument identique. Dj, des
socits proposent des tlphones VoWIP, relis votre rseau grce au WiFi.
Bien que les tlphones en question soient encore pour linstant assez volumineux
et dune autonomie limite, leur avantage majeur est que le cot des communications
est extrmement faible. Pour joindre un autre tlphone VoIP, le cot est souvent
nul. Vous pouvez aisment transformer votre ordinateur ou PDA en tlphone
VoIP en installant un logiciel tel que Skype sur votre ordinateur. Il vous suffira de
brancher un micro et un couteur sur votre poste pour pouvoir en profiter. Ce type de
logiciels permet de tlphoner gratuitement un autre utilisateur possdant le mme
logiciel. Dans le cas de Skype, il est galement possible de tlphoner vers un poste
tlphonique classique, moyennant paiement.
La qualit du son est tout fait comparable la tlphonie fixe classique si votre
bande passante est importante et ractive. Toutefois, afin dviter des interruptions
dans la voix ou un temps de latence trop important, il sera sans doute ncessaire
de mettre en uvre une politique de qualit de service Quality of Service, QoS)
pour garantir quune part de la bande passante soit rserve vos communications
tlphoniques. Ceci est dautant plus vrai si vous vous connectez Internet au travers
de votre rseau WiFi, car selon le niveau de rception, le dbit et le temps de latence
peuvent varier de faon importante.
Le WiFi a t conu pour les rseaux locaux et est donc parfaitement adapt ce
contexte, pour les rseaux familiaux ou professionnels.
Il connat galement de nombreuses autres applications comme les hotspots, les
connexions de point point ou la voix sur IP.
23
1.4.1 LEthernet
La premire technologie concurrente du WiFi est videmment... le filaire ! En effet,
sil sagit par exemple de relier deux ou trois ordinateurs situs dans une mme pice,
il est souvent moins coteux en temps et en argent de connecter les ordinateurs un
simple routeur, laide de quelques cbles rseaux, plutt que de faire la mme chose
avec une connexion sans fil. En effet :
la plupart des postes fixes sont vendus quips dun adaptateur rseau Ethernet,
En outre, il est rare quune entreprise choisisse de reposer uniquement sur un rseau
sans fil : la plupart du temps, le rseau sans fil nest quune extension dun rseau filaire
prexistant. Passer au WiFi, ce nest donc pas liminer compltement les fils, mais le
plus souvent offrir un moyen supplmentaire daccder aux donnes de lentreprise.
Il est donc essentiel de connatre les technologies filaires, mme pour dployer du
sans-fil.
Si vous devez relier deux sites entre eux, le WiFi ne sera peut-tre pas capable
dassurer le dbit et la fiabilit dont vous avez besoin. Une liaison Gigabit Ethernet
filaire peut savrer tre la meilleure solution.
1.4.2 Le CPL
La technologie CPL (Courant porteur en ligne) consiste vhiculer des donnes par
le biais de linstallation lectrique dun btiment. On la trouve notamment dans les
produits respectant la norme HomePlug.
Le CPL est parfois mieux adapt que le WiFi. Par exemple, dans un btiment
plusieurs tages ou aux murs trs pais, un seul point daccs WiFi sera sans doute
insuffisant, alors que le CPL passera par les fils lectriques et ne craindra donc pas les
murs.
1. If the only tool you have is a hammer, you will see every problem as a nail. Abraham Maslow.
24
Point point
En concentrant le signal en un faisceau cohrent, trs troit, laide de diodes laser
plutt que de simples Light-Emitting Diodes (LED), il est possible de raliser des liens
de point point sur plusieurs kilomtres, mais dans la pratique il vaut mieux se limiter
quelques dizaines de mtres seulement, car sinon la pluie et le brouillard couperont
frquemment la connexion.
Ici encore laspect directionnel du laser et le fait quil ninterfre pas avec la radio
sont des avantages face au WiFi pour mettre en place une liaison point point en
milieu urbain satur en ondes radios.
25
1.4.4 Le Bluetooth
Le Bluetooth est, avec linfrarouge, lune des principales technologies sans fil dveloppes pour raliser des WPAN. Cette technologie est mise en avant par le Bluetooth
Special Interest Group (Bluetooth SIG) qui a publi la premire version de la spcification Bluetooth en 1999.
La technologie Bluetooth utilise les ondes radios dans la bande de frquence de
2,4 GHz, ce qui permet de traverser certains obstacles dpaisseur modeste. On peut
ainsi transfrer des donnes au travers de murs, de poches ou de porte-documents, ce
dont linfrarouge est incapable. Il est important de noter que cest la mme bande
de frquences que celle utilise par le 802.11b/g, ce qui peut poser des problmes
dinterfrences entre les deux technologies.
Comme le WiFi, le Bluetooth connat un succs considrable : il existe des souris
Bluetooth, des crans Bluetooth, des PDA Bluetooth, etc. La configuration dun
quipement Bluetooth est en gnral tout fait triviale car le standard dfinit un
mcanisme de dtection automatique des services Bluetooth situs proximit. Cette
technologie est sans doute mieux adapte aux WPAN que le WiFi, pour lesquels la
configuration nest pas toujours vidente. En outre, la consommation lectrique, la
taille et le prix des adaptateurs Bluetooth sont bien plus faibles que pour le WiFi. Mais
bien quil soit possible de construire un rseau WLAN avec le Bluetooth, le WiFi reste
gnralement mieux adapt pour cet usage.
26
Pour finir, notons que la technologie High Performance LAN (HiperLAN), technologie WLAN qui fut dveloppe par lETSI, un organisme europen semblable
lIEEE, a presque disparu, vaincue par le WiFi. De mme, la technologie Home Radio
Frequency (HomeRF), conue par le HomeRF Working Group (HomeRF WG) dans le
but dtendre les capacits du standard Digitally Enhanced Cordless Telephony (DECT)
27
des tlphones sans fil, a galement t crase par le succs du WiFi, en tout cas pour
les usages de type WLAN.
Rsum
Dans ce chapitre, nous avons commenc par un bref historique des ondes radio, et
nous avons montr pourquoi les rseaux sans fil ne connaissent le succs que maintenant : lapparition de standards a permis aux prix de chuter, les rglementations se
sont homognises, et les nouvelles technologies permettent des dbits comparables
aux rseaux filaires.
Nous avons rappel les termes et concepts fondamentaux des rseaux : les couches
de protocoles, le modle OSI, et les principaux types de rseaux : PAN, LAN, MAN,
WAN et leurs variantes sans fil, dont le WLAN (ou RLAN si la technologie est la
radio).
Nous avons ensuite prsent les principales applications du WiFi : rseau dentreprise, rseau familial, hotspots, rseau communautaire, connexion de point point,
inventaires, positionnement ou voix sur IP.
28
Cette lasticit du WiFi, cest--dire sa capacit sadapter des usages trs varis,
explique sans doute en grande partie son succs. Il ne faut cependant pas perdre de
vue quil a t conu pour raliser des rseaux de type WLAN, particulirement pour
les entreprises : pour cet usage, il domine actuellement le march ; pour les autres il
a des concurrents trs srieux, comme nous lavons vu.
Il est temps maintenant de sattaquer au cur de la bte : les rouages de la norme
802.11.
2
La norme 802.11 :
couches physiques
Objectif
Dans ce chapitre et le suivant, vous apprendrez comment fonctionne le WiFi. Le but
est de vous apporter une bonne comprhension technique de la norme 802.11. Bien
sr, on peut trs bien dployer un rseau sans fil sans comprendre les mcanismes qui
le mettent en uvre, de mme que lon peut conduire une voiture sans comprendre
le fonctionnement de son moteur. Toutefois, si vous prenez le temps de bien matriser
les aspects les plus techniques du WiFi, vous pourrez plus facilement choisir le
matriel le mieux adapt vos besoins, optimiser votre rseau et rsoudre certains
problmes qui pourraient survenir dans la vie de votre rseau sans fil (problmes lis
notamment aux interfrences radio ou des paramtres obscurs de votre matriel
WiFi). Avoir une ide de ce quest une modulation radio constitue un lment de
culture gnrale important dans le milieu des technologies sans fil. Le rsum en
fin de chapitre vous sera utile si vous ne voulez pas vous encombrer de toutes les
explications techniques.
30
31
802.11n : devrait tre ratifi en janvier 2010, mais des tudes (draft) du standard
Nous allons maintenant aborder plus en dtail les diffrentes couches physiques
du WiFi, en commenant par quelques rappels sur la radio, puis en dtaillant les
modulations radio les plus importantes.
32
Comme toutes les oscillations, il est possible de caractriser une onde lectromagntique par quelques grandeurs essentielles :
La frquence de londe (note ) est le nombre doscillations par seconde,
mesure en hertz (Hz). Par exemple, les ondes radio du 802.11b oscillent environ
2,4 milliards de fois par seconde : la frquence est donc gale 2,4 GHz !
titre de comparaison, la lumire visible se situe des frquences encore bien
plus leves : entre 530 trahertz (THz) pour le rouge (soit 530 000 GHz) et
750 THz pour le violet. Inversement, les ondes des stations de radio FM se
situent environ 100 mgahertz (MHz).
La priode (note T) est la dure dune oscillation complte. On la mesure bien
sr en secondes (s). Il sagit simplement de linverse de la frquence (T = 1/).
Encore pour le 802.11b, elle est donc environ gale 0,42 nanoseconde (ns).
La vitesse de propagation de londe dans lespace : on parle de clrit ,
note c et mesure en mtres par seconde (m/s). Dans le vide, elle est gale
la vitesse de la lumire : c = 299 792 458 m/s soit environ 300 000 km/s. Elle
est moins leve selon la nature du milieu travers : environ 299 700 km/s dans
lair, par exemple et environ 230 000 km/s dans leau.
La longueur donde, note et mesure en mtres (m), est la distance parcourue
par londe pendant une oscillation. On la calcule facilement en multipliant
la priode de londe par sa vitesse ( = T * c). Toujours pour le 802.11b, la
longueur donde est donc environ gale 12,6 centimtres (cm). La taille dune
antenne correspond souvent un multiple de la longueur donde : la moiti ou
le quart, en gnral.
Lamplitude de londe lectromagntique est la hauteur de londe, si lon
prend lanalogie avec une vague deau. Lamplitude lectrique se mesure en
volts par mtre (V/m) et lamplitude magntique en teslas (T), les deux tant
directement lies quand on parle dondes lectromagntiques. Lintensit est
le carr de lamplitude et elle dtermine la puissance. Dans la pratique, avec
le WiFi, on prfre utiliser directement la grandeur de puissance plutt que de
sencombrer avec lamplitude.
La puissance de londe dpend de lamplitude et de la frquence. Elle se mesure
en Watt (W). Les metteurs WiFi mettent en gnral des ondes dune puissance
de lordre de 100 mW. On parle galement en dcibels de milliWatt, nots dBm
33
(et plus rarement en dcibels de Watt, nots dBW). Voici les formules pour
convertir dune unit lautre :
PuissancedBm = 10 log (PuissancemW )
et
PuissancemW = 10
PuissancedBm
10
La porte du signal
Bien videmment, plus la puissance est importante, plus la porte du signal est grande
et plus les ondes traversent les obstacles. En deux mots, pour doubler la porte du
signal, il faut quadrupler la puissance de lmetteur. Pour vous en convaincre, imaginez
quune ampoule soit place au centre dun abat-jour sphrique de rayon R (fig. 2.3).
Lnergie lumineuse de lampoule est rpartie de faon homogne sur lensemble de
la surface de la sphre. Or, la surface dune sphre se calcule par la formule suivante :
Surface = 4 R2 . Si lon remplace notre abat-jour par un autre de rayon double,
sa surface sera quatre fois plus grande, et donc quatre fois moins claire, si lon ne
change pas dampoule. Rsultat : pour que labat-jour soit autant clair quauparavant,
il faut utiliser une lampe quatre fois plus lumineuse.
34
Par ailleurs, les basses frquences ont une meilleure porte et traversent mieux les
obstacles2 . puissance dmission gale, les ondes radio 2,4 GHz portent environ
deux fois plus loin que les ondes 5 GHz. Toutefois, la lgislation autorise des
puissances de 200 1000 mW pour le 5 GHz alors que la limite nest que de 100 mW
pour le 2,4 GHz, ce qui compense la diffrence.
La sensibilit du rcepteur est galement trs importante : certaines cartes 802.11b
ont un seuil de sensibilit de 88 dBm pour un dbit de 1 Mb/s (ou 80 dBm pour
11 Mb/s). Cela signifie quelles seront capables de maintenir une connexion WiFi
1 Mb/s mme si le signal peru na quune puissance de 88 dBm. Toutefois, il existe
galement des cartes de meilleure qualit avec une sensibilit de 94 dBm ou mieux
encore. Cette diffrence, dapparence anodine, est en ralit norme : 6 dBm, cest
un rapport de puissance du simple au quadruple, comme nous venons de le voir ! La
porte de ces cartes sera donc deux fois suprieure aux premires, en tout cas dans un
environnement peu bruyant.
Dans un environnement trs bruyant, la sensibilit ne joue plus autant, mais est
relaye par la tolrance au bruit. Par exemple, pour certaines cartes 802.11b, le rapport
signal/bruit doit tre au minimum de 4 dB pour quune communication 1 Mb/s puisse
tre soutenue. Dautres cartes auront des valeurs diffrentes et il est donc important
de vrifier ces paramtres avant lachat.
35
Parmi les sources de bruit, on trouve bien sr les rseaux sans fil et tous les
quipements radio situs proximit, mais il y a galement un bruit ambiant li
lactivit humaine (industrielle, militaire, radios, tlvision, antennes de tlphonie
mobile...) et le bruit lectromagntique naturel. La puissance du bruit naturel est en
gnral de lordre de 100 dBm pour les frquences du WiFi.
Les rcepteurs WiFi ont une plus ou moins grande tolrance aux dlais dus aux
rflexions : en rgle gnrale, pour un dbit de 1 Mb/s, ce dlai est de lordre de
1. Signal to Noise Ratio (SNR ou S/N).
2. Un paquet de donnes est transmis, au niveau physique, par une squence (ou trame ) de
symboles, chaque symbole pouvant reprsenter un ou plusieurs bits dinformation. Nous y reviendrons
dans les paragraphes suivants.
36
500 ns. tant donn quune onde radio se dplace dans lair environ la vitesse de
la lumire, elle parcourt environ 150 mtres en 500 ns. Ainsi, pour rester dans la
limite de tolrance dune carte acceptant des dlais de 500 ns, il ne faut pas que les
diffrents chemins pour le signal aient des longueurs diffrentes de plus de 150 mtres.
Concrtement, cest rarement un problme, surtout en entreprise. En revanche, pour
un dbit de 11 Mb/s, le dlai tolr par la plupart des cartes 802.11b descend 65 ns
environ. Cela signifie des diffrences de parcours de 20 mtres environ. Dans un hall
ou un entrept, cela peut devenir un problme.
Il faut bien distinguer la porte en vision directe (Line of Sight ou LOS) de la porte
en intrieur ou avec obstacles (Non-LOS ou NLOS). Nous verrons que certaines
modulations permettent doptimiser la tolrance aux obstacles, mais pnalisent la
porte en vision directe.
Pour finir, plus un signal est tal sur un spectre de frquences large, plus le risque
de multipath est important, car les ondes ne se rflchissent pas de la mme faon sur
les obstacles selon leur frquence. Un signal tal aura donc tendance se rflchir
dans toutes les directions, contrairement un signal utilisant une troite bande de
frquences.
Le dbit
Pour obtenir un bon dbit, il est ncessaire davoir un bon rapport signal/bruit. Puisque
le RSB diminue lorsquon scarte de lmetteur, on en dduit que le dbit diminue
avec la distance (fig. 2.5). De fait, avec un metteur 802.11g 15 dBm et un bon
rcepteur, on peut en thorie, en conditions idales (pas de bruit ni dobstacles),
obtenir un dbit de 11 Mb/s jusqu 100 mtres environ, mais au-del le dbit tombera
5,5 Mb/s, puis 2 Mb/s et enfin 1 Mb/s jusqu plus de 300 m. Dans la pratique, la
porte est souvent plus faible (de lordre de la moiti ou du tiers selon les conditions).
En outre, le dbit rel est souvent deux ou trois fois plus faible que le dbit thorique.
Par ailleurs, le dbit maximal que lon peut atteindre est proportionnel la
largeur de la bande de frquence utilise. On peut comparer ce phnomne au trafic
automobile sur une autoroute : le dbit maximal est plus important sur une autoroute
trois voies que sur une autoroute deux voies.
Or, plus on se situe sur des frquences leves, plus on a de la place pour
exploiter des bandes de frquences larges1 , donc plus le dbit peut tre important.
Cependant, dans le cas du WiFi, les canaux de communication dfinis pour le 2,4 GHz
ont une largeur de 22 MHz alors que les canaux du 5 GHz ont une largeur de 20 MHz
(voir la fin de ce chapitre). Le dbit maximal que lon peut thoriquement atteindre
est donc plus ou moins identique dans les deux cas. Ceci explique pourquoi le 802.11a
et le 802.11g offrent tous les deux le mme dbit maximal, malgr le fait que le 802.11a
exploite des frquences plus leves que le 802.11g. Cependant, il y a plus de canaux
1. Par exemple, si le canal de communication est centr sur la frquence 100 kHz, sa largeur ne peut
manifestement pas tre suprieure 100 kHz. En revanche, si la frquence centrale est 2,4 GHz, la
largeur de la bande peut tre de plusieurs dizaines de MHz. Ceci dit, rien nempche dutiliser une
bande troite dans les hautes frquences.
37
disponibles pour communiquer dans le 5 GHz que dans le 2,4 GHz, donc la capacit
totale du 802.11a est plus importante.
Pour rsumer ce qui prcde, il existe une formule assez simple, tablie par Claude
Shannon, mathmaticien et pre de la fameuse thorie de lInformation. Cette formule
permet de trouver le dbit maximal en fonction du RSB et de la largeur de la bande
de frquence utilise :
PS
C = H log2 1 +
PB
C est la capacit maximale du canal de communication, en bits par seconde ;
H est la largeur de la bande de frquence utilise, en hertz ;
Par exemple, prenons le cas du WiFi 2,4 GHz. Les communications ont lieu sur
des canaux de frquences dune largeur de 22 MHz, donc H = 22 106 Hz. Admettons
que les stations soient relativement proches les unes des autres et quil y ait peu de
bruit. On peut alors imaginer que le RSB, exprim en dcibels, soit gal 20 dB. Pour
calculer le rapport PS /PB , on applique la formule suivante : PS /PB = 10(RSBdB /10).
Dans notre exemple, on obtient PS /PB = 10(20/10) = 100. La capacit maximale
thorique du canal de communication est donc gale :
38
Figure 2.6 Aucune modulation : le signal source est mis tel quel (irraliste).
39
Modulation damplitude
Pour rsoudre ce problme, une solution consiste mettre une onde radio de
frquence fixe, que lon appelle londe porteuse , dont on modifie lamplitude en
fonction de londe sonore, qui est londe source : cest la modulation damplitude
(Amplitude Modulation, AM). On dit que londe source module londe porteuse,
ce nest possible que si londe porteuse a une frquence bien plus leve que londe
source. Lavantage est que lon peut alors choisir la frquence que lon prfre pour
le signal porteur, ce qui permet dmettre plusieurs missions en mme temps sur des
frquences diffrentes. Le rcepteur na plus qu slectionner un canal , cest--dire
une frquence dmoduler , pour choisir lmission quil prfre. Cest ce que vous
faites lorsque vous choisissez une radio AM sur votre chane Hi-Fi.
Modulation de frquence
Inversement, on peut mettre une onde radio damplitude fixe, mais dont la frquence
varie au sein dune bande de frquences donne, de faon proportionnelle au signal
source. Il sagit alors de la modulation de frquence (Frequency Modulation, FM).
avoir vu le jour. Elle occupe une bande de frquences trs rduite : thoriquement, une seule frquence par communication, mais dans la pratique plutt
quelques kHz pour viter les interfrences entre canaux voisins.
De son ct, la FM a besoin dune bande assez large : plusieurs dizaines de kHz
pour une station de radio, par exemple.
La FM peut tre utilise des puissances trs faibles alors que lAM a besoin de
plus de puissance car cest elle qui est module par le signal source.
40
Tout ceci explique pourquoi lAM est prfre pour les communications longue
distance (basse frquence et puissance leve) et la FM est prfre pour les transmissions en milieu urbain (meilleure rsistance aux interfrences). Cette comparaison
a pour but de vous montrer quel point le choix de la modulation peut impacter la
porte et le dbit dune transmission.
Modulation de phase
La phase dune onde reprsente sa position dans le temps : si deux ondes de mme
frquence sont en phase, alors leurs pics damplitude sont simultans. Elles sont en
opposition de phase lorsque les pics de lune correspondent aux creux de lautre. On
mesure la phase en degrs : deux ondes en phase nont aucun dcalage, cest--dire une
phase gale 0 . Deux ondes en opposition de phase ont un dcalage de 180 . Il est
possible de moduler la phase en fonction du signal source, ce quon appelle simplement
la modulation de phase (Phase Modulation, PM).
Figure 2.9 La modulation de phase (plus claire avec un signal source carr).
41
Le PSK peut tre combin avec la modulation damplitude pour coder encore plus
de bits dinformation dans chaque symbole. Cette technique sappelle le Quadrature
Amplitude Modulation (QAM). On pourra par exemple avoir quatre phases possibles
(ou transitions de phase avec le DPSK) et deux amplitudes possibles pour chaque
42
phase. Dans ce cas, on aura huit combinaisons possibles, soit 3 bits dinformation pour
chaque symbole mis (car 23 = 8) : on parle alors de 8QAM. Comme nous le verrons,
pour les dbits les plus levs, le WiFi repose sur le 16QAM (douze phases possibles
dont quatre pour lesquelles deux amplitudes sont possibles) avec 4 bits dinformation
par symbole, ou mme le 64QAM avec 6 bits par symbole ! Le QAM requiert toutefois
un matriel assez sophistiqu.
Ensuite, nimporte quelle modulation peut tre applique cette source adoucie,
comme le FSK, par exemple : on parle alors de FSK Gaussien, not GFSK.
Sans le filtre Gaussien, les transitions dtat brutales provoquent lapparition
de frquences harmoniques dans le signal mis1 . Ceci a pour consquence dtaler
le spectre occup par le signal et donc de provoquer des interfrences avec les
canaux voisins. Grce au GFSK, les transitions dtat sont adoucies, ce qui limite
considrablement le dbordement du signal hors de la bande de frquence choisie,
comme on le voit sur la figure 2.11.
Il existe une relation directe entre le nombre de bits par secondes de la source
(cest--dire son dbit) et la largeur de la bande principale occupe par le signal :
plus le dbit est important, plus les transitions dtat sont frquentes, donc plus les
harmoniques sont nombreuses et plus le spectre du signal est tal. Avec le FSK et
le PSK ou encore le QAM, la largeur de la bande principale est environ gale au
double du dbit : par exemple, pour un dbit de 11 Mb/s, la bande principale occupe
22 MHz. Cet talement du spectre peut tre intressant, car comme nous lavons vu,
il permet de mieux rsister au bruit. Nous verrons que la modulation DSSS repose
1. Lexplication physique serait un peu longue prsenter mais lide est quun signal carr est
compos de multiples ondes : ce sont les harmoniques.
43
sur ce principe. Selon le contexte, il peut tre utile de condenser le signal sur un
canal troit, ou bien au contraire de ltaler sur un spectre large.
La bande de frquence principale occupe par un signal binaire modul en FSK, PSK
ou QAM est environ gale au double du dbit de la source. Par exemple, pour un
dbit de 11 Mb/s, la bande principale a une largeur de 22 MHz.
dbordent sur les canaux voisins, donc les interfrences inter-canaux (InterCarrier Interference, ICI) sont craindre ;
44
le 2PSK offre un dbit moins lev que le 4PSK, lui-mme moins rapide que le
en revanche, le 2PSK est moins sensible au bruit que le 4PSK, lui-mme moins
Il est temps maintenant daborder les modulations du WiFi, qui reposent sur les
modulations que nous venons de voir. Elles sont au nombre de trois :
Frequency Hopping Spread Spectrum (FHSS) ;
Le FHSS nest utilis que dans la premire version du standard 802.11. Le 802.11a
repose exclusivement sur lOFDM, le 802.11b exclusivement sur le DSSS et le 802.11g
utilise le DSSS ou lOFDM, en fonction du dbit souhait. Le 802.11n repose sur
lOFDM exclusivement lorsquon le rgle sur un canal 5 GHz, et sur le DSSS ou
lOFDM 2,4 GHz.
2.3.3 Le FHSS
La modulation FHSS (Frequency Hopping Spread Spectrum) a t invente et brevete
en 1942 par lactrice Hedy Lamarr et le pianiste George Antheil, qui taient assez
polyvalents ! Le principe du FHSS est assez simple : une large bande de frquences
est divise en de multiples canaux et les communications se font en sautant (hopping)
successivement dun canal un autre, selon une squence et un rythme convenus
lavance entre lmetteur et le rcepteur.
Il est difficile dintercepter les communications si lon ne connat pas la squence
choisie, cest pourquoi elle fut trs apprcie par les militaires amricains qui lutilisrent pour radioguider les torpilles sans que lennemi puisse intercepter ou brouiller
le signal. Dans le cas du 802.11, cette fonction nest (malheureusement) pas exploite
car les squences de canaux utilises ne sont pas secrtes.
Le FHSS offre galement une rsistance importante aux interfrences voire mme
aux brouillages volontaires car les canaux pour lesquels le bruit est trop important
peuvent tre simplement vits. Toutefois, le 802.11 FHSS nexploite pas cette
capacit, contrairement au Bluetooth et au HomeRF qui sont deux technologies
sans fil utilisant la modulation FHSS.
Un dernier avantage du FHSS est que plusieurs communications peuvent avoir
lieu en mme temps sur la mme bande de frquences pourvu quelles utilisent des
45
squences de canaux ne rentrant pas en collision les unes avec les autres. Par exemple,
une communication pourrait utiliser la squence triviale : 1,2,3,1,2,3,1,2,3... tandis
quune autre communication aurait la squence suivante : 2,3,1,2,3,1,2,3,1... de sorte
qu aucun moment les deux communications nutilisent le mme canal.
En contrepartie, chaque communication a un dbit relativement faible puisquelle
nexploite quun seul canal assez troit la fois.
Dans la premire version du 802.11, la bande de frquences allant de 2 400 MHz
2 483,5 MHz a t dcoupe pour le FHSS en canaux de 1 MHz de largeur chacun.
Dans la plupart des pays, les canaux 2 80 sont autoriss (de 2 401 MHz 2 480 MHz).
Au sein de chaque canal, la modulation gaussienne FSK deux tats (2GFSK) est
utilise et permet un dbit de 1 Mb/s. En utilisant la modulation 4GFSK (GFSK
quatre tats, soit 2 bits par symbole) on peut atteindre 2 Mb/s. En utilisant le GFSK
comme modulation sous-jacente, le FHSS permet dviter les interfrences entre
canaux voisins, ce qui permet plusieurs utilisateurs de communiquer en FHSS en
mme temps sans se gner.
2.3.4 Le DSSS
Le chipping
La modulation DSSS (Direct Sequence Spread Spectrum) est galement une technique
dtalement de spectre, mais contrairement au FHSS, aucun saut de frquence na
lieu : le DSSS provoque des transitions dtat trs rapides (chipping) qui tendent
taler le spectre du signal : en effet, nous avons vu au 2.3.2 quavec les modulations
FSK, PSK et QAM la largeur du spectre correspondait au double du dbit de la source.
En provoquant artificiellement un dbit trs lev, le spectre est tal.
Pour ce faire, lmetteur envoie une squence de plusieurs bits, appels des chips,
pour chaque bit dinformation transmettre. Par exemple, on peut choisir denvoyer
46
11101 au lieu de 0 et son inverse (00010) au lieu de 1 : dans ce cas, si lon veut
transmettre linformation 010, alors on mettra les chips suivants : 11101 00010 11101.
Dans cet exemple, la squence 11101 est ce quon appelle le code dtalement .
Plus ce code est long, plus le dbit est artificiellement dmultipli, donc plus le spectre
est tal. Par exemple, si le dbit des donnes envoyer est gal 1 Mb/s, mais quon
utilise un code dtalement de 11 chips, alors le dbit de chips sera bien sr gal
11 Mb/s : du coup, la bande de frquence occupe par le signal aura une largeur gale
22 MHz car la largeur de la bande occupe par le signal est gale au double du dbit de
la source. Sans ce chipping, la bande occupe naurait quune largeur de 2 MHz (deux
fois 1 Mb/s).
avec tous les avantages (et les inconvnients) que cela apporte, en particulier
une meilleure rsistance au bruit ;
le fait que lon mette plusieurs chips pour chaque bit dinformation signifie que
lon peut avoir une redondance importante, qui permet de corriger des erreurs
de transmission. Par exemple, dans lexemple prcdent, puisque le rcepteur
connat le code dtalement utilis (11101), alors il sait quil ne devrait recevoir
que 11101 (pour le bit dinformation 0) ou 00010 (pour le bit 1). Sil reoit
00110, il pourra facilement corriger lerreur en estimant que le plus proche est
00010 (correspondant au bit 1).
La modulation DSSS tale le spectre du signal par une technique de chipping. Ceci
permet avant tout de mieux rsister au bruit.
47
Dans les deux cas, le code dtalement a une longueur de 11 bits et il est toujours
gal 10110111000. Ce code fait partie dune famille de codes aux proprits mathmatiques similaires, dfinie en 1953 par le mathmaticien Barker : ils favorisent un
bon talement de spectre (comme ne le ferait pas, par exemple, le code 11111111111)
et leur format les rend bien adapts pour synchroniser lmetteur et le rcepteur, ce
qui permet de limiter les problmes dus au multipath.
La modulation CCK
Pour atteindre des dbits de 5,5 Mb/s ou 11 Mb/s, le 802.11b a amlior encore ce
procd en utilisant la modulation Complementary Code Keying (CCK) pour atteindre
ce quon appelle le DSSS haute vitesse ou High-Rate DSSS (HR-DSSS). Celleci repose toujours sur le mme principe de base dtalement par chipping avec la
modulation 4DPSK. Toutefois, au lieu dutiliser toujours le mme code de Barker pour
taler le signal, elle utilise jusqu 64 codes diffrents, ce qui permet de transporter
6 bits dinformation (car 26 = 64) en plus des deux bits autoriss par la modulation
4DPSK. Ces codes, de 8 bits de longueur chacun, sont des codes complmentaires
cest--dire que leurs proprits mathmatiques permettent aux rcepteurs de ne pas
les confondre, mme sil y a quelques erreurs de transmission, voire mme un dcalage
dans la rception d au multipath. Puisquil y a nettement moins de redondance, on
obtient un dbit plus important, en tout cas tant que la rception est bonne (donc
faible distance). Puisque la rsistance au multipath est meilleure, le HR-DSSS est
mieux adapt en intrieur et courtes distances que le DSSS sur Barker.
Malheureusement, alors que le FHSS peut sauter les canaux encombrs par du
bruit ou des interfrences, le DSSS ne le peut pas : sil y a dautres rseaux sans fil
proximit exploitant le mme canal, le DSSS en souffrira considrablement. Sachant
que la technologie Bluetooth repose sur le FHSS, sur les mmes frquences 2,4 GHz,
on comprend pourquoi le 802.11 DSSS souffre de la prsence dquipements Bluetooth
proximit. En revanche, le Bluetooth supporte peu prs la prsence dquipements
802.11 DSSS. Pour rsumer, le DSSS supporte mieux le bruit homogne (bruit
blanc ) que le FHSS et inversement, le FHSS supporte mieux le bruit focalis
sur une frquence particulire que le DSSS.
Comme pour le FHSS, le standard dfinit pour le DSSS un mcanisme dadaptation
automatique du dbit en fonction de la distance. Ainsi, courte distance la modulation
sera le HR-DSSS 11 Mb/s (8 bits dinformation pour 8 chips mis). Plus, loin, on
passe automatiquement 5,5 Mb/s (4 bits dinformation pour 8 chips mis). Ensuite, on
descend 2 Mb/s en utilisant le DSSS/Barker et 4DPSK, puis 1 Mb/s en DSSS/Barker
et 2DPSK.
2.3.5 LOFDM
La modulation OFDM (Orthogonal Frequency Division Multiplexing), parfois appele
Discrete Multitone Modulation (DMT), est sans doute la plus puissante des trois
modulations du WiFi car elle permet la fois les dbits les plus importants, la meilleure
rsistance au multipath, mais aussi la plus grande capacit de partage du spectre : elle est
48
49
quune seule antenne pour recevoir, on parle de Single Input Single Output
(SISO).
Si lmetteur nutilise toujours quune seule antenne mais que le rcepteur en
utilise plusieurs, alors on parle de Single Input Multiple Output (SIMO).
Si lmetteur utilise plusieurs antennes et le rcepteur une seule, on parle de
Multiple Input Single Output (MISO).
50
Input Single Output (MIMO). Les mots input et output (entre et sortie) sont ici
utiliss dans un sens qui peut surprendre : lentre correspond lmission (cest
lentre dans linterface air ), et la sortie correspond la rception (la sortie
de linterface air ).
Notons au passage que le MIMO ne dsigne pas une technique unique, mais
plutt toutes les techniques reposant sur des antennes multiples la fois du ct de
lmetteur et du rcepteur, sur un unique canal radio. La norme 802.11n exploite
plusieurs techniques MIMO et MISO pour amliorer considrablement le dbit, la
porte et la fiabilit du WiFi. Avant daborder ces techniques, commenons par deux
techniques multi-antennes bien plus anciennes que le 802.11n : la diversit despace
et le beamforming.
Diversit despace
Depuis plusieurs annes dj la plupart des points daccs ont deux antennes : une
seule sert lmission, mais les deux servent la rception1 . quoi servent donc ces
deux antennes ? Elles permettent de faire ce quon appelle de la diversit despace
la rception. La mise en uvre la plus simple de ce principe consiste simplement
couter sur les deux antennes la fois, et slectionner tout moment le signal
de lantenne qui reoit le mieux. Ceci est surtout utile pour rsister aux interfrences
dues aux multiples chemins quempruntent les ondes pour arriver leur destination
(ce quon appelle le multipath ).
Prcisons ce point : si une partie du signal mis suit un chemin indirect avant
darriver au rcepteur, en se refltant contre un obstacle par exemple (comme dans la
figure 2.15), alors il arrivera avec un lger retard, et risquera alors dtre en opposition
1. Si une station connecte un tel point daccs na quune seule antenne, alors on est en
configuration SISO de lAP vers la station, et en configuration SIMO de la station vers lAP.
51
de phase avec le signal qui aura suivi le chemin le plus court, ce qui diminuera
la puissance du signal reu1 . Mais si lon a plusieurs antennes la rception, et
quelles sont espaces judicieusement, alors la probabilit quil y ait opposition de
phase sur les deux antennes la fois sera faible (voir le chapitre 5, figure 5.10). En
choisissant toujours lantenne qui a le plus fort signal, on rsiste donc mieux ce type
dinterfrences. Notons que les algorithmes sont parfois plus sophistiqus et combinent
le signal reu sur les deux antennes, plutt que de retenir uniquement le plus fort.
Cette technique permet donc de mieux rsister aux interfrences dues la prsence
dobstacles (notamment en intrieur). Elle a lavantage dtre entirement mise en
uvre du ct du rcepteur, sans la moindre participation de lmetteur. Elle ne fait
pas partie du standard 802.11, nanmoins le fait quelle puisse tre mise en uvre
sans contrainte pour le reste du rseau explique pourquoi la plupart des points daccs
lutilisent.
Beamforming
On voit sur le march, depuis plusieurs annes, des antennes intelligentes qui
exploitent une technique appele le beamforming , littralement la formation
de faisceaux . Une antenne intelligente est en ralit compose de multiples
antennes classiques quelle synchronise de faon former une sorte de faisceau de
rayonnement en direction de chaque utilisateur. La figure 2.16 illustre le principe
de cette technique. Un point daccs est ici muni de deux antennes (ou dune seule
antenne intelligente compose de deux antennes) et il doit envoyer un message
un utilisateur.
Admettons (A) que le point daccs mette le message simultanment sur ses deux
antennes. Puisque lutilisateur se situe sur la gauche, il recevra les ondes mises par
lantenne de gauche trs lgrement avant les ondes mises par lantenne de droite.
Ces ondes risquent donc dtre en dcalage de phase : si cest le cas le rcepteur
risquera malheureusement de recevoir un signal affaibli (parfois mme plus faible
encore que si lAP navait utilis quune seule antenne pour mettre le message). La
1. De faon analogue, lorsquune vague rencontre le bord dune piscine et quelle rebondit, elle
croise les vagues qui nont pas rebondi. Lorsque deux sommets de vagues se rencontrent, cela donne
une vague dont lamplitude (la hauteur) est la somme de lamplitude des deux vagues : linterfrence
est constructive. Inversement, si le sommet dune vague rencontre le creux dune autre vague, les
deux peuvent sannuler : linterfrence est destructive.
52
Multiplexage spatial
La technique MIMO la plus utilise, notamment dans les produits respectant la
norme 802.11n (voir 2.6) est le multiplexage spatial : les donnes mettre sont
dcoupes en plusieurs flux, et chaque flux est mis par une antenne distincte. Lorsque
ces flux parviennent aux antennes du rcepteur, pourvu quils aient des signatures
1. Bien souvent les produits qui mettent en uvre le beamforming savent dtecter lorsque les
rcepteurs se dplacent, et ils nutilisent cette technique que pour les rcepteurs immobiles.
53
spatiales suffisamment distinctes (cest--dire pourvu quils aient suivi des chemins
assez diffrents), alors le rcepteur est capable de les distinguer, de les recevoir
correctement et donc de reconstruire les donnes dorigine. Le multiplexage spatial
est donc plus efficace en situation o le multipath est important, cest--dire lorsquil y
a de multiples obstacles et reflets, notamment lintrieur des btiments. Il nest pas
trs efficace lorsque lmetteur et le rcepteur sont en ligne de vue directe.
Pour vous donner une ide de ce principe, imaginez que deux jumeaux vous parlent
en mme temps, lun vous racontant la premire moiti dune histoire, et lautre vous
racontant lautre moiti. Avec un peu deffort, vous parviendrez peut-tre couter
les deux moitis de lhistoire, et vous pourrez ainsi reconstituer lhistoire complte.
Cela aura pris la moiti du temps quil aurait fallu si une seule personne vous avait
racont lhistoire de bout en bout : le dbit est donc doubl. La difficult est bien sr
de parvenir distinguer les deux voix.
Le principe mathmatique du multiplexage spatial est le suivant. Nous prendrons
pour exemple le cas o lmetteur et le rcepteur ont chacun deux antennes. La
figure 2.17 montre la situation relle et sa modlisation dans le cadre du multiplexage
spatial.
Le signal mis par lantenne 1 de lmetteur est not e1 . Il est capt par lantenne 1
du rcepteur aprs avoir subi une attnuation note a11. De mme, le signal e2 mis
par lantenne 2 de lmetteur est capt par lantenne 1 du rcepteur aprs avoir subi
une attnuation note a21 . Si lon suppose que la seule altration dun signal pendant
son trajet est une simple attnuation, due la distance parcourue et des interfrences
(en situation de multipath), alors le signal capt par lantenne 1 du rcepteur, not r1 ,
est dfini par la formule suivante :
r1 = e1 a11 + e2 a21
54
Le rcepteur ayant reu r1 et r2 , sil peut galement estimer la valeur des diffrentes
attnuations (a11 , a12 , a21 , et a22 ) alors il peut retrouver r1 et r2 : il sagit dune
rsolution dun systme deux quations et deux inconnues. Cela vous rappelle-t-il
vos cours de mathmatiques ? Malheureusement la rsolution ne sera possible qu
condition que les facteurs dattnuation ne soient pas trop corrls. Par exemple, si
toutes les attnuations sont gales (a11 = a12 = a21 = a22 ) alors le systme
dquations na pas de solution car les deux quations nen sont en fait plus quune
seule, avec toujours deux inconnues (lattnuation unique est note a) :
r1 = r2 = a (e1 + e2 )
Ceci nest pas rare : il suffit par exemple que lmetteur et le rcepteur soient en
vision directe, plusieurs mtres lun de lautre, sans le moindre obstacle proximit.
Puisquil ny a pas dobstacles, seuls les chemins en ligne droite entre les diffrentes
antennes seront emprunts, donc pas dinterfrences dues aux chemins multiples :
lattnuation ne dpend alors que de la distance. Puisque lmetteur et le rcepteur
sont plusieurs mtres lun de lautre, les quatre chemins entre les antennes de
lmetteur et du rcepteur (11, 12, 21 et 22) ont tous peu prs la mme
longueur, donc les attnuations sont presque gales. Le systme dquations ne peut
pas tre rsolu.
Pour que le rcepteur puisse rsoudre son systme dquations, il faut donc que les
paramtres dattnuation soient aussi peu corrls que possible : absence de ligne de
vue, beaucoup dobstacles pour reflter les signaux, antennes espaces, metteur et
rcepteur proches... Paradoxalement, le dbit sera meilleur avec le MIMO si lon nest
pas en ligne de vue !
Mais ce nest pas tout : comme nous lavons vu, le rcepteur doit galement valuer
la valeur des facteurs dattnuations pour pouvoir rsoudre ses quations. Ceci se fait
en permanence, par lchange rgulier dinformations de calibrage entre lmetteur
et le rcepteur. Cet change permet galement dvaluer le niveau de bruit reu sur
chaque antenne du rcepteur. Nous avons en effet nglig ce paramtre jusquici pour
ne pas alourdir lexplication, mais pour plus de ralisme il faudrait rajouter droite de
la premire quation le bruit capt par lantenne 1 (... + b1 ), et droite de la seconde
quation le bruit capt par lantenne 2 (... + b2 ). Pour rsoudre ce systme dquations,
il est donc ncessaire dvaluer galement le bruit.
La technique de multiplexage spatial est en fait un peu plus complexe, car
lmetteur optimise les signaux quil met sur ses diffrentes antennes afin de les
dcorrler au maximum du point de vue du rcepteur. Pour cela, il exploite sa
connaissance des paramtres dattnuation et de bruit et emploie des algorithmes
assez complexes : la puissance de calcul de lmetteur doit tre importante, ce qui
explique en partie pourquoi les quipements WiFi MIMO (et notamment 802.11n)
consomment davantage dnergie et cotent plus cher que les quipements classiques.
Le nombre de flux mis simultanment est limit par le nombre minimum
dantennes du rcepteur ou de lmetteur. En effet, lmetteur ne peut videmment
pas mettre plus de flux simultans quil na dantennes, et le rcepteur ne peut pas
non plus dcoder plus de flux quil na dantennes, car son systme dquations aurait
moins dquations que dinconnues, ce qui est impossible rsoudre (on ne peut
55
pas, par exemple rsoudre un systme deux quations et trois inconnues). Donc
si lmetteur a trois antennes et le rcepteur en a deux, par exemple, alors (avec le
802.11n) lmetteur se limitera automatiquement deux flux simultans. On parle
dans ce cas de MIMO 3 2 2 : trois antennes lmission, deux antennes la
rception et deux flux simultans. Le 802.11n prvoit au maximum 4 4 4, ce qui
suppose que lmetteur et le rcepteur aient quatre antennes et soient compatibles
avec ce mode, mais dans la pratique les produits se limitent, au mieux, 3 3 3.
Codage espace-temps
Autre technique permettant dexploiter de multiples antennes du ct de lmetteur :
le codage espace-temps (non ce nest pas de la science-fiction). En anglais, on
parle de Space Time Coding (STC). Cette technique consiste mettre la mme
information plusieurs fois dans lespace et dans le temps afin que cette redondance
amliore la fiabilit de la transmission (on augmente donc le dbit rel et la porte).
La mme information est envoye via plusieurs antennes (redondance dans lespace)
et plusieurs reprises (redondance dans le temps), mais elle est chaque fois code
dune faon diffrente, selon des algorithmes qui permettent doptimiser la probabilit
de pouvoir correctement reconstruire linformation larrive.
Il existe plusieurs variantes du STC, dont la plus simple (ou plutt la moins
complexe) est le Space Time Block Coding (STBC), cest--dire STC par bloc ,
qui est optionnel en 802.11n. Si lmetteur a n antennes, une information mettre
est dabord dcoupe en n blocs. Par exemple, avec deux antennes, linformation x est
dabord dcoupe en x1 et x2 . On met alors simultanment x1 sur lantenne 1 et x2 sur
lantenne 2. Jusquici, cela ressemble au multiplexage spatial. Mais linstant daprs (sur
le symbole OFDM suivant), on met nouveau x1 et x2 , mais dune faon transforme
et en inversant les antennes : cette fois-ci on met x1 * sur lantenne 2 et x2 * sur
lantenne 1. La notation x1 * dsigne une transformation mathmatique de x1 appele
le conjugu complexe de x1 : les proprits mathmatiques du conjugu complexe
font que le rcepteur a de fortes chances de pouvoir reconstruire correctement x,
mme sil reoit mal x1 , x1 *, x2 et x2 *.
56
se limitent aux canaux 2 80. Le 802.11 FHSS ntant presque plus utilis, nous ne
dtaillerons pas davantage ses canaux.
Pour toutes les autres variantes du WiFi sur la bande de 2,4 GHz, cest--dire le
802.11 DSSS, le 802.11b, le 802.11g et le 802.11n, quatorze canaux de 22 MHz de
largeur sont dfinis, galement numrots partir de 2 400 MHz. Leurs centres ne
sont espacs que de 5 MHz de sorte quils se superposent en partie. Ceci permet de
choisir avec une certaine souplesse la bande de frquence que lon prfre utiliser, mais
si lon a deux rseaux au mme endroit et quils utilisent des canaux voisins, on aura
beaucoup dinterfrences. Pour viter les interfrences, on recommande un espace de
cinq canaux au moins, donc on ne peut utiliser que trois canaux simultanment au
mme endroit. Les canaux 1 13 sont utilisables en Europe1 , mais en Amrique on
ne peut utiliser que les canaux 1 11. Quant au canal 14, seul le Japon y a droit. En
consquence, on utilise habituellement les canaux 1, 6 et 11 qui sont suffisamment
espacs pour viter toute interfrence et sont autoriss presque partout sur la plante.
Au mieux, avec le 802.11g, on peut donc avoir trois points daccs indpendants
au mme endroit, offrant chacun un dbit thorique de 54 Mb/s soit un total de
162 Mb/s !
Canal
Frquence basse
Centre
Frquence haute
2 401
2 412
2 423
2 406
2 417
2 428
2 411
2 422
2 433
2 416
2 427
2 438
2 421
2 432
2 443
2 426
2 437
2 448
2 431
2 442
2 453
2 436
2 447
2 458
2 441
2 452
2 463
10
2 446
2 457
2 468
11
2 451
2 462
2 473
12
2 456
2 467
2 478
13
2 461
2 472
2 483
14
2 473
2 484
2 495
57
Canal
Frquence basse
Centre
Frquence haute
36
5 170
5 180
5 190
40
5 190
5 200
5 210
44
5 210
5 220
5 230
48
5 230
5 240
5 250
52
5 250
5 260
5 270
56
5 270
5 280
5 290
60
5 290
5 300
5 310
64
5 310
5 320
5 330
100
5 490
5 500
5 510
104
5 510
5 520
5 530
108
5 530
5 540
5 550
112
5 550
5 560
5 570
116
5 570
5 580
5 590
120
5 590
5 600
5 610
124
5 610
5 620
5 630
128
5 630
5 640
5 650
132
5 650
5 660
5 670
136
5 670
5 680
5 690
140
5 690
5 700
5 710
Dans un mme lieu, on peut donc avoir jusqu 19 points daccs indpendants,
en utilisant ces diffrents canaux. Cela signifie que lon peut atteindre un dbit total
maximal de 1 Gb/s avec le 802.11a ! Dans la pratique, il faut diviser environ par deux
ces valeurs, mais cela reste trs important. Avec le 802.11n, la capacit thorique 5
GHz est presque de 3 Gb/s (voir le 2.6) !
58
59
sur chacun des deux canaux. Les anciennes stations 802.11a/b/g sauront alors quil
ne faut pas prendre la parole avant un dlai prcis. La cohabitation entre un rseau
classique et un rseau 802.11n sur double canal est donc rendue possible.
En-tte PLCP
MPDU
2.5.2 Le prambule
Le prambule permet au rcepteur de se synchroniser correctement avec lmetteur,
de sadapter aux lgers dcalages de frquence qui peuvent survenir et ventuellement
de choisir lantenne utiliser pour la rception, si le rcepteur en a plusieurs.
Pour le FHSS, le prambule est compos de deux parties : la premire sert la
synchronisation et la seconde indique la fin du prambule et le dbut de la trame :
cest le Start Frame Delimiter (SFD). La synchronisation consiste en une squence
de 80 bits gale tout simplement 010101...0101. Le SFD est compos de 16 bits :
0000 1100 1011 1101. En notation hexadcimale, cela correspond 0x0CBD.
Pour le DSSS (802.11 DSSS, 802.11b et 802.11g), le prambule est galement
compos dune synchronisation et dun SFD. La synchronisation est similaire celle
du FHSS, mais il sagit dune squence plus complexe quune simple alternance de 0
et de 1. En outre sa longueur est de 128 bits... en tout cas selon la premire version du
standard 802.11.
Lorsque le 802.11b est arriv, il a dfini un nouveau format optionnel pour la
synchronisation, de seulement 56 bits. On parle donc de prambule court (short
preamble). Le but tait de gagner un peu de bande passante en raccourcissant le
prambule qui est envoy chaque paquet. Le gain peut tre assez important, pour les
dbits les plus levs : en effet, le prambule long peut occuper jusqu prs de 40 %
de la bande passante. Le prambule court nen occupe plus que 20 % environ.
Malheureusement, alors que tous les quipements grent bien le prambule long ,
60
Quant au SFD, il sagit toujours dune squence de 16 bits, mais diffrente du FHSS
(0xF3A0).
Pour lOFDM, le prambule est simplement compos dune squence de douze
symboles prdfinis.
Longueur
Dbit
Contrle derreur
12 bits
4 bits
16 bits
61
1. La liste des dbits thoriques prvus par le 802.11n en fonction de la distance (maximale) est
rsume sur la figure 2.5. On multipliera ce dbit par le nombre de flux MIMO, et par deux si lon
utilise un double canal.
62
rel maximal, en conditions parfaites, denviron 130 Mb/s. Cela reste bien meilleur
que les 20 25 Mb/s rels offerts par le 802.11a et le 802.11g.
Contrairement ses prdcesseurs, le 802.11n peut fonctionner sur lune ou lautre
des bandes de frquences autorises pour le WiFi : 2,4 GHz ou 5 GHz. Il est dailleurs
compatible avec toutes les variantes antrieures du WiFi : le 802.11b et le 802.11g
2,4 GHz et le 802.11a 5 GHz. Malheureusement, les produits 802.11n sont souvent
simple bande, gnralement 2,4 GHz (pour des raisons de cot de production). Les
quipements simple bande 2,4 GHz peuvent tre certifis par la WiFi Alliance (il
est dailleurs conseill de nacheter que des produits certifis), et ils obtiennent alors
le label WiFi b/g/n (ou WiFi a/n ), tandis que les quipements double bande
obtiennent le label WiFi a/b/g/n dont le logo est reprsent sur la figure 2.18.
Figure 2.18 Logo pour les produits certifis WiFi a/b/g et n draft 2.0.
ondes ;
63
Rsum
Afin de prsenter en dtail les couches physiques du WiFi, nous avons commenc
par quelques rappels sur les ondes radio : les grandeurs physiques qui caractrisent
une onde lectromagntique (frquence, puissance...), le rapport signal/bruit (RSB),
la notion de multipath , etc.
Dans un deuxime temps, nous avons prsent les modulations analogiques les plus
simples (AM, FM et PM). Ceci nous a permis dattaquer ensuite les modulations
numriques correspondantes : ASK, FSK et PSK. Quelques variantes de ces modulations ont t prsentes, du FSK Gaussien (GFSK) aux modulations diffrentielles
(DPSK...). Nous avons ensuite montr que plusieurs bits dinformation peuvent tre
transmis dans un seul signal radio, quon appelle un symbole . Ceci nous a permis
de prsenter des modulations plus complexes telles que le 8FSK ou encore le QAM.
Forts de ces bases, nous avons tudi les trois principales modulations utilises par
les couches physiques du 802.11 : le FHSS, le DSSS et lOFDM.
Le FHSS fonctionne en sautant rapidement dun canal un autre : il offre un dbit
limit mais une capacit importante et une bonne rsistance au bruit, si celui-ci est
localis dans le spectre. Il nest plus beaucoup utilis en WiFi.
Le DSSS repose sur une technique de chipping permettant doffrir une redondance
importante et dtaler le signal sur un spectre large. Il offre un dbit plus important
(jusqu 11 Mb/s avec le HR-DSSS), une meilleure porte et une bonne rsistance
au bruit blanc rparti de faon homogne dans le spectre. En revanche, il est plus
sensible au bruit localis.
LOFDM est une modulation radio trs sophistique offrant un excellent dbit. Elle
divise le canal radio en de multiples sous-porteuses et met simultanment une
portion des donnes sur chacune dentre elles. Les porteuses sont orthogonales de
sorte quelles ne se gnent pas (peu dinterfrences ICI). Chaque symbole transporte
ainsi de trs nombreux bits, de sorte quil est possible de les espacer dans le temps tout
en conservant un dbit important : ceci permet de limiter les effets du multipath.
Enfin, des codes correcteurs derreurs permettent de bnficier dune excellente
rsistance au bruit.
Nous avons galement prsent quatre techniques multi-antennes frquemment
exploites dans des produits WiFi :
la diversit despace permettant au rcepteur de mieux rsister aux interfrences
dues aux multiples chemins emprunts par les ondes (le multipath) ;
le beamforming, permettant lmetteur de focaliser automatiquement le signal
quil met en direction du rcepteur, afin den augmenter la porte et de limiter les
interfrences avec les rseaux voisins ;
le multiplexage spatial, permettant de dmultiplier le dbit en envoyant simultanment une partie de linformation sur chaque antenne plus le multipath est
important, plus les canaux spatiaux ainsi obtenus sont exploitables pour que le
rcepteur distingue les diffrents flux mis, mais il faut autant dantennes du ct de
lmetteur que du ct de lmetteur ;
le codage espace-temps, qui permet damliorer le rapport signal/bruit (donc la
64
3
La norme 802.11 :
couche MAC
Objectif
Au cours du chapitre prcdent, nous avons prsent les couches physiques dfinies
par le standard 802.11. Nous allons maintenant aborder la couche de contrle daccs
au mdia (Medium Access Control, MAC) qui a un rle crucial : elle dfinit comment
diffrents utilisateurs doivent se partager la parole, le format des paquets changs,
les topologies possibles, les modalits exactes de connexion un rseau sans fil (on
parle dassociation ) et elle va mme plus loin en dfinissant des fonctionnalits
avances telles que la scurit des communications, lconomie dnergie, le contrle
derreur ou encore comment assurer une bonne qualit de service, en particulier
pour les communications multimdias. La couche MAC est donc en quelque sorte le
cerveau du WiFi.
66
67
unique choisi par le fabricant, par exemple 8B-B5-0B. Une adresse ressemblera donc
par exemple : 00-04-23-8B-B5-0B. Tout adaptateur rseau (WiFi, Ethernet ou autre)
possde donc en principe une adresse MAC, cense tre unique au monde. On peut
communiquer avec un priphrique en envoyant des paquets sur le rseau, libells
son adresse MAC.
Les autres protocoles standardiss par lIEEE, tels que lEthernet ou le Token Ring,
possdent la mme dfinition de ladresse MAC. Ceci permet des stations situes sur
des rseaux de types diffrents de pouvoir communiquer entre elles : il suffit pour cela
de connecter les diffrents rseaux entre eux avec des ponts (bridge). De nombreux
aspects de la couche MAC du WiFi sont inspirs directement de la couche MAC de
lEthernet, comme nous le verrons plus loin, au point que certains dsignent le WiFi
sous le nom dEthernet sans fil .
(Access Point) connect un rseau filaire. Ces prcisions sont surtout utiles
pour les constructeurs de matriel WiFi et il nest pas ncessaire de sen soucier
davantage.
Le 802.11d Il tablit la liste des rgles suivre selon les pays pour pouvoir
mettre sur telle ou telle frquence : viter tel ou tel canal, limiter la puissance,
etc. Le 802.11d permet ainsi aux constructeurs de savoir facilement comment
configurer leurs produits en fonction des pays auxquels ils sont destins.
Certains produits sont configurs pour un pays donn, ds la fabrication. Dautres
produits demandent lutilisateur de prciser le pays dans lequel il se trouve.
Le produit est alors configur dynamiquement. Malheureusement, certains
constructeurs ont du retard sur les volutions de la lgislation franaise : jusquen
2002, seuls les canaux 10 13 taient autoriss en France pour le 802.11b et
le 802.11g. LARCEP a libr les canaux 1 9 fin 2002, mais de nombreux
constructeurs ont continu, pendant presque deux ans, fournir des produits
brids !
Le 802.11e Ratifi fin 2005, il dfinit des mcanismes permettant de mieux
contrler le flux de donnes et le partage du mdia entre plusieurs stations : ceci
permet notamment de mettre en uvre une vritable gestion de la qualit de
service (Quality of Service, QoS) pour permettre lchange fluide de donnes
multimdias. Nous y reviendrons en dtail au 3.2.3.
Le 802.11F Il dfinit le protocole interpoints daccs (Inter Access Point
Protocol, IAPP) : celui-ci prcise comment des points daccs (bornes WiFi)
dun mme rseau sans fil doivent communiquer entre eux. LIAPP permet de
constituer un rseau sans fil partir dAP de diffrents constructeurs. Les AP
68
69
70
met un paquet de donnes Ethernet, tous les ordinateurs du rseau le reoivent car
ils partagent le mme mdia de communication.
On peut comparer ceci un groupe de personnes dans une mme salle de runion :
lorsquune personne parle, tout le monde lentend : cest une zone de diffusion, avec
les avantages et les inconvnients que cela reprsente. Lavantage principal est la
simplicit et la performance lorsque le nombre de stations est limit. Linconvnient
est le risque de cacophonie lorsque de nombreuses stations cherchent communiquer
en mme temps. En outre, ce modle pose un problme de scurit important : il suffit
un pirate de se connecter au support de communication pour pouvoir capter tout
le trafic rseau ! Et rien nempche ce pirate de faire une attaque de type dni de
service (Denial of Service, DoS) en saturant le rseau avec des paquets inutiles : tout
le monde reoit alors ces paquets et la bande passante est monopolise par le pirate.
71
on peut envoyer les donnes en une seule fois plutt que den faire une copie
par destinataire. On conomise ainsi de la bande passante.
Pour finir, un paquet peut tre adress un groupe de stations, grce certaines
adresses MAC particulires destines cet effet (par exemple : 01:00:5E:00:00:01).
Toutes les stations intresses par le trafic de ce type le prendront en compte, les autres
lignoreront. On parle alors de multicast. Lun des intrts du multicast est, comme
pour le broadcast, loptimisation de la bande passante lorsquun mme flux de donnes
doit tre achemin vers plusieurs destinataires. Mais alors quun paquet broadcast
est non discriminatoire et toutes les stations sont censes le prendre en compte, un
paquet multicast nest pris en compte que par les stations qui ont choisi dappartenir
au groupe auquel il est destin. Le broadcast peut tre vu comme un cas particulier de
multicast.
Le CSMA
Avec lEthernet, chaque quipement attend quil y ait un silence pour prendre
la parole , cest--dire pour mettre un paquet de donnes. Cest ce quon appelle
lalgorithme Carrier Sense Multiple Access (CSMA) : littralement, on pourrait traduire
ceci par accs multiple avec coute du mdia de communication . En dautres
termes, une station qui souhaite communiquer coute dabord sur le mdia de
communication et attend un silence dune dure prdfinie (appel le Distributed
Inter Frame Space ou DIFS). Une fois ce dlai obligatoire coul, la station commence
un compte rebours dune dure alatoire. La dure maximale de ce compte rebours
sappelle la fentre de collision (Collision Window, CW). Si aucun quipement ne
prend la parole avant la fin du compte rebours, la station met simplement son paquet.
En revanche, si elle se fait doubler par une autre station, elle arrte immdiatement
son compte rebours et attend le prochain silence. Ensuite, elle poursuit son compte
rebours l o elle lavait laiss. Ceci est rsum sur la figure 3.3. Le dlai dattente
alatoire a pour intrt de permettre une distribution statistiquement quitable du
temps de parole entre les diffrents quipements du rseau, tout en rendant peu
probable (mais pas impossible) le fait que deux quipements prennent la parole
exactement en mme temps. Le systme de compte rebours permet dviter quune
station attende trop longtemps avant dmettre son paquet. Cest un peu ce qui se
passe dans une salle de runion lorsquil ny a pas de matre de sance (et que tout le
monde est poli) : on attend un silence, puis encore quelques instants avant de parler,
pour laisser le temps quelquun dautre de prendre la parole. Le temps de parole est
ainsi rparti alatoirement, cest--dire plus ou moins quitablement.
Ce protocole est trs simple mettre en uvre et il est assez performant quand
il y a relativement peu dquipements cherchant communiquer en mme temps :
chacun peut sexprimer sans ordre particulier et tre entendu par tout le monde.
Malheureusement, il perd toute son efficacit lorsque le nombre de machines actives
augmente car il arrive alors frquemment que deux machines prennent la parole en
mme temps, ce quon appelle une collision . Dans ce cas, les paquets mis en
mme temps se superposent et sont donc incomprhensibles : cest la cacophonie.
72
Le CSMA/CD
Pour diminuer limpact des collisions sur les performances du rseau, lEthernet
utilise un algorithme appel CSMA with Collision Detection (CSMA/CD) : lorsquun
quipement met un paquet, il coute en mme temps sur le mdia de communication
pour sassurer quil ny ait pas de collision avec un paquet mis par une autre station.
En cas de collision, lmetteur annule immdiatement lenvoi du paquet. Ceci permet
de limiter la dure des collisions : on ne perd pas de temps envoyer un paquet
complet si lon dtecte une collision. Aprs une collision, lmetteur attend nouveau
le silence et encore une fois, il poursuit son attente pendant une dure alatoire ;
mais cette fois-ci cette dure alatoire est proche du double de la prcdente : cest ce
quon appelle le back-off (cest--dire le recul ) exponentiel. En fait, la fentre de
collision est simplement double (sauf si elle a dj atteint une dure maximale). Ds
quun paquet est mis correctement, la fentre revient sa taille initiale.
Encore une fois, cest ce que lon fait naturellement dans une salle de runion : si
plusieurs personnes prennent la parole exactement en mme temps, elles sen rendent
compte immdiatement (car elles coutent en mme temps quelles parlent) et elles
sinterrompent sans terminer leur phrase. Aprs quelques instants, lune dentre elles
reprend la parole. Si une nouvelle collision a lieu, les deux sinterrompent nouveau
et ont tendance attendre un peu plus longtemps avant de reprendre la parole.
73
74
Notons que ce mcanisme nest valable que pour le trafic unicast : les paquets de
broadcast ou de multicast sont envoys sans RTS, sans CTS et sans ACK. Attention :
lorsquune station est connecte un AP (mode Infrastructure, voir 3.3) et quelle
met un paquet en broadcast ou multicast, elle lenvoie en ralit uniquement
cet AP, selon le principe unicast. LAP se charge ensuite de relayer le paquet ses
destinataires, en broadcast ou multicast.
Avec le mcanisme RTS/CTS, on peut viter la majorit des collisions plutt que
de les dtecter aprs quelles aient eu lieu. En contrepartie, on perd une part de la
bande passante avec les paquets de contrle RTS, CTS et ACK. Cest une des raisons
pour lesquelles le dbit rel en 802.11 est bien infrieur au dbit thorique (cest--dire
le dbit au niveau physique) : le CSMA/CA et le mcanisme RTS/CTS induisent des
pertes importantes de dbit au niveau de la couche MAC.
Alors pourquoi ne pas simplement utiliser le CSMA/CD ? Il y a deux raisons
cela. Dabord, la plupart des priphriques sans fil sont physiquement incapables
dmettre et de recevoir en mme temps : on dit quils sont Half-Duplex1 par nature,
un peu comme un talkie-walkie. Par consquent, ils ne peuvent pas dtecter les
collisions (contrairement aux quipements Ethernet) et ne peuvent donc pas utiliser le
CSMA/CD. La deuxime raison sexplique facilement par lexemple suivant : mettons
trois stations WiFi en ligne de telle sorte que la premire soit porte de signal radio
de la seconde, mais pas de la troisime. Dans ce cas, mme si toutes les stations sont
Full-Duplex, les deux stations situes aux extrmits peuvent parler la station du
milieu au mme instant, sans dtecter de collision. La station du milieu aura alors du
mal comprendre quoi que ce soit car elle recevra au mme moment des messages
provenant de ses deux voisines. Ces collisions diminueront alors considrablement
le dbit. Pour ces deux raisons, il faut une solution prventive plutt que curative
au problme des collisions : en dautres termes, on doit viter que les collisions ne
75
surviennent, plutt que de chercher les dtecter une fois quelles ont eu lieu. Cest
l tout lintrt du DCF.
Dans la pratique, on se rend bien compte que les paquets RTS et CTS ne servent
pas grand-chose quand les paquets de donnes mettre sont petits et cest pourquoi
le standard 802.11 autorise les quipements ne pas mettre de RTS pour les petits
paquets. Ce que lon entend par petit est variable : le seuil est souvent fix
par dfaut 1 000 octets, mais certains quipements permettent de le configurer
manuellement : le paramtre sappelle alors en gnral le RTS Threshold (seuil RTS).
Il est galement possible de dsactiver compltement le mcanisme RTS/CTS. Ceci
dit, plus le nombre dquipements et le volume de donnes changes augmentent,
plus les paquets RTS/CTS savrent importants pour viter les collisions.
Comme lEthernet, le WiFi ragit assez mal lorsque le nombre dquipements
communiquant en mme temps est important, car les collisions sont alors beaucoup
plus nombreuses. De plus, si une seule station communique bas dbit ( 1 ou 2 Mb/s,
par exemple), alors toutes les autres stations sont pnalises. Cest le cas si une station
se trouve loin de lAP auquel elle est associe. Imaginez-vous dans une salle de runion,
avec des dizaines de personnes cherchant parler en mme temps, dont certaines
sexpriment trs lentement et vous aurez une image prcise des limites du mode DCF.
Le partage des ondes avec la stratgie DCF est simple et efficace lorsquil y a peu
dquipements communiquant en mme temps. Sils sont nombreux, le dbit peut
chuter considrablement. En outre, si une station communique bas dbit, elle ralentit
toutes les autres.
76
connectes directement entre elles sans passer par un AP (voir 3.3). Puisquun AP
soccupe de distribuer la parole, il ny a plus de collision possible et le temps de latence
est donc garanti. En anglais, on dit que ce systme est Contention Free (CF), cest--dire
libre de toute dispute.
Pour reprendre lanalogie de la salle de runion, cela revient avoir un organisateur
dont le rle est de coordonner les communications entre les diffrentes personnes
dans la salle. LAP se tourne successivement vers chacune des stations et lui alloue un
temps de parole plus ou moins long, grce une requte CF-Poll1 . Si la station
accepte de prendre la parole, elle doit immdiatement acquiescer avec un paquet
CF-ACK. Elle peut alors mettre un ou plusieurs paquets pendant cette priode. Si
elle na toujours rien mis au bout dun court intervalle appel le PCF Inter Frame
Space (PIFS), alors lAP passe la station suivante. Les autres stations attendent
patiemment.
Le mode PCF permet ainsi de diviser le temps de parole plus quitablement entre
les stations et surtout de faon plus fluide et dterministe : ce mode est donc intressant
pour transfrer des donnes synchrones, telles que des communications multimdias.
En contrepartie, une portion importante de la bande passante peut tre gche si
de nombreuses stations nont rien mettre : lorsque la parole leur est donne, les
autres stations attendent, en dfinitive, pour rien.
Pour limiter cela, mais aussi pour permettre aux stations incompatibles avec le PCF
de communiquer, la norme 802.11 impose que le PCF soit toujours accompagn du
DCF. Pendant quelques instants, toutes les stations sont en mode PCF et ne parlent
que si lAP auquel elles sont associes leur donne la parole, puis, pendant quelques
instants, les stations prennent la parole selon le mode DCF, puis on revient au mode
PCF et ainsi de suite.
Pour quune station sache exactement quand elle peut parler librement et quand
elle doit attendre quon lui donne la parole, il faut quelle soit parfaitement synchronise avec lAP. Cette synchronisation est assure par des trames balises envoyes
rgulirement par lAP (fig. 3.6). Chaque balise indique le dbut dune squence
PCF/DCF et indique la dure de la squence totale ainsi que la dure maximale de la
phase PCF. tout moment pendant la phase PCF, lAP peut dcider de passer la
phase DCF en envoyant un paquet toutes les stations (broadcast) appel le CF-End.
Un point important : le PIFS est plus court que le DIFS, de sorte que si une
station ne connat pas le mode PCF, elle ne pourra pas prendre la parole pendant la
phase PCF, car elle ne dtectera jamais de silence assez long. Une station compatible
uniquement avec le DCF peut donc se connecter un AP configur en mode PCF,
mais elle disposera dune bande passante plus faible que les autres stations car elle
ne pourra communiquer que pendant la phase DCF. Bien entendu, si une station
compatible avec le PCF se connecte un AP qui ne gre pas ce mode, elle passera
automatiquement au mode DCF.
77
Dans la pratique, le mode PCF est trs peu rpandu. Bien quil ait t dfini
ds la premire version du standard en 1997, les premiers produits le mettant en
uvre ne sont parus quen 2002. En outre, le PCF nest pas obligatoire, contrairement
au DCF et la WiFi Alliance ninclut malheureusement pas le PCF dans ses tests
dinteroprabilit : il est donc possible que deux quipements PCF ne fonctionnent
pas correctement ensemble sils ne sont pas issus du mme constructeur. Bref, pour
mieux grer le trafic multimdia, il vaut mieux utiliser des produits mettant en uvre
le 802.11e.
1. Dans le standard, ratifi fin 2005, on parle maintenant de EDCA (Enhanced Distribution Channel
Access) et de HCCA (Hybrid-Coordination-Function Controlled Channel Access).
78
L EDCF
LEDCF est trs proche du DCF, mais les paquets de haute priorit ont plus de chances
dtre mis rapidement que ceux de basse priorit. Souvenez-vous quavec la DCF, une
station commence par attendre un silence dune dure minimale appele le DIFS, puis
elle attend pendant une priode alatoire au sein dune fentre de collision (CW).
Avec le mode EDCF, le dlai DIFS et la fentre de collision CW peuvent tre rgls
pour chaque classe de trafic1 . On ne parle plus de DIFS mais de Arbitration Inter Frame
Space (AIFS) dont la dure est suprieure ou gale au DIFS. La classe la plus prioritaire
aura un AIFS plus court et une fentre de collision plus petite quune classe moins
prioritaire : ainsi, un paquet prioritaire passera plus souvent devant un paquet moins
prioritaire.
SIFS < PIFS < DIFS < AIFS (fonction de la classe de trafic).
En outre, chaque station gre une file dattente par classe de trafic et applique
les mmes rgles probabilistes pour dterminer de quelle file dattente elle prendra le
prochain paquet mettre. Un paquet commence donc par tre plac dans une file
dattente adapte sa classe de trafic, puis lorsque son tour est arriv, il doit gagner
successivement deux batailles avant dtre transmis : la premire contre les paquets
des autres files dattente du mme adaptateur (bataille interne) et une seconde contre
les paquets des autres stations (bataille externe).
LEDCF permet galement aux stations denvoyer plusieurs paquets daffile. Dans
ce cas, on dit que la station profite dune opportunit de transmission , note TXOP.
La dure maximale dune TXOP peut tre prcise dans les trames balises de lAP.
79
Pendant une TXOP, la station met autant de paquets quelle le souhaite, les uns
aprs les autres en ne les espaant que de SIFS. Puisque SIFS est le dlai le plus court
possible, personne ne peut linterrompre. Pendant la TXOP, les paquets de la station
mettrice nont quune seule bataille gagner : la bataille interne.
Si le rseau est compos de plusieurs stations DCF simples et dautres grant lEDCF,
alors les stations DCF auront tout simplement une seule classe de trafic, de priorit
moyenne. Les stations EDCF pourront fonctionner normalement et leur trafic de
haute priorit passera en gnral avant le trafic des stations DCF.
Ce systme est relativement simple mettre en uvre et il permet de rgler les
priorits des flux en fonction des classes de trafic. Malheureusement, puisquil repose
sur le hasard, il peut arriver que quelques paquets prioritaires soient retards un peu
trop longtemps, par malchance. Inversement, certains paquets peu prioritaires peuvent
tre mis avec beaucoup de retard sil y a un trafic rgulier et plus prioritaire sur le
rseau : cest ce quon appelle la famine . Dans la plupart des cas, ce ne sera pas
dramatique, mais pour certaines applications, il est prfrable dutiliser lEPCF.
La WiFi Alliance a dfini la certification Wireless MultiMedia Extensions (WME),
galement appele W iFi Multimedia (WMM), pour les produits compatibles avec
lEDCF.
LEPCF
Cette stratgie de coordination est galement appele la fonction de coordination
hybride (Hybrid Coordination Function, HCF). Elle tend le principe du PCF en lui
rajoutant la gestion des classes de trafic. Le principe de base de lEPCF est trs similaire
au PCF : dans une premire phase, lAP contrle le temps de parole des stations, puis
dans une seconde phase, toutes les stations peuvent prendre la parole librement,
selon le mode EDCF et ces deux phases alternent indfiniment. Toutefois, lEPCF
est lgrement plus flexible, car mme pendant la deuxime phase, lAP peut donner
la parole une station. Pour cela, lAP attend le premier silence dune longueur de
PIFS. Puisque PIFS est infrieur DIFS et AIFS, lAP est assur dobtenir la parole.
En outre, lorsquune station obtient la parole, elle dispose dune TXOP, comme pour
lEPCF et peut donc envoyer plusieurs paquets en srie.
Revenons lanalogie de la salle de la runion : lorganisateur commence par
diriger la runion, en donnant la parole successivement aux personnes de son choix.
En mode PCF, il donnait la parole tout le monde tour de rle (en boucle), mais avec
lEPCF il peut tre plus malin et choisir lordre quil veut, en fonction de paramtres
aussi complexes quil le souhaite. Ensuite, lorsque la phase dirige est termine,
soit parce quelle a dure le temps prvu, soit avant si lorganisateur en a dcid ainsi
(comme en mode PCF), on entre dans la phase de discussion libre. Dans cette phase,
ceux qui ont des choses importantes dire ont tendance prendre la parole plus
rapidement et donc parler plus souvent : cest lEDCF. tout instant, lorganisateur
peut interrompre tout le monde et donner la parole une personne, sil le souhaite.
Chaque fois quune personne a la parole, elle peut la garder pendant un temps limit
80
et mettre plusieurs ides daffile. Une fois que cette phase libre ou presque est
termine, on revient en phase dirige et ainsi de suite.
Afin de pouvoir donner intelligemment la parole, lAP peut souhaiter connatre
la longueur des files dattentes de chaque station, pour chaque classe de trafic. Les
stations indiquent donc cette information au dbut de chaque paquet, dans len-tte
MAC modifi cet effet par le 802.11e. LAP peut alors donner la parole aux stations,
en prenant en compte, par exemple :
la priorit de la TC ;
le type de QoS requis pour cette TC : par exemple, un faible temps de latence,
une bande passante importante, un dbit rgulier pour viter les -coups (jitter),
etc. Ceci peut tre configur dans lAP ;
la longueur des files dattentes pour chaque station ;
le temps de parole cumul pour chaque station ;
et tout autre paramtre.
Lorsque lAP donne la parole une station, il ne lui impose pas une file dattente
utiliser. Ceci permet de dlguer une partie du travail et de responsabilit
chaque station, afin dallger le travail de lAP : son rle se rduit donc distribuer
correctement le temps de parole entre les stations. Notons que lAP peut se donner la
parole lui-mme, ce qui arrive dailleurs trs souvent car il doit relayer tout le trafic
en provenance et destination des stations.
Le mode EPCF du 802.11e est le plus flexible mais galement le plus complexe : il
peut grer finement la QoS pour chaque classe de trafic.
La WiFi Alliance propose la certification WMM-Scheduled Access pour les produits
compatibles avec le mode EPCF du 802.11e. Malheureusement, ce jour, le WMM-SA
na t mis en uvre que dans quelques produits seulement et semble abandonn
par lindustrie au profit du WMM.
81
82
Plusieurs points daccs peuvent tre dploys pour atteindre une plus large
couverture WiFi. Ces BSS multiples peuvent tre relis par un systme de distribution
(Distribution System, DS) de faon former un unique rseau sans fil tendu. Le DS
peut tre un rseau filaire Ethernet (cas le plus frquent), un cble de point point,
ou encore une liaison sans fil ! Il est alors possible un utilisateur de se dplacer dans
lensemble de la zone de couverture sans souffrir de ralentissement ou dinterruption de
sa connexion : en cas de besoin, la liaison bascule automatiquement (cest le hand-over)
vers le point daccs offrant la meilleure connexion. On parle dans ce cas dExtented
Service Set (ESS, fig. 3.9) qui couvre naturellement un espace appel lExtended Service
Area (ESA), compos de plusieurs cellules. Chaque ESS est identifi par un nom
stock sur 32 octets maximum qui sappelle lESSID (ou simplement le SSID)1 . Il
faut faire attention ce que deux ESS distincts dont les cellules se superposent aient
toujours des noms (SSID) diffrents, sinon on observera des problmes de connexion
importants dans les zones de superposition.
83
est pratique pour lchange de donnes entre quelques stations en labsence dune
quelconque infrastructure rseau (aucun point daccs). Le rseau ainsi constitu
sappelle un Independent Basic Service Set (IBSS, fig. 3.10).
84
toute la lourdeur provient du fait que les couches rseaux suprieures doivent tre
paramtres manuellement car on ne dispose pas des ressources habituellement mises
en uvre sur un rseau dentreprise : un serveur DHCP, un serveur de fichiers, etc.
Cest sans doute la raison principale pour laquelle ce mode est beaucoup moins utilis
que le mode Infrastructure.
Pour relier plusieurs ordinateurs entre eux en mode Ad Hoc, il faut configurer le
rseau au niveau WiFi, mais aussi au niveau IP.
85
86
(fig. 3.11). Ce mcanisme est plus fiable que la mthode passive car on est assur que
la communication peut bel et bien avoir lieu dans les deux sens. En contrepartie, des
requtes de sondage trop frquentes peuvent baisser lgrement la performance dun
rseau sans fil.
3.4.3 Lauthentification
Pour pouvoir communiquer sur un rseau sans fil de type Infrastructure, une station
doit dabord sidentifier auprs dun AP avant dy tre associe.
Pour sidentifier, la station envoie une requte d authentification un AP, avec
le SSID voulu. Si le rseau nest pas scuris par une cl WEP, aucune information
didentification nest requise et la rponse est toujours positive (pourvu que le
SSID soit le bon, bien entendu). On parle dauthentification ouverte 1 (Open
Authentication).
En revanche, si le rseau est scuris par une cl WEP, lAP renvoie dans sa rponse
un dfi (ou challenge) : il sagit dun nombre alatoire de 128 bits que la station
doit crypter en utilisant sa cl WEP (Wired Equivalent Privacy)2 . Le rsultat crypt est
alors envoy lAP dans une nouvelle requte dauthentification. Celle-ci peut alors
vrifier que le rsultat est le bon en ralisant elle-mme le cryptage avec sa propre cl
WEP : si elle trouve le mme rsultat, elle sait que la station possde bien la bonne
cl et dans ce cas elle renvoie une rponse positive.
Le standard 802.11 semble avoir tout prvu... Malheureusement, ce procd
possde de graves dfauts : tout dabord, il permet lAP didentifier que la station est
lgitime, mais linverse nest pas vrai. Au cours de lauthentification, rien ne garantit
1. Vous verrez parfois des adaptateurs proposant le mode Ouvrir : erreur de traduction bien sr !
2. Nous aborderons rapidement le WEP au 3.5.3 et nous le dtaillerons au chapitre 7.
87
88
Figure 3.13 Attaque de type Man in the Middle contre lauthentification WEP.
Bref, malgr le fait que lauthentification WEP soit spcifie par le standard 802.11,
elle a t bannie des spcifications WiFi dfinies par la WiFi Alliance1 . Rares sont
les produits WiFi qui la mettent en uvre. Cest lun des rares exemples o le WiFi
nest pas tout fait fidle au 802.11. Dans un produit WiFi, il ny a quun seul type
dauthentification : lauthentification ouverte.
Lauthentification WEP napporte aucune scurit. Nous verrons comment mieux
authentifier les utilisateurs au chapitre 8.
3.4.4 Lassociation
Lorsque la station a bien t identifie et que lAP a renvoy une rponse dauthentification positive, la station peut alors sassocier lAP pour avoir accs aux services
du rseau. Pour cela, elle doit envoyer une requte dassociation lAP. Cette requte
contient entre autres la liste des dbits que la station est capable de grer. LAP
alloue un identifiant unique la station (lidentifiant dassociation), elle enregistre
les informations de la requte dans sa table des associations (en mmoire), enfin elle
renvoie une rponse dassociation pour confirmer que lassociation a bien eu lieu.
partir de ce moment, la station fait officiellement partie du rseau : tout paquet
envoy par cette station est relay par lAP.
3.4.5 La rassociation
Malgr son association avec un AP donn, la station vrifie rgulirement (passivement ou activement) la prsence dautres AP ayant le mme SSID. Ainsi, lorsquun
AP savre plus intressant (plus proche ou plus disponible), la station envoie dabord
une requte de dsassociation auprs de lAP actuel suivie dune requte de
rassociation auprs du nouvel AP. La requte de rassociation indique entre
autres lidentit de lAP prcdent. Ceci permet aux deux AP de se mettre en relation
1. Attention, seule lauthentification WEP a t limine. Le cryptage WEP peut tre utilis par la
suite, une fois la station associe. Dans ce cas, il y aura une authentification implicite et bilatrale
puisque seuls les paquets crypts avec la mme cl WEP seront compris par la station et par lAP.
89
90
3.5.3 Le WEP
La couche MAC du 802.11 offre un mcanisme optionnel de chiffrement des donnes
(cryptage) qui sappelle le Wired Equivalent Privacy (WEP). Tous les priphriques et
tous les AP du rseau doivent tre configurs avec une mme cl secrte de 40 ou
104 bits, qui permet de chiffrer les communications. Le cryptage WEP est suffisamment
simple pour tre ralis trs rapidement, de sorte quil ne pnalise pas (ou peu) le dbit.
Il a toutefois plusieurs inconvnients : dabord, il suppose quune mme cl soit
configure sur tous les quipements du rseau (AP et priphriques). Cette cl tant
connue de tous les utilisateurs du rseau, le risque de fuite est plus important car
il suffit dune indiscrtion dun seul employ pour compromettre toute la scurit du
91
rseau. En outre, si la cl est compromise, il faudra la changer sur tous les priphriques
et tous les AP, ce qui est trs loin dtre pratique. Pour finir, malgr son nom qui
signifie littralement scurit quivalente un rseau filaire , le cryptage WEP
a t cass par des chercheurs qui y ont trouv plusieurs failles. Il existe mme
des logiciels gratuits pour dchiffrer toutes les communications WEP, ce qui rend ce
mcanisme caduc !
Le cryptage WEP noffre pas une scurit suffisante pour un rseau dentreprise : des
logiciels gratuits permettent de le casser.
Le WPA et le WPA2 Entreprise sont les solutions les plus sres pour protger un
rseau WiFi au niveau de la couche MAC. Leur principal inconvnient rside dans le
fait quil est ncessaire de mettre en place un serveur RADIUS, ce qui peut sembler
contraignant pour un particulier ou une petite entreprise. Le WPA Personal est donc
la solution privilgier pour un petit rseau sans fil, constitu dun AP et de quelques
stations. Nous reviendrons sur ces solutions dans les chapitres 8 10.
1. Le terme anglais scalable serait ici plus adapt : il signifie que laugmentation de la taille du systme
et du nombre dutilisateurs, cest--dire la monte en charge , se fera sans heurts. On pourrait le
traduire par rchelonnable .
92
3.6.2 La fragmentation
Le pourcentage moyen de bits errons sappelle le Bit Error Rate (BER). Le pourcentage
moyen de trames errones sappelle le Frame Error Rate (FER). Il existe une relation
directe entre ces deux valeurs, pour une taille de trame donne (exprime en bits) :
FER = 1 (1 BER)taille
Par exemple, si les interfrences sont telles quen moyenne un bit sur 10 000 est
corrompu (BER = 0,01 %, ce qui peut paratre faible au premier abord), alors on peut
calculer le FER pour diffrentes tailles de trames :
93
prs de 70 % des trames de 1 500 octets (12 000 bits) seront perdues ;
environ 33 % des trames de 500 octets seront perdues ;
moins de 8 % des trames de 100 octets seront perdues.
Bref : plus les paquets changs sont gros, plus il y a de chances pour quils
contiennent des erreurs. Si lenvironnement radio est de mauvaise qualit, on voit
quil est trs avantageux de dcouper les gros paquets en plusieurs fragments pour ne
pas perdre trop de bande passante avec des paquets corrompus.
La couche MAC du 802.11 fournit un mcanisme de fragmentation des paquets
qui peut tre trs avantageux dans un environnement lectromagntique bruyant.
De nombreux adaptateurs WiFi peuvent tre configurs pour fixer une taille limite
partir de laquelle un paquet doit tre fragment. Lmetteur fragmente alors tous les
paquets dune taille suprieure cette limite et le rcepteur soccupe de rassembler les
fragments pour reformer un paquet complet. Ainsi, ce mcanisme est compltement
transparent pour les couches rseaux suprieures.
Dans un environnement lectromagntique bruyant, il peut tre intressant de baisser
la taille partir de laquelle les paquets sont fragments.
Chaque fragment est trait normalement, avec son propre code CRC, son en-tte
MAC, lchange ventuel de paquets RTS/CTS, lenvoi dun paquet ACK lorsque
le paquet a bien t reu, etc. Ainsi, il ne faut pas trop fragmenter les paquets, car
cela peut rajouter un surplus de trafic non ngligeable et diminuer la bande passante
disponible. En outre, en multipliant les paquets, le risque de collision augmente.
Dans un environnement bruyant ou charg, il est souvent intressant de modifier
ce paramtre manuellement tout en observant (avec un analyseur de rseau sans fil)
la quantit de collisions et de paquets rejets, ou simplement le dbit moyen dun
tlchargement : le rsultat peut tre spectaculaire !
Avant fragmentation, le paquet sappelle le MAC Service Data Unit (MSDU). Le
fragment accompagn de son en-tte MAC et de son code CRC sappelle un MAC
Protocol Data Unit (MPDU).
Pour finir, notons que pour des raisons doptimisation, le standard 802.11 interdit
certaines trames dtre fragmentes : cest le cas des trames balises ainsi que de tout
le trafic broadcast et multicast.
94
toDS
fromDS
Mode
Cas de figure
Ad Hoc
Infrastructure
Infrastructure
Infrastructure
toDS
fromDS
1re adr.
2e adr.
3e adr.
4e adr.
Dest.
Source
BSSID
AP
Source
Dest.
Dest.
AP
Source
AP suivant
AP
Dest.
Source
95
Les produits diffrent en particulier dans leur gestion du routage entre les
relais : certains nautorisent quun seul relais, dautre plusieurs. Lorsquil y a plusieurs
relais possibles, lequel choisir ? On pourrait dcider quun des relais doit tre utilis
en priorit et les autres ne sont l quen cas de problme. Ou bien on pourrait choisir
dutiliser tous les relais en boucle, les uns aprs les autres. Chaque constructeur choisit
sa solution.
96
Pour dfinir une stratgie dconomie dnergie, il faut dabord savoir quel
moment cette nergie est consomme par un adaptateur WiFi :
il en consomme le plus lorsquil envoie des donnes ;
lorsquil coute les ondes radio sans rien recevoir, il consomme presque autant
97
se rveiller au bon moment pour le recevoir. Pour cela, toutes les quelques balises,
lAP envoie un TIM spcial appel le Delivery TIM (DTIM), qui indique une dure
pendant laquelle le trafic broadcast et multicast sera envoy. Lun des rglages de
lconomie dnergie consiste donc prciser la dure de la fentre de broadcast et la
frquence des DTIM (par exemple, une balise sur cinq).
En mode Ad Hoc
Pour les communications Ad Hoc, le mcanisme est lgrement diffrent, mais le
principe est le mme : si une station est en mode dconomie dnergie, elle se rveille
intervalles rguliers, au moment de lmission des balises et elle coute pendant
un bref instant avant de se rendormir (fig. 3.18). Les stations sont synchronises et
toutes celles qui sont en mode dconomie dnergie se rveillent en mme temps.
Pour clarifier un peu notre exemple, nous parlerons de jour et de nuit .
Lorsquune station A veut envoyer un paquet de donnes une station B qui est
en mode dconomie dnergie, elle doit attendre le jour pour sassurer que la
station B soit bien rveille. Au lieu denvoyer directement les donnes, la station A
envoie un petit paquet de gestion appel lAnnonce TIM (ATIM). Il signifie
peu prs jai des donnes pour toi . La station B doit alors immdiatement rpondre
par un paquet ACK classique. Ensuite, les deux stations attendent la nuit , mais
contrairement son habitude, la station B ne sendort pas. Les deux stations peuvent
ensuite communiquer normalement pendant toute la nuit . la fin du jour
suivant, si aucune station na de donnes envoyer la station B, celle-ci peut enfin
se rendormir.
98
Lconomie dnergie peut tre trs apprciable pour avoir une autonomie plus
importante, mais elle diminue la qualit de la communication : le dbit est plus faible
et moins fluide.
3.6.5 Le WMM-PS
Pour limiter cet effet ngatif de lconomie dnergie sur la qualit de service, la WiFi
Alliance a dfini le WMM-Power Save (ou WMM-PS). Il sagit dun ensemble
de mesures techniques dfinies dans le standard 802.11e, et qui ont pour objectif
doptimiser lconomie dnergie, notamment pour les terminaux mobiles :
des optimisations du protocole dconomie dnergie permettent de rduire le
99
FC
D/ID
Adr. 1
Adr. 2
Adr. 3
SC
Adr. 4
Donnes
FCS
De 0 2 304 octets (+8 pour le WEP, ou +20 pour le TKIP, ou +16 pour lAES)
100
Version
Type
Sous-type
2 bits
2 bits
4 bits
toDS
fromDS
Frag
Retry
Sleep
More
WEP
Order
1 bit
1 bit
1 bit
1 bit
1 bit
1 bit
1 bit
1 bit
toujours de 0.
Le second indique le type du paquet. Il en existe trois : paquet de gestion
(association, authentification...), paquet de contrle (RTS, CTS, ACK, CFEnd...) ou paquet de donnes (donnes simples, donnes + CF-Poll...).
Le troisime prcise le sous-type du paquet : association, RTS, donnes simples,
etc. La liste des types et sous-types est donne ci-dessous.
Nous avons dj parl du toDS et du fromDS dans la section 3.6.3 : ils servent
indiquer si le paquet sadresse au systme de distribution (toDS) et sil en
provient (fromDS).
Le champ Frag indique sil reste encore des fragments aprs ce paquet.
Le champ Retry (cest--dire nouvel essai ) indique que ce paquet est une
nouvelle tentative dmission dun paquet dj envoy prcdemment, mais qui
na pas reu dACK en rponse.
Le champ Sleep (cest--dire sommeil ) indique si la station sera en mode
dconomie dnergie (PSM) ou non, aprs ce paquet.
Le champ More (cest--dire plus ) est utilis par un AP lorsquil communique avec une station en mode PSM et quil souhaite la prvenir que dautres
paquets seront envoys aprs celui-ci. Ceci permet dviter que la station ne
sendorme trop tt et permet galement de lui indiquer quand elle peut se
rendormir.
Le champ WEP indique si ce paquet est crypt avec WEP ou non.
Le champ Order indique que lmetteur souhaite que ce paquet appartienne la
classe de service strictement ordonn . Les paquets appartenant cette classe
doivent toujours tre relays dans le mme ordre quils ont t reus. En ralit,
les AP ne changent pas lordre des paquets unicast quils reoivent, mais il peut
arriver quils relaient en premiers des paquets unicast pourtant arrivs aprs des
paquets broadcast (ou multicast). Si le protocole transport par ce paquet WiFi
utilise un mlange dunicast et de broadcast et que lordre de ces paquets est
important, alors ce bit devra tre gal 1. Toutefois, la plupart du temps, ce bit
est gal 0 car rares sont les protocoles pour lesquels cela change quoi que ce
soit.
101
mais ils servent purement la couche MAC et ne sont pas remonts aux
couches rseaux suprieures. Ils mettent en uvre certaines fonctions du WiFi
telles que lassociation, lauthentification, les balises, etc. ;
les paquets de contrle (type 1) sont mis, comme leur nom lindique, pour
contrler les communications et permettre un bon partage des ondes ;
les paquets de donnes (type 2) transportent les paquets fournis par les couches
rseaux suprieures.
Description
Requte dassociation
Rponse dassociation
Requte de rassociation
Rponse de rassociation
Requte de sondage
Rponse de sondage
6-7
Inutiliss
Balise
ATIM
10
Dsassociation
11
Authentification
12
Dsauthentification
13-15
Inutiliss
Nous avons vu plus haut que tout paquet WiFi pouvait transporter jusqu
2 312 octets de donnes. Les paquets de gestion exploitent ce champ pour transporter
divers paramtres. Par exemple, une trame balise indique le temps coul depuis
lallumage de lAP (en microsecondes, cod sur 64 bits), lintervalle de temps avant
la balise suivante et optionnellement le SSID ou encore les paramtres dconomie
dnergie (TIM ou DTIM).
Pour cela, le 802.11 utilise un format de paquet trs flexible pour les paquets de
gestion : chacun contient dabord un certain nombre de paramtres obligatoires qui
102
dpendent du sous-type. Par exemple, les paramtres obligatoires des balises sont le
temps coul, lintervalle avant la prochaine balise et enfin un paramtre contenant
une srie de bits qui indiquent si la balise provient dun AP (mode Infrastructure) ou
dune station (mode Ad Hoc), ou encore si lAP prend en charge telle ou telle option,
comme par exemple le WEP ou le prambule court.
Ensuite, des paramtres optionnels peuvent tre rajouts : on les appelle des
lments . Un lment est compos dun octet qui indique son type, suivi dun
octet indiquant sa taille (en octets), puis sa valeur. Par exemple, dans une balise, le
SSID est un lment. Il peut tre prsent, ou non. Grce cette notion dlment, les
trames de gestion peuvent contenir uniquement les paramtres ncessaires, ce qui les
rend assez petites et rapides changer.
En outre, ce mcanisme peut tre utilis par des constructeurs pour rajouter des
paramtres qui leurs sont spcifiques. Par exemple, un constructeur donn peut rajouter
un lment qui indique la charge de lAP : les stations du mme constructeur pourront
alors prendre ce paramtre en compte pour choisir le meilleur AP auquel sassocier.
Heureusement, les stations provenant dautres constructeurs ne seront pas gnes : en
effet, le type et la longueur de llment tant indiqus au dbut de chaque lment,
si une station tombe sur un type quelle ne connat pas, il lui suffit de lignorer et de
passer llment suivant.
Cette flexibilit permet galement au 802.11 de rajouter de nouveaux paramtres
aux trames de gestion, tout en conservant une compatibilit complte avec les
quipements plus anciens.
Sous-type
Description
0-9
Inutiliss
10
PS-Poll
11
RTS
12
CTS
13
ACK
14
CF-End
15
CF-End et CF-ACK
103
Description
Donnes et CF-ACK
Donnes et CF-Poll
CF-ACK
CF-Poll
CF-ACK et CF-Poll
8-15
Inutiliss
On voit que certaines fonctions peuvent tre regroupes en une seule. Par exemple,
en mode DCF, lAP peut donner la parole une station (CF-Poll) tout en lui
transfrant un MPDU, pour viter de faire deux allers-retours. De mme, la station
peut acquiescer (CF-ACK) tout en envoyant un MPDU. Les paquets de donnes
sans donnes (CF-Poll, CF-ACK...) sont un peu paradoxaux, mais ils sont placs dans
cette catgorie pour plusieurs raisons : dune part, il ne restait plus beaucoup de place
parmi les paquets de gestion et dautre part, puisque les paquets Donnes et CF-xxx
sont dans cette catgorie, autant y mettre galement les paquets CF-xxx . Enfin, le
paquet vide peut servir vrifier le temps de latence sans envoyer de donnes.
104
105
Rsum
Au cours de ce chapitre, nous avons prsent la couche MAC du protocole 802.11,
ses principales fonctions et le format de ses paquets. Pour cela, nous avons commenc
par situer la couche MAC : entre les couches physiques et la couche LLC (802.2).
Un bref rappel sur lEthernet nous a ensuite permis daborder le CSMA/CD, qui est
une stratgie de partage du mdia trs simple : un dlai dattente alatoire permet de
rpartir plus ou moins quitablement la parole entre les stations. Cette stratgie perd
de son efficacit lorsque le nombre de stations cherchant communiquer en mme
temps est lev : des collisions sont alors frquentes. Nous avons alors pu aborder
le partage des ondes dfini par la norme 802.11 : la premire stratgie sappelle
le DCF et repose sur le CSMA/CA et le mcanisme RTS/CTS. Le CSMA/CA
est une variante du CSMA/CD dans laquelle chaque station envoie un accus de
rception (ACK) pour tout paquet reu. Avec le mcanisme RTS/CTS, une station
demande la parole avant denvoyer un paquet (si sa taille dpasse un seuil fix), ce
qui permet de rduire les collisions entre les stations qui ne sont pas porte les
unes des autres. Nous avons ensuite abord la stratgie PCF (optionnelle et peu
rpandue), dans laquelle lAP donne successivement la parole chaque station, ce
qui permet damliorer la fluidit du trafic. Une meilleure gestion de la qualit de
service (QoS) est possible grce au 802.11e, qui dfinit les stratgies EDCF et EPCF :
il sagit damliorations du DCF et du PCF, qui font intervenir la notion de classe
1. Le principe du Block-ACK a t dfini dans le standard 802.11e, mais na que peu t utilis. Il a
t amlior par le 802.11n, et est maintenant bien plus souvent mis en uvre.
106
de trafic (TC). LEDCF permet ainsi de donner une priorit plus ou moins grande
chaque TC (e-mails, voix sur IP...), tandis que lEPCF va plus loin, en permettant
lAP de coordonner intelligemment le partage des ondes entre les stations, avec des
rgles prcises pour chaque TC (bande passante garantie, fluidit...). La certification
WMM de la WiFi Alliance correspond aux produits respectant lEDCF.
La certification WMM-Scheduled Access correspond aux produits la norme EPCF.
Par ailleurs, nous avons prsent les deux topologies 802.11 dfinies par la couche
MAC : les rseaux de type Infrastructure o les stations communiquent avec le rseau
via un point daccs (chaque rseau sans fil tant identifi par un SSID) et les rseaux
de type Ad Hoc o toutes les stations communiquent directement les unes avec les
autres. Malheureusement, le mode Ad Hoc ne dfinit pas comment deux stations
peuvent communiquer par le biais dune troisime : les rseaux maills en mode Ad
Hoc font lobjet de la norme 802.11s.
Nous avons dtaill le processus dassociation : chaque AP envoie rgulirement des
trames balises pour signifier sa prsence et assurer la synchronisation des stations.
Les stations peuvent dtecter un rseau sans fil grce ces balises, ou bien en
envoyant des requtes de sondage (probe). Une fois le rseau dtect, la station
doit sauthentifier. Il y a deux modes dauthentification 802.11 : le mode ouvert
et le mode WEP . Le premier accepte toute station qui le demande, le second
suppose la configuration dune mme cl WEP dans tous les AP et stations du rseau.
Une fois authentifie, une station na plus qu envoyer une requte dassociation
pour rejoindre le rseau. En mode Ad Hoc, rien de tout ceci nest ncessaire : une
station peut doffice communiquer avec toutes les autres sa porte.
Nous avons alors abord rapidement les principales mesures de scurit du WiFi :
masquer le SSID, filtrer les stations par leur adresse MAC, utiliser le cryptage WEP,
ou mieux, utiliser le WPA ou WPA2. Nous approfondirons toutes ces solutions dans
les chapitres 6 10.
Enfin, nous avons galement prsent :
le contrle derreur, assur par un code CRC, calcul partir du paquet et rajout
la fin de celui-ci ;
la fragmentation et le rassemblage des paquets, permettant de rsister un
environnement bruyant ;
lacheminement des paquets, notamment lorsque des AP sont relis entre eux, sans
fil (WDS) ;
lconomie dnergie : rendue possible grce la synchronisation des stations et des
messages prvus cet effet (PS-Poll...), et optimise pour la QoS avec le WMM-PS.
Nous avons ensuite dtaill le format des paquets WiFi : les paquets de donnes
(MPDU), les paquets de contrle (RTS, CTS, ACK...) et les paquets de gestion
(association, authentification...).
Pour finir, nous avons prsent les amliorations de la couche MAC apportes par le
802.11n pour amliorer le dbit : lagrgation de trames et les acquittements groups
(Block-ACK).
DEUXIME PARTIE
Dploiement
Cette partie est ddie au dploiement des rseaux WiFi. Elle est compose de deux
chapitres :
le chapitre 4 prsente le matriel WiFi dans son ensemble et permet de connatre
les paramtres prendre en compte pour effectuer un bon choix. Sont prsents
les adaptateurs WiFi, les AP, les priphriques WiFi tels que les imprimantes ou
les tlphones WiFi, les antennes et dautres produits lis au WiFi ;
le chapitre 5 traite de la couverture radio, pour permettre un bon dploiement
des AP, en fonction de lobjectif : connexion de point point, rseau dentreprise
simple ou haute capacit, environnement bruyant ou non, etc.
4
Le matriel
Objectif
Ce chapitre a pour but de prsenter les principaux types de produits WiFi disponibles
aujourdhui. Des adaptateurs PCMCIA, PCI, USB, voire de petits AP connects au
port Ethernet, permettent vos ordinateurs de se relier au rseau WiFi. Les points
daccs peuvent tre de simples rptiteurs, des ponts sophistiqus, des routeurs ou
encore des contrleurs daccs complets : ils sont les briques de votre rseau sans fil.
De plus en plus dordinateurs portables et bien dautres quipements informatiques
sont maintenant vendus avec un adaptateur WiFi intgr : des smartphones, des
imprimantes, des scanneurs, des camras de vidosurveillance, etc. Pour finir, des
antennes peuvent tre branches la majorit des points daccs et des adaptateurs
WiFi afin de concentrer le signal radio dans certaines directions et raliser une
couverture plus efficace. Ce chapitre doit vous permettre de comprendre le rle et
les fonctions de chaque type de matriel, afin de vous aider bien le choisir et peut
tre vous donner des ides sur quelques applications inattendues du WiFi.
Chapitre 4. Le matriel
110
4.1.2 La connectique
Des formats varis
Il existe des adaptateurs WiFi pour tous les gots : certains sont prsents sous la
forme de cartes externes pouvant tre branches un port de type PCMCIA ou
un port Compact Flash. Certains adaptateurs sont des cartes destines tre
branches lintrieur dun ordinateur, sur un port PCI, Mini-PCI ou ISA. Dautres
se prsentent sous la forme de botiers ou btonnets (dongle ou stick) connects
au port USB ou FireWire dun ordinateur fixe ou portable. De petits AP ponts
(voir paragraphes suivants), peuvent servir dadaptateur WiFi brancher sur le port
Ethernet dun ordinateur. Enfin, certains adaptateurs sont conus spcialement pour
tre embarqus dans des ordinateurs portables qui intgrent la technologie WiFi
(par exemple les ordinateurs portables Centrino dIntel), dans des modules spcifiques
certains PDA, dans des AP, ou encore dans des machines industrielles, rsistant la
temprature, aux chocs, lhumidit ou encore aux interfrences.
111
Le firmware
Les fonctions de ladaptateur qui doivent tre trs performantes sont en gnral
mises en uvre par des composants lectroniques spcialiss. Cest souvent le cas,
par exemple, de lalgorithme de cryptage RC4 sur lequel repose le WEP (voir le
chapitre 7).
Cependant, de nombreuses fonctions 802.11 sont ralises par un
micro-programme (firmware) situ dans ladaptateur. Lavantage du firmware est quil
peut en gnral tre mis jour, ce qui permet de rajouter de nouvelles fonctions sans
changer de matriel. Par exemple, de nombreux adaptateurs peuvent tre simplement
mis jour de cette faon pour pouvoir grer le Wireless Protected Access (WPA).
Avant de choisir un adaptateur, renseignez-vous sur ses capacits dvolution :
possde-t-il un firmware pouvant tre mis jour ? Le constructeur fournit-il frquemment des mises jour ? Quelles fonctions pourront tre mises jour ?
Chapitre 4. Le matriel
112
4.1.3 Le pilote
Une interface pour le systme dexploitation
part pour les adaptateurs WiFi Ethernet, il est en gnral ncessaire dinstaller sur
son ordinateur le pilote ( driver) de ladaptateur WiFi. Le pilote permet au systme
dexploitation de savoir comment communiquer avec ladaptateur. Il est en gnral
fourni sur un CD-ROM accompagnant le produit. Avant lachat, assurez-vous que les
systmes dexploitation pour lesquels le pilote a t conu vous conviennent. Il existe
ainsi des adaptateurs WiFi qui ne possdent des pilotes que pour certaines versions
de Windows, ou pour Windows et Linux et plus rarement pour Windows, Linux et
Mac OS.
Nhsitez pas consulter lInternet pour essayer davoir des tmoignages de clients
sur la qualit du produit, sa stabilit et sa facilit dinstallation. Cest dailleurs un
conseil gnral pour tout produit !
1. Les mises jour Q815485 et KB826942 sont inclues dans le Service Pack 2 de Windows XP.
113
Chapitre 4. Le matriel
114
sans fil sans mme avoir sy connecter. Quelques adaptateurs sont mme fournis avec
de vritables outils danalyse de rseau sans fil.
AP un autre. Pour cela, les AP concerns doivent communiquer entre eux via
le systme de distribution (DS) qui est le plus souvent un rseau filaire ;
le filtrage des priphriques autoriss, en fonction de leur adresse MAC ;
le cryptage des donnes changes et lauthentification des priphriques grce
aux protocoles WEP, WPA ou WPA2.
En plus de ces fonctions WiFi, toutes sortes de services de plus haut niveau peuvent
tre rajouts. Ce sont ces fonctions qui dterminent dans quelle catgorie un point
daccs se situe : pont, routeur, contrleur daccs, etc.
115
Lapprentissage automatique
La grande majorit des ponts est capable doptimiser les changes de paquets de la
faon suivante : pour chaque paquet qui transite par lui, le pont regarde sur quel
port ce paquet est arriv (WLAN ou LAN) ainsi que ladresse MAC du priphrique
qui la mis. Il apprend donc automatiquement de quel ct se trouve chaque
priphrique du rseau, au fur et une mesure que les paquets passent : ct filaire ou
ct sans fil. De cette faon, lorsquun AP pont reoit un paquet du ct LAN, il ne le
relaie du ct WLAN que si ce paquet a pour destinataire une station situe du ct
WLAN. Inversement, sil reoit un paquet ct WLAN, il ne le relaie du ct LAN
que si ncessaire. Ceci permet dviter de retransmettre le trafic inutilement.
La plupart des ponts apprennent automatiquement de quel ct se situe chaque
station, afin de ne pas transfrer de paquets inutilement.
Chapitre 4. Le matriel
116
Broadcast et multicast
Il est important de comprendre quun pont se situe au niveau de la couche 2 du
modle OSI. Il ne dcoupe pas un rseau en deux sous-rseaux distincts (subnets) mais
permet de relier deux portions dun mme rseau. En particulier, si une requte de
type broadcast (adresse tout le monde) est mise par une station, alors toutes les
stations du rseau la recevront, des deux cts du pont. Au niveau de la couche 3,
toutes les stations seront dans le mme sous-rseau IP. Le pont est donc compltement
transparent pour les couches rseau suprieures 2.
Le cas du trafic multicast est un peu plus compliqu puisque le destinataire dun
paquet est un groupe et non une seule station. La faon la plus simple de grer le trafic
multicast, pour un pont, est de le traiter exactement comme du trafic broadcast. Pour
cela, rien de plus simple, il suffit de le retransmettre sur chaque port. Le trafic multicast
peut tre dtect facilement car le premier octet de ladresse MAC de destination est
impair (le dernier bit du premier octet est gal 1). Malheureusement, ce nest pas
la faon la plus optimale de grer la bande passante : si personne nest intress par
le trafic multicast en question sur une branche du rseau, quoi bon le retransmettre
vers cette branche ? Les ponts les plus sophistiqus ont un mcanisme dapprentissage
intelligent pour le multicast : ils dtectent sur quels ports se trouvent les membres
dun groupe donn et ne retransmettent le trafic multicast de ce groupe que vers ces
ports. Pour cela, la principale mthode consiste dtecter les stations qui demandent
117
Figure 4.7 Point daccs configur pour isoler les stations sans fil.
1. Les rptiteurs WiFi les plus simples sont des antennes actives qui amplifient le signal lectromagntique quelles reoivent. Elles ne sont que trs rarement utilises car les AP rptiteurs ne sont
finalement pas tellement plus chers et offrent bien plus de fonctionnalits.
Chapitre 4. Le matriel
118
119
Le WDS
Depuis dbut 2003, des produits sappuyant sur un mcanisme (plus ou moins) dfini
dans le standard 802.11, appel le Wireless Distribution System (WDS)1 , ont commenc
voir le jour. Non seulement le WDS est beaucoup plus propre que les solutions
propritaires, mais linteroprabilit entre les produits WDS de diffrents constructeurs
est souvent possible. La meilleure garantie que des AP rptiteurs fonctionnent bien
ensemble reste toutefois quils proviennent du mme constructeur.
Chapitre 4. Le matriel
120
Linfrastructure maille
Afin dobtenir une architecture rellement maille, cest--dire redondante, il est
ncessaire de rajouter des mcanismes qui permettent dviter les boucles. Cest la
raison pour laquelle certains produits WDS utilisent le Spanning Tree Protocol (STP)
dfini par lIEEE au sein du standard 802.1D.
Le protocole STP est conu pour les commutateurs du rseau (WiFi ou non). En
deux mots, il fonctionne de la faon suivante :
Au dmarrage puis intervalles rguliers, les commutateurs mettent des
paquets STP en multicast sur tout le rseau, afin de dtecter les autres commutateurs. La topologie du rseau est ainsi automatiquement dtermine par
lensemble des commutateurs.
Ils se coordonnent alors pour lire un commutateur racine .
Chaque commutateur choisit ensuite le meilleur port pour communiquer avec
le commutateur racine, de telle sorte que larborescence de commutateurs ne
contienne aucune boucle et soit aussi efficace que possible.
Par la suite, tant que la topologie du rseau ne change pas, le trafic ne passe que
par les ports slectionns.
Si un commutateur devient indisponible, le processus recommence afin de
reconstruire une nouvelle arborescence.
Tout se passe de faon compltement transparente pour les stations du rseau.
121
etc., de faon vritablement optimiser le trajet des paquets tout en vitant les
boucles. De cette faon, non seulement la redondance du maillage permet de rsister
la disparition brutale dun lien (ce que permet le STP), mais la bande passante
est en outre rellement optimise. Malheureusement, puisquil sagit de solutions
propritaires pour linstant, tous les AP devront provenir du mme constructeur.
Chapitre 4. Le matriel
122
ne pourra aller que sur Internet, etc. Ce filtrage et routage variable se fait au niveau IP,
donc dans la couche 3 du modle OSI.
Malheureusement, cette solution manque de souplesse et comporte des failles de
scurit. Pour illustrer ceci, reprenons lexemple de lentreprise qui souhaite un service
pour ses employs et un service pour ses visiteurs. Lentreprise aura grand intrt
protger laccs au rseau dentreprise avec la scurit WPA. Mais si elle le fait, les
visiteurs auront du mal se connecter, car la configuration du poste client pour le WPA
nest pas toujours triviale. La plupart des visiteurs auront du mal se connecter. Mais
si lon dsactive le WPA pour faciliter la vie des visiteurs, on compromet la scurit
du rseau dentreprise. Bref, tous les services ont la mme configuration MAC : SSID,
scurit, qualit de service, etc.
Multi-SSID
Depuis 2001, de plus en plus dAP sont capables de grer plusieurs SSID. Une fois
nest pas coutume, les produits diffrent dans la faon de mettre en uvre cette
fonctionnalit, car elle nest pas clairement dfinie dans le standard 802.11. Voici les
diffrentes possibilits :
Plusieurs SSID peuvent tre envoys dans chaque trame balise (beacon frames)
mise par lAP. Ceci nest pas interdit par le standard mais certains adaptateurs WiFi ne le grent pas correctement, ce qui peut poser des problmes
dinteroprabilit. Cest donc une solution viter.
Un seul SSID peut tre diffus dans les trames balises. En revanche, lAP rpond
aux requtes de sondage ( probe requests) pour tous les SSID quil gre. Ceci
permet davoir un SSID visible et plusieurs SSID masqus. Cette solution est
plus interoprable que la prcdente mais est limite un seul SSID visible.
En outre, ce type de produit utilise en gnral le mme BSSID pour tous les
SSID, ce qui nest pas toujours bien gr par les adaptateurs WiFi : ils ont
limpression que lAP change sans arrt de SSID.
LAP peut mettre indpendamment des trames balise pour chaque SSID. Il y
a alors deux options : certains AP utilisent le mme BSSID pour chaque SSID
( viter). En revanche, les meilleurs AP prsentent un BSSID diffrent pour
chaque SSID, ce qui donne rellement une illusion parfaite aux stations : tout se
passe comme si plusieurs AP diffrents taient prsents (on parle dAP virtuels).
Dautre part, chaque service peut tre diffrenci (avoir sa propre mthode
dauthentification, sa propre scurit, sa propre QoS...) : cette solution est donc
nettement prfrable aux prcdentes.
Pour finir, lAP peut avoir plusieurs adaptateurs WiFi (ou plusieurs circuits
radio), ce qui permet doffrir plusieurs SSID, ventuellement mme sur des
canaux diffrents ! Cela revient techniquement avoir plusieurs AP, mais on
conomise sur le matriel, le dploiement et la gestion.
Les AP multi-SSID permettent dobtenir plusieurs rseaux sans fil distincts en ne
dployant quune seule infrastructure.
123
Les paramtres qui peuvent tre configurs pour chaque SSID dpendent du produit
choisi. Certains AP permettent de choisir le nombre maximum de stations qui peuvent
sassocier en mme temps un SSID, ou bien de choisir la radio utilise (802.11a ou
802.11g par exemple) pour les AP radios multiples. Certains permettent de modifier
quelques aspects de la qualit de service (QoS) comme le dbit maximal autoris
sur chaque rseau sans fil, ou enfin de changer le modle de scurit employ (WEP,
802.1x, WPA...). Certains AP sont munis de plusieurs ports LAN et il est possible
dassocier un port LAN diffrent chaque SSID. De cette faon, lutilisateur peut
se connecter des rseaux filaires distincts selon le SSID slectionn. Toutefois, la
solution la plus frquemment mise en uvre pour grer laccs des rseaux filaires
multiples consiste associer un SSID un LAN virtuel (VLAN), comme nous allons
le voir maintenant.
VLAN
Le concept de LAN virtuel est dfini par lIEEE dans la norme 802.1Q. Le but est de
permettre plusieurs rseaux indpendants dtre dploys sur une mme infrastructure
physique. Pour cela, un nouveau champ est rajout dans chaque paquet : lidentifiant
du VLAN (ou VLAN ID). Il sagit dun simple nombre cod sur 12 bits, ce qui
permet de distinguer les paquets appartenant diffrents rseaux virtuels (jusqu
212 = 4 096 rseaux distincts) sur une mme infrastructure.
Les commutateurs jouent un rle central dans cette architecture VLAN multiples : ce sont eux qui acheminent chaque paquet en fonction du VLAN auquel il
appartient. Ils doivent galement savoir grer les paquets classiques qui ne sont
pas associs un VLAN, soit en les rejetant, soit en les laissant passer tels quels, soit
en les laissant passer aprs leur avoir rajout un VLAN ID particulier : on dit alors
que le commutateur marque ( tag) les paquets. Enfin, ils doivent liminer le VLAN ID
de tous les paquets avant de les retransmettre vers des portions du rseau ne grant
pas le 802.1Q ; en particulier, vers les stations, car la plupart des adaptateurs rseau
des stations ne grent pas le 802.1Q.
Le choix du VLAN auquel un paquet non marqu est associ dpend en gnral
simplement du port sur lequel il est reu. Par exemple, un commutateur Ethernet
16 ports pourrait tre configur pour que les paquets non marqus arrivant sur les
ports 1 4 soient associs au VLAN n 1. Les ports 5 8 pourraient tre associs au
VLAN n 2. Sur les ports 9 16, le commutateur pourrait simplement liminer les
paquets non marqus. Certains commutateurs utilisent dautres rgles pour marquer
les paquets : ladresse MAC de la station source du paquet, ou encore le type de
protocole de couche 3 (ou suprieur) qui est vhicul par le paquet. Dans le cas dun
AP multi-SSID, les paquets peuvent galement tre marqus en fonction du SSID
slectionn.
Dans des bureaux occups par des entreprises diffrentes, les VLAN sont particulirement intressants : toutes les stations sont relies une mme infrastructure rseau
par lintermdiaire de commutateurs 802.1Q et ces commutateurs sont configurs pour
marquer les paquets avec un VLAN diffrent pour chaque entreprise. De cette faon,
une simple reconfiguration des commutateurs est suffisante lors des ramnagements
Chapitre 4. Le matriel
124
et que les ventuels problmes sur un VLAN ne se rpercutent pas sur les autres
VLAN ;
optimisation de la bande passante car le trafic broadcast nest pas diffus entre
VLAN diffrents.
1. Attention : ceci peut varier dun produit lautre. Certains commutateurs ragissent mal lorsquils
saturent : ils laissent tout coup passer tous les paquets dans tous les VLAN ! Un pirate peut
donc saturer volontairement le commutateur avec du trafic inutile, jusqu ce que le commutateur
craque . Il a ensuite accs aux autres VLAN. Toutefois, les commutateurs VLAN rcents sont en
gnral trs srs.
125
4.2.4 Le routeur
Les AP que nous avons dcrits jusqu prsent offrent une fonction dAP ainsi que des
services supplmentaires au niveau de la couche 2 du modle OSI : pont, commutateur,
STP, VLAN, etc. Il existe galement des produits qui proposent, en supplment, des
services au niveau de couches suprieures et notamment la couche rseau (niveau 3
dans le modle OSI).
Cest ce niveau que lon trouve les routeurs WiFi. Un routeur est un quipement
rseau qui se situe linterface entre au moins deux rseaux ou sous-rseaux (subnets)
distincts et qui se charge dacheminer (de router ) les paquets entre ces rseaux.
On parle galement de passerelle (gateway). La plupart des routeurs permettent de
relier deux LAN, ou bien un LAN et un WAN (en gnral Internet). En entreprise,
les routeurs reposent presque toujours sur le protocole IP, mais il existe des routeurs
pour dautres protocoles de la couche 3, par exemple : IPX, CLNP (ISO 8473), etc.
Quil repose sur le WiFi, lEthernet ou sur tout autre protocole de niveau 2, un
routeur IP fonctionne toujours de la mme manire : cest le principe mme de la
sparation des protocoles en couches spares. Il ne serait donc pas opportun de nous
livrer ici une description dtaille des rseaux IP, ou du fonctionnement dun routeur.
Nous supposerons donc que vous connaissez les rseaux IP et en particulier ladressage
IP, les rgles de routage, le DHCP, le DNS, le NAT, lARP, lICMP, le TCP, lUDP, le
GRE, etc. Si vous avez besoin dune piqre de rappel , nhsitez pas consulter sur
le site www.livrewifi.com lannexe A qui est prvue cet effet.
Un routeur WiFi est un produit 2 en 1 : un AP et un routeur runis dans un
mme botier. Il serait fonctionnellement quivalent de connecter un AP pont
un routeur IP classique. Linterface de configuration du routeur WiFi permet donc
de paramtrer la fois les fonctions classiques et plus ou moins perfectionnes dun
routeur (tables de routage, serveur DHCP, NAT statique, RIP...) et le port WLAN
(SSID, canal, cls WEP...), comme pour tout AP.
Presque tous les produits de micro-informatique peuvent tre regroups en un seul
produit, par soucis de simplicit ou pour rduire les cots. Par exemple, vous avez sans
doute dj vu des imprimante/scanneur qui semblent bien pratiques. Pourtant, part
chez les particuliers ou dans de petites socits, on trouve dun ct les imprimantes
et de lautre les scanneurs. De la mme manire, les grosses socits prfrent souvent
acheter dune part un pare-feu et dautre part un routeur plutt quun routeur/pare-feu.
De mme, la plupart des socits dune certaine taille prfrent acheter les AP et les
routeurs indpendamment. Il y a deux raisons principales cela :
1. Un routeur WiFi est souvent (quoique pas toujours) un routeur de qualit
moyenne coupl un AP de qualit moyenne. Pour trouver un excellent
routeur ou un excellent AP, on a en gnral plus de choix dans les produits
autonomes : puisquils sont spcialiss dans une seule tche, ils sont souvent de
meilleure qualit et plus paramtrables.
2. On doit souvent dployer beaucoup plus dAP que de routeurs : un rapport de
10 20 AP pour un routeur nest pas rare. Lintrt dintgrer une fonction
dAP dans les routeurs est donc limit.
Chapitre 4. Le matriel
126
Toutefois, dans certains contextes, les routeurs WiFi peuvent tre intressants, car
il y a moins de matriel acheter, installer, configurer et superviser. Les routeurs
WiFi sont particulirement apprcis dans les contextes suivants :
rseau sans fil familial : les box des oprateurs ADSL en sont les parfaits
exemple ;
rseau sans fil dune PME, dans le cas o un seul AP est suffisant pour couvrir
lensemble des bureaux ;
petits hotspots (voir paragraphes suivants, le hotspot-in-a-box).
127
facturation, qui peut tre prpaye (avec des coupons de connexion) ou post-paye
(par un abonnement). Toutes les transactions doivent tre aussi scurises que possible.
Les contrleurs daccs pour hotspots ont t conus afin de rpondre ce cahier
des charges. Il sagit souvent de serveurs ddis cette unique tche, placs entre les
AP et les services (en gnral laccs Internet) : le contrleur daccs est un point
de passage obligatoire, comme le page lentre dune autoroute. Il a en gnral des
fonctions de routeur et de pare-feu (firewall), ainsi que des fonctions didentification
et de contrle des connexions des utilisateurs.
Un contrleur daccs peut galement tre intgr dans un AP. Un tel AP + contrleur daccs est souvent appel un hotspot-in-a-box (hotspot-dans-une-bote) car un
seul botier permet alors de mettre en uvre un hotspot : il permet dconomiser un
ordinateur ddi en offrant la fois la fonction dAP et la fonction de contrleur
daccs (fig. 4.12).
Chapitre 4. Le matriel
128
captif . Cela signifie quune fois associ au rseau WiFi, le client na plus qu dmarrer
son navigateur Internet pour parvenir la page daccueil du WISP. Le visiteur sans
abonnement peut sinscrire ou saisir lidentifiant dun coupon de connexion prpay
quil aurait achet sur site et labonn qui possde dj un compte crdit peut
simplement sidentifier au travers dun formulaire sur une page web. Le contrleur
daccs peut alors vrifier les identifiants du client (ventuellement en consultant un
serveur didentification). Aprs cette tape, le contrleur daccs laisse passer le client
vers les services auxquels il a droit.
La solution LDAP
LDAP est un protocole trs rpandu qui permet de consulter des annuaires (un
carnet dadresse, par exemple). Il dfinit la fois comment un annuaire doit tre
structur, le type dinformation quil doit contenir, comment les entres quil contient
doivent tre nommes, comment on peut accder ces informations, le protocole
pour le faire (se connecter un annuaire, se dconnecter, rechercher, comparer, crer,
effacer ou modifier des entres), comment scuriser les changes et mme comment
les informations peuvent tre rparties entre plusieurs serveurs. Un annuaire est
comparable une base de donnes, mais il est optimis pour tre consult beaucoup
plus souvent quil nest modifi et il ne requiert pas de cohrence absolue. Par exemple,
sur un annuaire distribu sur plusieurs serveurs, si une entre est modifie sur un serveur,
il nest pas garanti que les autres serveurs seront synchroniss immdiatement.
Un annuaire LDAP est bien adapt pour stocker des identifiants et leur mot
de passe et nombreuses sont les socits qui enregistrent dans un annuaire LDAP
129
ces informations pour tous leurs employs. Des logiciels de-mails tels que Microsoft
Outlook sont capables de consulter un annuaire LDAP pour obtenir ladresse e-mail et
toute autre information sur un contact. Pour un contrleur daccs, un serveur LDAP
peut servir centraliser les identifiants et mots de passe des utilisateurs. Mais on a
souvent besoin de bien plus dinformations : la dure maximale de la connexion de
lutilisateur, les services auxquels il a droit, etc. En outre, on peut vouloir stocker des
informations telles que la dure de la session, le volume des donnes tlcharges ou
envoyes, etc. Pour cela, le service LDAP est insuffisant et la solution RADIUS est
bien plus adapte.
La solution RADIUS
Le protocole RADIUS a t conu pour permettre un quipement contrlant laccs
un rseau, quon appelle un Network Access Server (NAS), de pouvoir communiquer
avec un serveur centralis, le serveur RADIUS , afin de :
vrifier lidentit dun utilisateur qui cherche se connecter ;
Dans notre cas le NAS correspond simplement au contrleur daccs, inclus dans
le hotspot-in-a-box. Nous approfondirons le protocole RADIUS au chapitre 10.
Transparence SMTP
Afin de rendre la connexion un hotspot aussi simple que possible, les contrleurs
daccs WiFi peuvent mettre en uvre quelques fonctions avances qui permettent
aux utilisateurs de profiter de leur connexion sans avoir reconfigurer leur ordinateur
portable ou PDA. La premire de ces fonctions est la transparence SMTP.
Voyons au travers dun exemple les problmes que lon peut rencontrer sur un
hotspot qui ne met pas en uvre de transparence SMTP : Sophie possde, chez elle,
un abonnement un FAI donn (par exemple, Wanadoo). Elle a donc configur son
logiciel de-mail pour utiliser le serveur SMTP de son FAI : smtp.wanadoo.fr. Un jour,
elle se connecte un hotspot avec son ordinateur portable. Ce hotspot est mis en uvre
par un autre FAI, mettons Oreka, donc Sophie doit crer un compte chez Oreka et
sidentifier, par exemple en saisissant son numro de tlphone portable auquel un
SMS1 est envoy, contenant un code dactivation. Lorsque Sophie essaie denvoyer
un e-mail avec son logiciel habituel, celui-ci tente dtablir une connexion avec le
1. Un Short Message Service, ou texto , est un bref message envoy une personne sur son
tlphone portable. Une autre mthode didentification du client consiste lui demander son
adresse e-mail et envoyer un code dactivation du compte cette adresse. Certains FAI suivent
une procdure plus longue mais plus sre pour identifier leur client (envoyer une lettre avec son
adresse de courrier physique ).
Chapitre 4. Le matriel
130
1. Pour viter que des inconnus puissent envoyer des milliers de messages non sollicits (le spam).
131
Transparence proxy
Dans de nombreuses socits, les navigateurs Internet des employs sont configurs
pour accder au Web en passant par un serveur proxy1 . Celui-ci a pour but doptimiser laccs Internet en stockant localement les pages web les plus frquemment
visites. Voyons pourquoi cela pose un problme dans les hotspots.
Admettons que Patrice travaille dans une socit qui a mis en uvre un serveur
proxy ladresse 10.0.0.120. Le navigateur web de Patrice doit tre configur pour
utiliser ce serveur proxy. Si Patrice se connecte un hotspot et quil dmarre son
navigateur Internet, celui-ci cherchera le serveur proxy mais ne pourra pas le trouver,
car le serveur proxy est local lentreprise de Patrice. Pour rsoudre le problme,
Patrice peut aller dans ses paramtres Internet et supprimer la configuration du proxy.
Mais il naura peut-tre pas les droits pour le faire car certaines socits figent la
configuration rseau des postes de leurs employs. Dautre part, mme sil peut le faire,
il faudra quil y pense, ce sera pnible et il devra refaire le changement au retour dans
sa socit.
Les contrleurs daccs qui mettent en uvre la transparence proxy interceptent
tout le trafic adress un serveur proxy et agissent comme sils taient eux-mmes le
proxy. De cette faon le client peut se connecter sans difficult et sans reconfigurer
son poste.
Introduction au 802.1x
Comme nous lavons vu, dans le contrleur daccs dun hotspot, le souci de simplicit
absolue de configuration a pouss les WISP mettre en uvre un mcanisme qui
ne suppose aucune installation de logiciel ou configuration sur le poste du client :
linterface de connexion du client est son navigateur Internet, le protocole de
communication entre le client et le NAS est HTTPS (ou HTTP, si le hotspot nest
pas du tout scuris !). Linconvnient de cette mthode est quelle se droule au
niveau dune couche rseau bien suprieure au WiFi. La consquence est que lon doit
autoriser tous les clients sassocier au niveau WiFi, leur attribuer une adresse IP et
leur donner accs une partie du rseau (au moins jusquau contrleur daccs) avant
de dcider sils ont le droit dutiliser le service ou non ! Ce nest pas trs logique et
cela laisse plus de marge aux pirates pour tester les limites de scurit du systme. En
particulier, si les AP ninterdisent pas aux clients de se voir entre eux, un pirate peut
dj attaquer les autres clients connects sans fil ! En outre, linterface client nest pas
standardise et chaque WISP peut proposer sa mthode de connexion.
Il existe une mthode de contrle daccs standard plus flexible que la mthode
HTTPS : il sagit du protocole 802.1x que nous approfondirons dans le chapitre 8. Le
802.1x est mis en uvre par chaque point daccs pour identifier les clients : chaque
AP sert alors de NAS. Le protocole 802.1x se droule directement sur la couche MAC,
de sorte que tout le processus peut avoir lieu juste aprs lassociation (qui est libre),
mais avant que le client ne reoive une adresse IP ou puisse accder au rseau.
1. by proxy signifie par procuration . Un proxy est un intermdiaire.
Chapitre 4. Le matriel
132
un deuxime SSID scuris par WPA, pour les clients soucieux de scurit.
Couche physique
Comme pour tous les produits WiFi, le premier critre de choix dun AP est la
norme utilise : 802.11a, 802.11b, 802.11g ou encore des AP mixtes (802.11a/g) voire
propritaires (802.11b+...).
133
Couche MAC
Soyez attentif aux fonctionnalits de la couche 2. Voici quelques questions se poser :
Quel niveau de scurit est gr ? Le WPA ou le WPA2, ce qui serait idal ?
Est-il possible disoler les stations associes pour quelles ne se voient pas ?
Chapitre 4. Le matriel
134
Administration et supervision
Pour finir, linterface dadministration de lAP est-elle ergonomique et complte ?
Tous les paramtres sont-ils faciles configurer ? Est-ce une interface web ou Telnet ou
autre ? Est-il possible de mettre jour le firmware de lAP ? Gratuitement ? Les mises
jour sont-elles frquentes et de qualit ? Dans quelle mesure lAP sera-t-il capable
dtre mis jour pour suivre les volutions des normes de scurit et de QoS ? LAP
peut-il tlcharger sa configuration tout seul ? Offre-t-il une interface de supervision ?
Par SNMP ?
135
Le format de lAP est tout aussi important : lergonomie, la rsistance aux chocs,
la temprature, lhumidit sont autant de critres prendre en compte, selon le
contexte du dploiement. Dans un lieu peu surveill, faites attention choisir un
AP que vous pourrez visser un mur, voire dans un faux plafond. Certains AP ont
une antenne ou un adaptateur WiFi dtachable, ce qui est trs pratique lorsque lon
souhaite mettre jour son matriel ou changer la couverture radio, mais il faut faire
attention ce que ces composants ne soient pas vols !
La consommation lectrique peut tre un critre non ngligeable lorsque vous
dployez plusieurs dizaines dAP. Enfin, assurez-vous que les composants ne se
dconnectent pas trop facilement tout seuls, en particulier lalimentation lectrique,
ladaptateur WiFi et lantenne.
Chapitre 4. Le matriel
136
Imprimantes
Les imprimantes WiFi sont pratiques dans un contexte familial ou dans une PME,
surtout sil ny a pas de rseau filaire ! Toutefois, dans les entreprises plus grandes, ces
priphriques sont souvent assez volumineux et sont rarement amens tre dplacs.
Du coup, si la socit dispose dun rseau filaire, lintrt de connecter les imprimantes
en WiFi est trs limit et consomme de la bande passante sur le rseau sans fil pour
rien. En entreprise, moins que le contexte nimpose le WiFi, on prfrera en gnral
les imprimantes classiques .
On peut galement connecter une imprimante classique un serveur dimpression
WiFi : il sagit dun petit botier WiFi dot dun connecteur dimprimante. Plusieurs
postes peuvent ainsi utiliser une mme imprimante classique au travers du WiFi, mme
si cette imprimante na pas t conue pour tre utilise en rseau. nouveau, ces
produits ne sont rellement utiles que chez soi, en PME, ou bien lorsque limprimante
ne peut pas physiquement tre branche au rseau filaire.
Vidoprojecteurs
Les vidoprojecteurs WiFi sont particulirement pratiques : ils permettent de raliser
des prsentations sans avoir connecter son ordinateur portable avec un cble au
vidoprojecteur. Les prsentations peuvent tre plus vivantes et interactives car
lanimateur peut se dplacer avec son ordinateur portable pendant la prsentation,
au gr des discussions. Ils permettent galement plusieurs personnes de faire des
prsentations successives ou mme simultanes. Malheureusement, ils supposent
linstallation dun logiciel sur le poste du client. En outre, ils sont assez gourmands en
bande passante et ne permettent pas de projeter des animations de faon trs fluide
(telles quun DVD par exemple).
nouveau, comme pour les imprimantes, il existe galement des botiers qui se
connectent au port dentre standard (VGA) dun vidoprojecteur quelconque.
Ceux-ci ont lintrt de vous permettre de conserver votre vidoprojecteur actuel ou
bien den choisir un strictement pour ses qualits dimage et non pour sa connectivit.
137
Camras
Les camras de surveillance connectes en WiFi sont pratiques dployer et sont
parmi les priphriques WiFi les plus apprcis. Lusage de la bande passante peut tre
important, selon la qualit de limage et la frquence des prises de vue : il faut faire
attention ce que cela ne perturbe pas les autres utilisateurs du rseau sans fil, sil y en
a. En outre, ces camras peuvent tre gnes par des interfrences (ventuellement
volontaires), ce qui diminue le niveau de scurit quelles offrent. Certaines camras
WiFi peuvent tre relies un systme de scurit tiers (dtection des mouvements,
variations magntiques, infrarouges...) et ne sactiver quen cas dintrusion. Certains
produits offrent la possibilit denvoyer un e-mail pour prvenir le propritaire en cas
dintrusion.
Multimdia
Pour finir, il existe de nombreux produits multimdias reposant sur le WiFi : des
chanes Hi-Fi quipes dun adaptateur WiFi et capables de jouer des MP3 envoys
par votre ordinateur, des adaptateurs audio connecter une chane Hi-Fi classique,
des crans de tlvision pouvant recevoir un flux vido envoy par votre ordinateur
ou encore une fois des adaptateurs vido WiFi connecter votre cran. Lintrt
de ces produits pour une entreprise semble limit, sauf peut-tre pour orner la salle
dattente, mais ils ont un certain succs chez les particuliers.
Les photos de vacances, les vidos de famille et tous ces souvenirs que lon rangeait
autrefois dans une vieille bote chaussure seront de plus en plus dmatrialiss :
stocks dans notre ordinateur, nos souvenirs seront transfrs vers notre cran de
tlvision ou notre chane Hi-Fi grce aux technologies sans fil telles que le WiFi.
Lordinateur devient notre bote chaussure digitale (digital shoe box).
Chapitre 4. Le matriel
138
Par ailleurs, certains AP intgrent des fonctions danalyse, permettant par exemple
de dtecter les AP voisins ou de mesurer les interfrences. Ces analyses peuvent
ensuite tre consultes via linterface dadministration de lAP (une interface web, le
plus souvent) ou via une interface de supervision (en gnral sur SNMP).
Pour finir, certains de ces AP sont compltement ddis la tche danalyse :
cest le cas par exemple du Sensor dAirmagnet dont la seule fonction est danalyser
le rseau sans fil proximit de lui, passivement (en coutant les ondes radio) ou
activement (en essayant de se connecter aux AP voisins, par exemple). Lintrt de ce
modle est que lon peut installer une sonde pour tous les quatre six AP normaux ,
puis utiliser un logiciel de supervision centralis pour surveiller le rseau sans fil en
permanence. En cas de problme, par exemple si un rseau sans fil pirate est install,
alors une alarme, telle quun e-mail ou un SMS, peut tre envoye automatiquement.
Simples dtecteurs
Les dtecteurs WiFi sont souvent bon march et de petite taille (fig. 4.17), parfois
destins tre galement utiliss comme porte-cls, ils permettent de savoir immdiatement que lon arrive proximit dun rseau WiFi, quil soit libre daccs ou
non.
En gnral, il suffit de pointer le dtecteur dans une direction et dappuyer sur
un bouton pour dtecter les rseaux prsents : selon la puissance du signal reu, un
nombre plus ou moins important de lumires sallument.
Les dtecteurs permettent de ne pas perdre de temps allumer son ordinateur
portable pour se rendre compte quil ny a pas de rseau sans fil disponible. Grce au
mcanisme de pointage, ils peuvent permettre de trouver trs simplement la position
des AP les plus proches.
139
Outils de localisation
Les outils de localisation par le WiFi fonctionnent en gnral par triangulation : un
logiciel install sur le poste mobile WiFi (ordinateur portable ou PDA) dtecte les AP
situs proximit et en fonction de la puissance du signal reu de chacun deux, il en
dduit la position de lutilisateur. Cela suppose un talonnage initial : par exemple,
lutilisateur fournit un plan du site au logiciel et lui indique o se trouvent les AP
sur ce plan. Cet talonnage initial permet par la suite au logiciel, pour la plupart
des produits, de positionner lutilisateur avec une prcision denviron deux mtres.
Ce type de logiciel est pratique pour des audits de site, des inventaires sans fil et de
nombreuses autres applications mobiles.
Plutt que dimposer linstallation dun logiciel sur le poste mobile, il existe des
AP ddis la localisation comme lAeroScout de BlueSoft. Chaque station WiFi peut
alors tre localise sans quun logiciel particulier ait besoin dy tre install. Un logiciel
Chapitre 4. Le matriel
140
install sur un serveur permet de savoir tout instant o se trouvent les stations WiFi !
Ces AP de localisation peuvent mettre en uvre des techniques de localisation plus
prcises, en supplment de la triangulation, par exemple en mesurant le dcalage dans
le temps de la rception du signal radio entre deux antennes attaches lAP.
En outre, de petits botiers peuvent tre transports par des personnes (le personnel
de scurit dans une entreprise, des enfants dans un parc dattraction, les patients dun
hpital...) ou installs sur des objets mobiles (vhicules dans un parking, caddies dans
un supermarch, quipement mdical dans un hpital...). Ces outils de localisation
peuvent servir nautoriser laccs une salle ou une machine qu condition que son
responsable soit proximit, par exemple. Dautres technologies sans fil sont parfois
mieux adaptes que le WiFi pour cette fonction (voir le chapitre 1).
141
comme SIP ou le H.323, mais il faut en gnral installer un serveur de VoIP prvu
cet effet. Le H.323 permet mme denvisager des vidoconfrences.
Malheureusement, ces tlphones sur WiFi sont encore assez volumineux et leur
autonomie est limite (ceci est toutefois en train de changer). Une autre solution
consiste transformer un PDA ou un ordinateur portable (ou fixe) en tlphone sur
WiFi. Pour cela, il suffit dinstaller un logiciel prvu cet effet, comme Skype, Wifive
ou encore Net2Phone et de brancher un micro et une oreillette. Le rsultat est certes
moins pratique quun vrai tlphone, mais il est bien fonctionnel !
Chapitre 4. Le matriel
142
La directivit
Une antenne peut rayonner de plusieurs faons, ce qui dtermine sa catgorie :
directionnelle, elle concentre le signal dans une direction donne ;
opposes) ;
Le gain
Lorsquon est dans laxe dune antenne directionnelle, on observe un gain de puissance
par rapport un metteur isotrope. Ce gain est mesur en dcibels isotropes, nots
dBi. Plus une antenne passive concentre le signal dans un faisceau troit, plus le gain
143
de lantenne est lev. Il est important de retenir que le gain dune antenne sapplique
autant au signal mis quau signal reu.
Prenons un exemple : si une antenne parvient concentrer sans pertes lensemble
de lnergie de radiation dans un quart de sphre, alors la puissance perue par
un observateur situ dans le faisceau sera multiplie par quatre. Nous avons vu au
chapitre 2 que multiplier la puissance par quatre quivaut rajouter environ 6 dcibels
(cest--dire 10 log(4)). Le gain dune telle antenne serait alors de 6 dBi. Si vous
trouvez une antenne dont le gain est de 20 dBi, vous pouvez faire le calcul inverse
pour avoir une ide de la taille du faisceau obtenu : le faisceau sera concentr dans
1 % de la sphre.
Conclusion : plus une antenne passive offre un gain important, plus le faisceau est
troit.
Le PIRE
La puissance du signal peru par un observateur est plus grande si ce signal est
concentr en direction de lobservateur grce une antenne directionnelle et non
diffus de faon homogne dans lespace. Si lon remplace une antenne directionnelle
par une antenne parfaitement omnidirectionnelle, il faut alors augmenter la puissance
de lmetteur pour que le rcepteur peroive la mme puissance quauparavant. La
puissance de cet metteur omnidirectionnel quivalent est appele la Puissance
isotrope rayonne quivalente (PIRE).
La loi franaise prend en compte le PIRE et non la puissance de lmetteur. Par
exemple, si lon a un metteur 2,4 GHz dune puissance de 30 mW (environ 15 dBm)
reli une antenne de 9 dBi, alors le PIRE est de 15 + 9 = 24 dBm, ce qui est suprieur
la limite de 20 dBm : on est dans lillgalit et on risque une amende ! Ce calcul
nglige toutefois la perte dans les connecteurs et le cble reliant lmetteur lantenne.
Si la perte est gale 4 dB, alors le PIRE est gal 20 dBm et tout va bien1 .
Diagramme de rayonnement
Dans la ralit, les antennes nont jamais un profil de rayonnement aussi simple
quun faisceau homogne. Le cur du faisceau est plus dense que la priphrie. La
limite du faisceau nest pas nette (fig. 4.19). Il y a souvent des lobes de rayonnement
multiples. Ainsi, pour mieux connatre une antenne, on peut consulter son diagramme
de rayonnement. Celui-ci montre avec prcision une projection du rayonnement de
lantenne dans un plan (horizontal ou vertical). Le gain est parfois indiqu avec un
1. Voir le chapitre 11 pour plus de dtails sur la rglementation.
Chapitre 4. Le matriel
144
dgrad de couleur, ou avec des courbes de niveau de gain, ou encore, le plus souvent,
avec une seule courbe qui dlimite la zone pour laquelle le gain est de 3 dBi infrieur
au gain maximal (ou autres selon les diagrammes).
Lorsque ce diagramme nest pas fourni, on peut obtenir une description simplifie
du faisceau :
pour une antenne directionnelle, par langle horizontal et vertical du faisceau ;
pour une antenne omnidirectionnelle, par langle vertical du rayonnement.
La bande passante
La dimension et la structure dune antenne dterminent sa frquence de rsonance,
cest--dire la frquence quelle mettra et quelle captera le mieux. Autour de cette
frquence de rsonance, les frquences voisines seront lgrement attnues en
mission comme en rception. La bande passante de lantenne est la portion du spectre
radio situe autour de cette frquence de rsonance et pour laquelle lattnuation est
infrieure une limite quon sest fixe (en gnral 3 dcibels).
Les antennes pour le WiFi sont donc en gnral spcialement conues pour fonctionner soit 2,4 GHz soit 5 GHz, mais il existe quelques antennes bibandes.
La polarisation
Pour comprendre la polarisation en quelques mots, imaginez une corde tendue entre
deux personnes : si lune des personnes (lmetteur) agite la corde de haut en bas, alors
145
Lantenne fouet
Lantenne fouet est une simple tige mtallique : cest ce type dantennes que lon
trouve sur les voitures. Sa longueur est un facteur simple de la longueur donde (par
exemple le quart de la longueur donde). Elle est omnidirectionnelle, mais le signal est
attnu verticalement. Elle peut ainsi aider mieux couvrir un tage dans un btiment
tout en limitant le dbordement du signal aux tages voisins. On la place en gnral au
centre dune pice, plutt en hauteur (accroche au plafond) pour viter les obstacles.
La plupart des AP sont vendus avec une ou deux petites antennes de ce type, en
gnral dun gain de 2 3 dBi. Il existe galement des antennes omnidirectionnelles
en forme de longues barres de mtal, utilises lextrieur (pour couvrir un village
par exemple), dont le gain peut aller jusqu 12 dBi ! Dune faon gnrale, quel que
soit le type dantenne, plus on souhaite un gain important, plus lantenne doit tre
grande. La polarisation est celle de son axe : si elle est positionne verticalement, la
polarisation est verticale.
Chapitre 4. Le matriel
146
Lantenne patch
Lantenne patch est une plaque de mtal carre, en gnral de 10 20 cm de ct. Elle
est sectorielle, avec un gain situ le plus souvent entre 6 et 15 dBi. Le produit le plus
utilis en entreprise est le patch de 6 dBi avec un faisceau de 60 horizontalement et
30 verticalement.
Le patch ne prend pas beaucoup de place et peut tre fix facilement sur un mur.
Il peut galement tre intgr dans un faux plafond, ce qui limite limpact visuel,
diminue limpact psychologique sur ceux qui craignent les mfaits pour la sant du
WiFi et rduit le risque de vol. On la trouve souvent lextrieur, attache en hauteur
un mt, pour couvrir un secteur important. Sa polarisation est galement axiale.
Les paraboles
Les paraboles sont des antennes directionnelles ayant un gain compris le plus souvent
entre 13 et 24 dBi. Ce sont les mmes types dantennes utilises pour la tlvision par
satellite par exemple. Il existe des variantes grillages, moins coteuses, offrant moins
de prise au vent. Elles ont souvent entre 30 cm et 1 m de diamtre, ce qui les rend
difficiles installer et rgler. Elles servent donc essentiellement tablir des liaisons
de point point entre des btiments distants. Leur polarisation est nouveau axiale.
147
M;
MMCX ;
Chapitre 4. Le matriel
148
deuxime cble Ethernet tout fait classique, il met les donnes reues (courant
faible) ainsi que le courant lectrique (courant fort). larrive, un sparateur
effectue lopration inverse : il reoit en entre le cble Ethernet venant de linjecteur
et il spare llectricit (vers une prise lectrique) et les donnes (vers un cble
Ethernet).
Il existe galement des injecteurs ports multiples : ce sont des commutateurs
classiques mais leurs ports sont compatibles 802.3af. Cela permet dalimenter avec un
seul injecteur plusieurs quipements. Un autre avantage est de pouvoir grer de faon
centralise lalimentation lectrique dquipements distribus dans tout un btiment.
Ceci permet, entre autres, de navoir quun seul onduleur1 pour tous les quipements
relis linjecteur multiple.
Certains quipements, dont des AP, des tlphones sur IP ou encore des camras
de surveillance, intgrent un sparateur 802.3af, ce qui permet de les brancher
directement au cble Ethernet sortant de linjecteur, sans passer par un sparateur
externe.
Malheureusement, lintensit du courant est limite 350 milliampres (mA) par
le 802.3af et la puissance continue maximale que lon peut apporter un quipement
au travers dun cble Ethernet, compte tenu des pertes dans le cble Ethernet, est de
12,95 W. Or, un point daccs consomme en gnral environ 10 W, ce qui signifie
quun port dinjecteur ne peut alimenter quun seul AP : on ne peut en principe pas
chaner deux AP partir dun mme port de linjecteur.
Fonctionnement du PoE
Le 802.3af dfinit deux faons de faire passer le courant fort sur un cble Ethernet :
la premire consiste simplement utiliser lune des paires torsades libres du
cble Ethernet : en effet, sur les quatre paires de cuivres, seules deux sont
utilises par le standard Ethernet ;
1. Un onduleur est un quipement qui fournit une alimentation lectrique de secours pendant
quelques minutes (ou quelques heures selon les produits) pendant une coupure de courant et protge
contre les surtensions (orages...).
149
la seconde utilise les mmes paires pour transporter le courant fort et le courant
4.5.2 Le CPL
Le Courant porteur en ligne (CPL) est une technologie symtrique au PoE : elle
permet de transporter des donnes sur linstallation lectrique dun btiment.
Selon la configuration du site que lon doit couvrir en WiFi, il peut arriver que
le CPL permette dconomiser un cblage Ethernet coteux pour relier plusieurs AP
entre eux. Le dbit maximal offert par le CPL est toutefois limit 14 Mb/s ce qui
est assez faible dans un contexte dentreprise. En outre, comme nous lavons vu, le
CPL nest pas toujours possible, selon linstallation lectrique du btiment et un test
simpose avant dopter pour cette solution technique. Le CPL reste une solution simple
dinterconnexion entre les AP pour un contexte familial ou un petit btiment.
Chapitre 4. Le matriel
150
pour savoir o il sera le plus judicieux de placer une antenne : proche de lmetteur
mais loin de la zone couvrir, ou vice versa.
Rsum
Dans ce chapitre, nous avons prsent cinq catgories principales de matriel WiFi :
les adaptateurs, les points daccs, les priphriques, les antennes et le matriel pour
le dploiement WiFi.
Les adaptateurs mettent en uvre le 802.11 pour permettre un quipement de
communiquer en WiFi. Ils se prsentent sous diverses formes : cartes PCMCIA, PCI
ou encore Compact Flash, bundles ou sticks USB, petits botiers connecter au
port Ethernet, etc. Nous avons parl des firmwares, des pilotes et de limportance de
linterface de lutilisateur.
Les points daccs sont de plusieurs types :
AP pont vers un rseau filaire Un pont est en gnral assez malin pour ne relayer
vers le rseau filaire que le trafic qui doit ltre et vice versa.
AP rptiteur Il peut tre reli sans fil un ou plusieurs autres AP et tendre ainsi
la couverture dun rseau sans fil sans avoir tre reli directement au rseau filaire.
AP routeur Il sagit dun produit deux en un : un AP et un routeur IP classique,
permettant de connecter le rseau sans fil Internet ou bien un autre rseau IP. Il
possde les fonctions habituelles dun routeur, telles quun serveur DHCP, un pare-feu
ou encore le NAT.
Hotspot-in-a-box Cest un AP routeur intgrant un contrleur daccs pour
hotspot. Il peut mettre en uvre des fonctions avances telles que lauthentification
des clients par portail captif en HTTPS (ventuellement en interrogeant un serveur
RADIUS ou LDAP), la transparence SMTP ou proxy, etc.
Nous avons galement abord certaines fonctions avances des AP, telles que la
gestion du protocole STP, la possibilit de mettre en uvre plusieurs SSID, chacun
ayant son propre modle de scurit (ouvert, WEP, WPA...), son propre VLAN
associ, ses propres rgles de QoS, etc.
Les priphriques WiFi que nous avons prsents sont nombreux : les ordinateurs,
Tablet PC, PDA et smartphones, les imprimantes, les vidoprojecteurs, les camras,
le matriel multimdia comme les chanes Hi-Fi WiFi, les analyseurs complets et les
simples dtecteurs de rseaux sans fil, les lecteurs sans fil, les outils de localisation
et enfin les tlphones sur WiFi. Le WiFi permet tout et nimporte quoi de se
connecter sans fil.
Les antennes WiFi peuvent tre actives ou passives, mais on ninstalle que des
antennes passives pour le WiFi, tant donne la lgislation assez restrictive en termes
de puissance dmission. Une antenne doit tre choisie en fonction de sa bande
passante (2,4 GHz, 5 GHz ou compatible avec les deux), sa directivit, son gain,
son diagramme de rayonnement ou sa polarisation. Les formats dantennes sont
nombreux mais le plus utilis en entreprise reste le patch, qui sintgre facilement
151
dans un faux plafond. Une fois lantenne slectionne, il faut encore choisir le bon
connecteur dantenne, adapt dun ct lAP ou ladaptateur WiFi et de lautre
lantenne.
Pour finir, nous avons prsent quelques produits utiles pour le dploiement WiFi : les
injecteurs et sparateurs PoE, qui permettent de faire passer du courant lectrique sur
des cbles Ethernet ; les adaptateurs CPL, pour utiliser linstallation lectrique dun
btiment comme un rseau local ; les filtres passe-bande, pour amliorer la qualit
du signal dans un environnement lectromagntique bruyant ; les attnuateurs, qui
peuvent simuler leffet de linstallation dun long cble dantenne.
5
La couverture radio
Objectif
Comment russir une liaison de point point haut dbit sur une grande distance ?
Quelles antennes choisir ? Comment respecter la limite de puissance lgale tout en
optimisant la porte ? Comment limiter le nombre de points daccs installer tout
en ayant une bonne couverture radio ? Comment obtenir une grande capacit et
grer de nombreux utilisateurs ? Pour rpondre toutes ces questions et bien dautres
encore, nous commencerons par tudier la propagation des ondes radio et passerons
ensuite au dploiement en entreprise. Pour aborder les ondes radio, nous partirons
du cas le plus simple modliser : la liaison de point point, avec un seul point
daccs (AP) et un seul utilisateur. Nous tudierons tous les facteurs qui jouent sur
une liaison radio : la puissance des metteurs, le gain des antennes, la sensibilit des
rcepteurs, mais aussi labsorption, la rflexion, la diffraction et la polarisation. Le but
est de vous donner une bonne comprhension des ondes radio pour vous permettre
de faire les bons choix lors de votre dploiement. Par la suite, nous aborderons le cas
qui vous concerne sans doute plus directement que le point point : le dploiement
de multiples AP en entreprise, pour raliser un rseau performant et stable.
154
Pour que Y puisse recevoir le signal mis par X, il faut que la formule suivante soit
vrifie (tout tant exprim en dcibels) :
PX + CX + GX + A + GY + CY > SY
On peut galement calculer la marge MXY , qui doit donc tre positive :
MXY = PX + CX + GX + A + GY + CY SY > 0
Attention : les paramtres C X , A, CY et SY ont chacun une valeur ngative.
155
Communication bilatrale
Grce ce modle et ces formules, on peut faire ce quon appelle le bilan radio :
il sagit de chiffrer chacune des tapes et den dduire si la communication pourra
avoir lieu ou non.
Dans le cas de la tlvision hertzienne, la communication est sens unique : il
suffit que le rcepteur puisse entendre lmetteur pour que le systme fonctionne.
En revanche, le WiFi suppose des changes bilatraux : lors dune communication
entre deux stations, il est donc ncessaire que chaque station soit en mesure de capter
le signal de lautre1 . Pour dterminer si la communication est envisageable, il faut
faire le bilan radio dans chacun des deux sens.
Pour quune communication WiFi puisse avoir lieu, il faut que le bilan radio soit
satisfaisant dans les deux sens.
1. part bien sr dans le cas o le rcepteur ne fait qucouter (sniffer) le rseau des fins danalyse.
156
Il achte donc un adaptateur WiFi USB et le connecte son ordinateur (station Y).
Ce petit botier a une puissance dmission PY = +20 dBm (100 mW) et une sensibilit
pour 1 Mb/s de SY = 92 dBm. Il installe une antenne directionnelle de type Yagi
(voir le chapitre 4), dun gain GY = +8 dBi, sur son toit, en la pointant vers lantenne
de lAP. Malheureusement, lordinateur de David se trouve au rez-de-chausse et le
cble USB de ladaptateur WiFi nest pas assez long. Du coup, il achte un cble
dantenne dune longueur de 10 mtres et relie son adaptateur lantenne sur le toit.
Ce cble est de qualit mdiocre, entranant une perte de 1 dB par mtre, cest--dire
au total une perte de CY = 10 dB dans le cble dantenne.
157
158
il peut acheter une antenne plus puissante pour amliorer la fois lmission et
la rception ;
il peut acheter du cble dantenne de meilleure qualit pour quil y ait moins de
Attention au PIRE
En installant une antenne et un metteur plus puissants, ou encore en diminuant la
perte dans le cble dantenne, on change naturellement la Puissance isotrope rayonne
quivalente (PIRE) du systme (voir le chapitre 4). Le PIRE dune station se calcule
grce la formule suivante :
PIRE = P + C + G
Dans notre exemple, le PIRE des stations X et Y se calcule donc ainsi :
PIREX = PX + CX + GX = +15 2 + 6 = +19 dBm
PIREY = PY + CY + GY = +20 10 + 8 = +18 dBm
La limite lgale pour le 2,4 GHz tant en France de 20 dBm1 , on est dans la lgalit
des deux cts. Mais si David remplace son antenne par une antenne 15 dBi, par
exemple, il rglera certes ses problmes de rception, mais il dpassera largement le
PIRE maximal autoris lmission !
159
On voit que la puissance reue par lAP ne dpend que du PIRE du systme de
David. Donc, pour la transmission vers lAP, peu importe que David ait une antenne
haut gain ou un metteur puissant ou encore un cble faibles pertes pourvu que
son PIREY soit maximal, cest--dire gal 20 dBm (pour le 2,4 GHz).
Maintenant dans lautre sens, de X vers Y, la marge sexprime par la formule :
MXY = PX + CX + GX + A + GY + CY SY
= PIREX
+ A + G Y + CY S Y
= [non modifiable] + GY + CY SY
On voit que pour amliorer la transmission de X vers Y, il faut que lantenne de
David ait un gain aussi lev que possible (GY maximal), quil y ait peu de pertes
dans le cble dantenne (CY proche de 0 dB) et que la sensibilit du rcepteur soit
excellente (SY trs bas).
Pour avoir la meilleure communication possible, dans les deux sens, David doit
configurer son installation de telle sorte que :
SY soit bas, pour une meilleure sensibilit de rception : par exemple 94 dBm ;
CY soit trs proche de 0 dB : dans la pratique, on a rarement moins de 2 dB ;
GY soit aussi grand que possible : par exemple, 22 dBm ;
Pour une connexion de point point, il vaut mieux utiliser des antennes haut gain,
des cbles courts et faible perte, des rcepteurs trs sensibles, et enfin, pour ne pas
dpasser le PIRE lgal, des metteurs peu puissants.
Dtaillons ce dernier point : la puissance de lmetteur (PY ) doit tre assez faible
pour viter de dpasser le PIRE maximal autoris. Par exemple, avec CY = 2 dB et
GY = 20 dBm, on doit avoir PY = 0 dBm, cest--dire 1 mW. Notez que 0 dBm ne
correspond pas 0 mW, mais bien 1 mW ! On peut mme thoriquement avoir des
metteurs dune puissance infrieure 0 dBm, par exemple 10 dBm, soit 0,1 mW.
160
Dans la pratique, les metteurs WiFi ont en gnral une puissance comprise entre
15 dBm ou 20 dBm et certains peuvent tre rgls pour se limiter 10, 5, 1, voire
0 dBm. Ces derniers sont en gnral assez chers, donc on peut tre tent dacheter un
AP 15 dBm et dinstaller un cble dantenne perte importante ou une antenne
moins puissante pour ne pas dpasser le PIRE lgal. Malheureusement, cela diminuera
dautant lmission et la rception !
161
Le Bluetooth
Claviers, souris, imprimantes, PDA, ordinateurs et autres matriels utilisant la technologie Bluetooth peuvent perturber le 802.11b et le 802.11g car ils emploient la mme
bande de frquences 2,4 GHz. Puisque cette technologie repose sur la modulation
FHSS (voir le chapitre 2, 2.3.3), lensemble des canaux WiFi est touch.
162
163
164
Le matriau
Labsorption et la rflexion dpendent naturellement de lpaisseur de lobstacle et du
matriau dont il est constitu : bois, bton, mtal, plastique, verre, eau ou autres.
titre indicatif, le bton et le mtal absorbent davantage le signal que le plastique ou
le verre. Un mur de 50 cm de bton est suffisant pour absorber la majeure partie du
signal WiFi, alors que plusieurs faades successives en plastique laisseront en gnral
passer une bonne partie du signal.
Un point important : leau absorbe trs nettement les ondes 2,4 GHz, cest
dailleurs la raison pour laquelle ces ondes sont utilises dans les fours micro-ondes
pour chauffer les aliments. La premire consquence de cette observation est le fait
quune liaison WiFi lextrieur est assez sensible la mto ! Un jour de pluie ou
de brouillard, la connexion risque dtre interrompue ou perturbe. De mme, le bois,
selon sa teneur en eau, arrtera plus ou moins le signal.
Pour finir, les tres humains, qui sont constitus en grande partie deau, absorbent
une partie importante du signal WiFi ! Si lon installe un rseau WiFi pour une
grande salle de confrence, il faudra prendre en compte le fait que la connexion
sera nettement moins bonne lorsque la salle sera pleine de monde. Pour limiter ce
problme, une solution simple consiste placer lantenne en hauteur. En outre, si lon
peut positionner les utilisateurs de telle sorte quils ne soient pas entre leur ordinateur
et lAP, on amliorera nettement la rception.
165
Lhomme tant constitu en grande proportion deau, il attnue beaucoup le signal WiFi
2,4 GHz. Il est donc prfrable dinstaller les antennes en hauteur. Voir galement
les questions de sant au chapitre 11.
Modlisation ou mesure
On pourrait essayer de modliser quelle serait la couverture radio dun site en fonction
du plan des locaux, de la nature des murs, et ainsi de suite, afin de savoir o positionner
un AP, mais la complexit des calculs est telle quil est prfrable de simplement faire
un test en conditions relles laide doutils de mesure (voir paragraphes suivants).
On peut ainsi connatre prcisment la puissance du signal qui parvient atteindre le
rcepteur et lon peut galement voir si le RSB est suffisant pour tablir une connexion
satisfaisante.
Il existe toutefois des logiciels de modlisation qui simulent le rayonnement
lectromagntique dans un modle de la zone tudie en deux ou trois dimensions.
Le prix trs lev de ces logiciels et le temps ncessaire la ralisation dune
modlisation1 ne justifient pas, en gnral, leur utilisation dans un contexte de
rseau WiFi dentreprise (et encore moins pour un particulier). Ils sont en revanche
trs apprcis, par exemple, pour positionner au mieux des antennes GSM dont le
dploiement est trs coteux. Ceci dit, ils ne permettent pas de saffranchir des tests
sur le terrain.
5.2.3 La polarisation
Comme nous lavons vu, au chapitre 4 ( 4.4.1), les antennes WiFi entranent une
polarisation du signal qui peut tre horizontale, verticale, selon un axe inclin, ou
encore circulaire droite ou gauche (dans le sens des aiguilles dune montre ou non).
Si laxe de polarisation est vertical du ct de lmetteur, il faudra quil soit
galement vertical pour le rcepteur, sinon le signal sera attnu. Si les axes sont
perpendiculaires le signal sera en grande partie voire compltement limin. De mme,
si la polarisation est circulaire droite pour lmetteur (avec une antenne hlicodale),
il faudra que le rcepteur ait une polarisation circulaire gauche.
Dans la pratique, les rflexions et les diffractions peuvent modifier plus ou moins
laxe de polarisation du signal, donc le plus sr consiste rgler linclinaison des
antennes avec prcision en utilisant un analyseur de signal.
Dans le cas de la polarisation circulaire, aprs une rflexion, la polarisation droite
devient gauche et vice versa. Pour vous en convaincre, regardez un tire-bouchon dans
un miroir : il ne tourne pas dans le mme sens ! Ceci peut tre utile pour limiter leffet
des rflexions : en effet, toutes les ondes atteignant lantenne de rception aprs une
rflexion, ou un nombre impair de rflexions, seront trs attnues.
1. Plus que le temps de calcul, il sagit du temps quil faut lutilisateur pour configurer le logiciel
avec un modle prcis du site.
166
En outre, les ondes ne se propagent pas de la mme manire selon leur polarisation.
Par exemple, pour une liaison longue distance, la polarisation verticale est moins
attnue que la polarisation horizontale.
5.2.4 La diffraction
Le principe de Huygens-Fresnel
Un autre phnomne auquel les ondes radio sont sujettes est la diffraction. Elle peut
tre explique brivement par le principe de Huygens-Fresnel : chaque point par
lequel passe une onde peut tre considr comme une nouvelle source de londe, mise
dans toutes les directions. En labsence dobstacles, la somme des ondes mises donne
un front donde qui se propage normalement , dans une direction, car les ondes
mises dans les autres directions sannulent mutuellement. Toutefois, ds que le front
de londe se heurte un obstacle, les ondes mises par les points situs aux extrmits
de cet obstacle se propagent dans toutes les directions et ne sont plus annules par les
ondes voisines : lobstacle peut ainsi tre contourn, en particulier si ses bords sont
saillants (fig. 5.7).
Pour vous en convaincre, la prochaine fois que vous prendrez un bain, essayez
lexprience suivante : restez immobile pour que la surface de leau soit lisse, puis
placez votre bras gauche lhorizontale, moiti dans leau et tapotez leau avec
votre main droite, quelques dizaines de centimtres du bras gauche pour crer des
167
vaguelettes : vous constaterez que lorsque le front dondes atteindra votre bras, les
ondes le contourneront, en sattnuant un peu.
Calculer lattnuation
Le signal diffract subit tout de mme une attnuation assez forte.
Le calcul thorique de cette attnuation peut tre trs complexe selon la forme de
lobstacle et la position relative des stations, donc nous nous limiterons un exemple
assez simple : deux stations utilisant le 802.11b, donc 2,4 GHz, sont situes de part
et dautre dun mur.
La premire se trouve une distance d1 = 100 mtres du mur et la seconde une
distance d2 = 200 mtres. Le mur est haut de h = 3 mtres (fig. 5.8).
= h
d1 + d2
2 ------------------------- d1 d2
168
Dans notre cas, on trouve environ = 1,47. On peut maintenant calculer la perte
approximative due la diffraction, note PL (Path Loss), grce la formule suivante :
PL = 20 log
0,225
On trouve une perte denviron 16,3 dB, intgrer dans le bilan radio. Cette
formule est dduite dun ensemble de formules beaucoup plus complexes, do le
facteur 0,225 qui peut paratre tout fait arbitraire. En outre, ce calcul nest valable
que si h est trs petit par rapport d1 et d2 . En revanche, il est toujours valable dans
les deux sens, quelle que soit la station mettrice ou rceptrice.
Notons pour finir que les phnomnes de diffraction sont dautant plus importants
que la longueur donde est grande (donc la frquence faible) : il y a donc plus de
diffraction pour les frquences de 2,4 GHz que pour les frquences de 5 GHz : le
802.11b et le 802.11g contournent donc mieux les obstacles que le 802.11a.
1. si le dcalage dans le temps est tel que les diffrentes ondes soient en opposition
de phase, le signal est attnu, voire mme compltement annul si les ondes
opposes ont une puissance identique ;
2. en arrivant par plusieurs chemins distincts, le signal est tal dans le temps et
le rcepteur doit tre capable de linterprter correctement ;
169
3. si le dcalage est trs important, un symbole peut arriver en mme temps que
le symbole suivant (interfrence intersymboles ou ISI, voir le chapitre 2), ce
qui perturbe fortement la communication.
170
phnomne avec une diffrence de parcours de 18,75 cm, ou encore 31,25 cm, etc.
Pour atteindre la deuxime antenne, les deux parcours ne seront pas les mmes et il est
peu probable que la diffrence de parcours provoque ici aussi une opposition de phase.
171
Le dgagement minimal
On peut considrer que lnergie transmise de lmetteur radio vers le rcepteur se
propage essentiellement au sein dun ellipsode de rvolution (cest--dire en forme de
ballon de rugby trs allong) : cest ce quon appelle la zone de Fresnel , dlimite
par la surface de Fresnel . On devrait plutt prciser la premire zone de Fresnel
172
dlimite par la premire surface de Fresnel, car il en existe une infinit, embotes les
unes dans les autres comme des poupes russes. Le rayon de la nime surface de Fresnel
peut tre calcul pour chaque point de laxe metteur/rcepteur grce la formule
suivante :
s
d1 d2
rn = n
d1 + d2
est la longueur donde (0,125 mtre 2,4 GHz, 0,06 mtre 5 GHz) ;
d1 est la distance de lmetteur jusquau point de laxe metteur/rcepteur pour
lequel on cherche le rayon de lellipsode ;
d2 est la distance du rcepteur ce mme point.
Puisque lessentiel de lnergie du signal est diffus dans la premire zone de Fresnel,
il faut viter tout obstacle au cur de cette zone. Dans la pratique, il est suffisant de
dgager au moins 60 % de cette zone (au centre) pour avoir une bonne rception. On
obtient donc le dgagement minimal dmin , en tout point de laxe entre lmetteur et le
rcepteur, par la formule suivante :
s
d1 d2
dmin = 60 %
d1 + d2
Par exemple, si deux stations sont distantes de 1 000 mtres et quun obstacle se
situe non loin dun point de laxe situ 300 mtres de lmetteur, on peut calculer la
distance minimale entre ce point de laxe et lobstacle :
r
700 300
dmin = 60 % 0,125
= 3,07 m
700 + 300
Il faut donc sassurer que lobstacle soit bien plus de 3 mtres de laxe entre
lmetteur et le rcepteur, sinon une partie importante du signal sera perdue. Par
exemple, si la moiti de la zone de Fresnel est obstrue par un obstacle, alors plus de
75 % de la puissance du signal est perdue ! Cela correspond une perte de 6 dB, ce
qui est norme car le signal porte alors deux fois moins loin.
173
La hauteur minimale
Bien entendu, le sol lui-mme est un obstacle, donc il faut faire le calcul pour chaque
point o le sol est susceptible dtre dans la zone interdite . Si le sol est plat et que
les antennes sont toutes deux la mme hauteur, alors le point pour lequel il faut faire
le calcul est mi-chemin entre lmetteur et le rcepteur, l o lellipsode est le plus
large. partir de la formule prcdente, on trouve la hauteur minimale laquelle il
faut installer deux antennes pointes lune vers lautre sur un terrain plat :
hmin = 30 %
d est la distance entre les stations.
Dans notre exemple, les stations sont une distance d = 1 000 mtres lune de
lautre donc on calcule quelles doivent tre installes au moins 3,35 mtres de
hauteur (idalement sur un mt ou sur le toit dun btiment).
174
Par exemple, si deux antennes sont places de part et dautre dun terrain plat
(tel quun lac), 1 000 mtres lune de lautre et la mme hauteur, il faudra faire
attention ne pas les placer une hauteur telle que le lac soit tangent une surface
impaire de Fresnel. Puisque le lac est horizontal et que les antennes sont la mme
hauteur, les rflexions qui pourraient tre gnantes auraient lieu mi-chemin. Grce
aux formules prcdentes, on calcule le rayon des quatre premires surfaces de Fresnel
mi-chemin entre les antennes et lon trouve :
r1 = 5,59 m, r2 = 7,90 m, r3 = 9,68 m, r4 = 11,18 m.
On a vu plus haut que sur terrain plat, 1 000 mtres de distance, il faut placer les
antennes au minimum 3,35 mtres du sol. On sait maintenant quil faut galement
viter de les placer prs de 5,59 m, ou 9,68 m, mais plutt, si possible, 7,9 m ou
11,18 m (ou sinon, simplement 3,35 m).
175
a est le facteur de rudesse du relief. De 0,25 pour un relief trs escarp 4 pour
une surface lisse telle quun lac ;
b est le facteur de climat. De 0,125 pour un endroit trs sec 0,5 pour une
rgion humide ;
f est la frquence en gigahertz (GHz) ;
d est la distance entre les deux antennes, en kilomtres (km) ;
M est la marge de la liaison, en dcibels (dB), tels que nous lavons calcule plus
haut, cest--dire la somme de tous les gains (lmetteur et les deux antennes),
plus toutes les pertes (laffaiblissement en espace libre et la perte dans les cbles),
moins la sensibilit du rcepteur (les pertes et la sensibilit ayant des valeurs
ngatives).
En choisissant des paramtres arbitraires, vous trouverez sans doute des valeurs
suprieures 99,99 %. Ce nest pas une erreur de calcul : une liaison ayant une
disponibilit de 99 % est loin dtre excellente car cela signifie quelle sera indisponible
1 % du temps, soit prs dun quart dheure par jour et plus de 87 heures par an ! Cela
suffit pour un usage personnel, mais pas pour une connexion professionnelle.
176
Admettons que lon choisisse dinstaller des AP 802.11g dans les locaux de
lentreprise et que lon souhaite pouvoir profiter dun dbit suprieur 9 Mb/s en
tout point. La figure 2.5 nous indique quil faut alors quon soit toujours moins de
20 mtres dun AP. Les AP doivent donc tre espacs de 40 mtres au maximum.
De mme, si lon souhaite un dbit minimal de 36 Mb/s, il faut espacer les AP de
20 mtres seulement ! On constate que plus le dbit souhait est lev, plus la densit
dAP doit tre importante.
moins que la configuration des bureaux ne linterdise, on dploie typiquement les
AP en un maillage plus ou moins hexagonal (comme les cellules dune ruche dabeilles).
Cette configuration permet de dployer un minimum dAP tout en respectant la
contrainte de densit pour obtenir un dbit satisfaisant en tout point (fig. 5.14).
177
178
Un autre avantage considrable du WiFi 5GHz est le fait que cette bande de
frquences est peu encombre : on ne sera pas gn par le Bluetooth, les fours microondes, les tlphones portables, etc. En outre, le WiFi 5 GHz tant relativement peu
rpandu en France, contrairement au 802.11b au 802.11g et au 802.11n 2,4 GHz,
il est peu probable que le rseau sans fil de votre voisin sera en WiFi 5 GHz : cela
limite encore les possibilits dinterfrences.
En termes de scurit, le fait dutiliser une technologie bien connue mais relativement peu rpandue est sans doute un avantage : cela limite dautant le nombre de
curieux susceptibles de dtecter votre rseau et de chercher sy introduire.
En revanche, le WiFi 5 GHz na pas que des atouts : ses deux principaux
inconvnients par rapport au WiFi 2,4 GHz sont le prix et le consensus. En effet,
les AP et les adaptateurs 5 GHz sont en gnral lgrement plus chers que les
quipements 2,4 GHz. Dautre part, le 5 GHz est encore rare en entreprise et il lest
encore plus dans les hotspots. Il y a deux consquences cela : dabord les produits
disponibles sont moins nombreux car le march est plus restreint. Il existe trs peu
dordinateurs portables vendus avec le WiFi 5 GHz intgr. Ceci commence toutefois
changer. Dautre part, si vous optez exclusivement pour le 5 GHz, les adaptateurs de
vos employs ne leur permettront pas de se connecter la grande majorit des hotspots,
ce qui est bien dommage car vous perdrez ainsi une partie de lintrt du WiFi : la
possibilit pour vos employs de se connecter pendant leurs dplacements, dans des
htels, des aroports et tout autre lieu public.
Une bonne solution consiste dployer un rseau double radio, lune en
802.11b/g et lautre en 802.11n 5 GHz, et dquiper les employs avec des adaptateurs
179
802.11a/b/g/n. Ils pourront ainsi se connecter dans tous les hotspots, utiliser le WiFi
chez eux avec un routeur WiFi bas de gamme, tout en profitant dune excellente
connexion WiFi en 802.11n 5 GHz au bureau.
180
54 Mb/s pour le 802.11a (25 27 Mb/s rels) et 300 Mb/s pour le 802.11n (120
150 rls) si lon agrge deux canaux voisins. Mme si le rayonnement radio dun
unique AP permet de couvrir lensemble des bureaux de lentreprise, il sera sans doute
ncessaire de mettre en place plusieurs AP pour permettre chaque utilisateur de
profiter dune connexion satisfaisante.
Lobjectif que vous vous fixerez pour la capacit de votre rseau sans fil impactera
donc fortement le dploiement. Voici deux cas extrmes :
Vous ne prvoyez que quelques utilisateurs occasionnels et peu exigeants en
181
connexion ADSL dentre de gamme. Ces critres sont trs subjectifs et dpendent
entirement de votre contexte. Dans le cas de la simple navigation sur Internet,
il faut galement considrer le taux dutilisation moyen de la bande passante. En
effet, mme un utilisateur surfant activement sur Internet ne change pas de page en
permanence. Il prend le temps de lire la page actuelle avant de passer la suivante.
Un taux dutilisation moyen pour le simple surf sur Internet est souvent infrieur
10 % ! Ainsi, avec une bande passante gale 1 Mb/s, il est en gnral possible
davoir 20 personnes surfant simultanment sur Internet, chacune ayant limpression
de profiter seule dune ligne 512 kb/s. En revanche, ds quune personne lance un
tlchargement sur Internet, son taux dutilisation passe 100 % et tout le monde en
ptit.
Pour certains services, il existe des limites assez bien dfinies : par exemple, pour la
voix sur IP, la limite de dbit en dessous de laquelle on subira une dtrioration trs
nette de la qualit de la communication est souvent indique par la documentation
du produit utilis. Par exemple, Skype affirme utiliser de 3 16 kb/s pendant une
communication. Dautres systmes de VoIP pourront utiliser plus de 30 50 kb/s. Le
streaming vido et les vidoconfrences sont trs gourmands en bande passante : selon
la qualit de limage et la fluidit de lanimation, il faut compter entre environ 30 kb/s
et 400 kb/s et jusqu plus d1 Mb/s pour une trs bonne qualit dimage et de son !
Laccs aux ressources du rseau local (serveurs de fichiers, base de donnes,
Intranet, postes des autres utilisateurs...) peut rapidement consommer toute la bande
passante disponible : par exemple, si un employ dcide denregistrer une copie
de son disque dur de 100 Go sur le serveur de sauvegardes, il saturera sans doute
compltement lAP auquel il est associ et ce pendant plusieurs heures.
Si lon souhaite viter cela et plus gnralement pour mieux contrler le trafic
rseau, il est ncessaire de mettre en uvre des quipements (AP, commutateurs,
routeurs ou serveurs) capables de limiter la bande passante par utilisateur ou par type
de trafic. Nous avons vu, au chapitre 3 ( 3.2.3), que les produits WMM offrent une
solution ce problme en diffrenciant les classes de trafic (TC) et en leur affectant
des priorits varies. On peut par exemple dcider de rserver au moins 50 % de la
bande passante la VoWIP, ou encore restreindre le dbit par utilisateur 1 Mb/s au
maximum.
182
associes au rseau sans fil en mme temps, dont 30 en train de surfer activement sur
Internet, avec 20 tlchargements importants en cours et 30 utilisateurs en pleine
discussion en VoWIP, plus un total de 20 tlchargements intensifs sur le rseau local.
On part du principe que la connexion Internet est trs rapide et nest pas un goulot
dtranglement. On arrive une estimation de 60 Mb/s consomms au maximum, par
exemple.
Simulations et tests
Une faon moins approximative destimer le nombre dAP ncessaires pour supporter
une certaine capacit avec un nombre dutilisateurs donn est dutiliser des simulateurs
radio, mais ils sont trs chers et longs rgler. On peut galement utiliser le logiciel
libre Network Simulator qui possde des fonctions de simulations de trafic rseau trs
pousses. Mais il nest pas trs simple installer et utiliser.
Enfin, un test en grandeur nature reste la faon la plus fiable de dterminer le
nombre dAP installer. Puisquil est difficile de runir assez de personnes pour faire
un test de charge raliste, une meilleure approche consiste utiliser des gnrateurs
de trafic rseau : cest dailleurs lune des nombreuses fonctions de Network Simulator.
183
1. Si la couverture radio est bonne, cela ne garantit pas forcment que la capacit sera bonne lorsque
de nombreux utilisateurs tlchargeront en mme temps. Pour cela, il faut faire des tests de charge.
184
Netstumbler
Une autre solution consiste raliser laudit de site avec loutil danalyse Netstumbler,
tlchargeable gratuitement sur www.stumbler.net (fig. 5.19). Il peut tre install sur un
PC portable (sous Windows uniquement) ou un Pocket PC et il fournit de nombreuses
informations sur la couverture radio, dont en particulier le niveau du signal, le RSB,
le canal, le SSID et le BSSID de chaque AP proximit. Malheureusement, il ne
fonctionne pas avec tous les adaptateurs WiFi.
Il est galement possible de le connecter un module GPS (localisation par
satellite) afin de gnrer automatiquement un plan du niveau de rception. Malheureusement, la rception GPS est en gnral impossible lintrieur dun btiment,
donc cette option nest utile que pour les dploiements lextrieur. lintrieur, il
est ncessaire de prendre note du niveau de rception pour chaque point du btiment.
185
Bref, ce type doutils danalyse est trs utile pendant laudit de site... mais aussi et
surtout aprs linstallation du rseau sans fil, pour dtecter dventuels problmes
apparus aprs linstallation : de nouvelles sources dinterfrences, des tentatives
dintrusion dans le systme ou encore des points daccs pirates.
186
dernire option est souvent la faon la plus rapide dobtenir un plan prcis de
nimporte quel btiment.
On positionne sur ce plan les points daccs que lon a allums.
Ensuite, il suffit de se promener dans les locaux et de cliquer sur le plan en
indiquant o lon se situe, intervalles rguliers : le logiciel fait une mesure
chaque clic et lassocie la position de la souris sur le plan. Alternativement,
on peut utiliser une fonction assez pratique de ce logiciel : on dfinit lavance
un parcours sur le plan, puis il suffit de cliquer sur le bouton dpart , de
suivre le parcours vitesse constante puis de cliquer sur le bouton arrive :
le logiciel prend automatiquement les mesures pendant le parcours et dtermine
a posteriori o lutilisateur se situait chaque instant.
Avec cet outil, il est galement possible deffectuer quelques simulations : par
exemple, que se passerait-il si la puissance dmission de tel AP tait plus faible, ou plus
leve ? Surveyor na toutefois pas vocation tre un logiciel de simulation complet :
il est impossible de dplacer virtuellement un AP, de simuler lajout dune antenne
directionnelle ou encore limpact dun nouvel obstacle. Pour cela, il faut refaire une
mesure sur le terrain. Le plan est un support visuel pour lutilisateur mais il nest
absolument pas pris en compte par le logiciel pour ses calculs de propagation radio. Le
but de ce produit nest pas de modliser, mais bien danalyser.
187
Outils de simulation
loppos de ltude sur le terrain, ou plutt en complment, il existe des outils de
simulation de la couverture radio, comme le logiciel Modeler de la socit O PNET
(auquel il faut rajouter le module pour les rseaux sans fil) ou encore RingMaster de la
socit Trapeze Networks (fig. 5.22). linstar des outils de cartographie radio, il est
ncessaire de fournir une carte au logiciel, mais ici une vritable analyse de la carte
est ralise et la participation de lutilisateur est requise pour indiquer o se situent
les obstacles et quelle est leur nature. Une fois la (longue) phase de paramtrage
ralise, le logiciel est capable de simuler diverses configurations dAP et dvaluer la
couverture radio rsultante.
Pour que le rsultat dune simulation soit significatif, il est ncessaire de saisir
beaucoup dinformations, comme le plan des bureaux, la position des principaux
188
obstacles, le matriau et lpaisseur des cloisons, etc. Il peut parfois sagir de lunique
solution possible si un test sur le terrain est impossible : par exemple si le btiment est
en construction !
Ces outils peuvent tre utiliss avant laudit de site pour avoir une ide du nombre
dAP ncessaires et de leur positionnement (au moins approximatif) pour obtenir la
meilleure couverture et le meilleur dbit, mais il est tout de mme fortement conseill
de faire des analyses sur le terrain avant le dploiement proprement dit.
Le prix de ces logiciels est assez lev, ce qui explique sans doute en grande partie
pourquoi les audits de site sont encore de loin la solution prfre par les entreprises
pour prparer les dploiements.
189
guration des bureaux change ou bien que de nouvelles interfrences font leur
apparition ;
le logiciel est capable de dtecter quun AP est surcharg car trop dutilisateurs
y sont associs et dans ce cas il peut contrler lAP pour basculer quelques
utilisateurs vers une cellule voisine. On peut donc optimiser non seulement la
couverture du rseau sans fil mais galement sa capacit, en permettant de
nombreux utilisateurs de se connecter en mme temps.
Malheureusement, vous vous en doutez, cette solution est assez chre, dune part
parce que lon doit installer plus dAP quil ne serait rellement ncessaire (bien que
le prix des AP soit nettement la baisse le cot du cblage reste lev) et dautre part
parce que le logiciel capable de tant de prouesses est loin dtre gratuit.
Parmi les solutions de ce type, citons celle de la socit Aruba Wireless Networks.
Dans le cas de la solution dAruba, les AP doivent tre relis un commutateur
intelligent dans lequel est install le logiciel AirOS qui met en uvre de
nombreuses fonctions :
le mcanisme de configuration automatique des AP ;
les VLAN (802.1q) pour avoir plusieurs rseaux virtuels sur la mme infrastruc-
ture ;
tions lectriques et deux sries de ports redondants qui sont utiliss en cas de
panne (fig. 5.24) ;
dautres fonctions de scurit avances comme un pare-feu par utilisateur, le
802.1x, le WPA, etc. ;
une interface web partir de laquelle il est possible de grer le rseau sans fil au
complet et mme de visualiser un plan du site et tous les AP dploys (pourvu
bien sr que cela ait t renseign auparavant).
Bien quAruba fabrique ses propres AP et que le systme soit avant tout conu pour
fonctionner avec ceux-ci, le commutateur est capable de grer certains AP dautres
constructeurs. Depuis 2005, de nombreux constructeurs se sont lancs sur le march
des commutateurs intelligents : les produits samliorent et les prix baissent. La
socit Meru Networks propose une solution similaire, mais avec une particularit
originale: tous les point daccs mettent sur un mme canal, et se font passer pour un
seul et mme point daccs virtuel. Du point de vue des stations qui se connectent au
rseau, tout se passe exactement comme sil ny avait quun seul point daccs. Cela
peut paratre surprenant car on cherche plutt, en gnral, configurer sur des canaux
diffrents les points daccs situs proximit les uns des autres. Mais puisque les points
daccs sont contrls par un commutateur intelligent , ils sont bien synchroniss
190
1. Trs souvent, un adaptateur WiFi reste associ un AP tant quil a un signal, mme si ce signal
est bien plus faible que celui dun AP plus proche.
191
Rsum
Dans ce chapitre, nous avons abord le bilan radio, les rgles de la propagation des
ondes radio et les stratgies pour mettre en place un rseau sans fil offrant une bonne
couverture et une haute capacit, notamment avec les commutateurs intelligents .
Faire le bilan dune liaison radio consiste sassurer quil y ait une marge de puissance
suffisante pour que la communication soit stable. Cette marge est gale la puissance
de lmetteur (en dBm), plus le gain des antennes (en dBi), plus la perte dans les
cbles et connecteurs dantennes (en dB), plus la perte en espace libre (en dB)
et moins la sensibilit du rcepteur (en dBm). Pour quune liaison soit stable, on
recommande que la marge, dans chaque sens, soit au moins gale 6 dBm.
La puissance isotrope rayonne quivalente (PIRE) dun systme est gale la
puissance de lmetteur, plus le gain de lantenne, plus la perte dans le cble dantenne
et les connecteurs. Il est limit par la lgislation selon la frquence, les canaux
utiliss, le lieu de dploiement et les fonctionnalits du matriel (voir le chapitre 11)
pour un tableau rcapitulatif de la rglementation franaise en matire de WiFi). Si
lmetteur est puissant, alors lantenne doit avoir un faible gain afin de respecter la
limite lgale de PIRE. Dans ce cas, la porte est faible mais le faisceau rayonn est
large. Inversement, si lmetteur est faible, alors lantenne peut tre puissante : la
porte est alors plus importante, mais le faisceau beaucoup plus troit. Il faut trouver
le bon quilibre en fonction du contexte.
TROISIME PARTIE
Scurit
Cette troisime partie prsente les solutions de scurit que lon peut mettre en place
pour un rseau WiFi. Il sagit de la partie la plus longue car cest un sujet complexe et
crucial :
le chapitre 6 dresse un tableau gnral de la problmatique de scurit dans un
rseau sans fil et prsente les solutions simples permettant doffrir un premier
niveau de scurit ;
le chapitre 7 dcrit le WEP, la solution de scurit propose par la premire
version du standard WiFi. Cette solution comporte malheureusement de nombreuses failles que nous prsentons galement ;
le chapitre 8 dtaille le protocole 802.1x et le protocole EAP sur lequel il repose.
Ces protocoles ont pour rle de permettre lidentification des utilisateurs et la
mise en place dune session scurise ;
le chapitre 9 prsente le WPA et le WPA2 (802.11i), qui reposent sur le 802.1x.
Ce sont les meilleures solutions de scurit du WiFi. Elles offrent un niveau de
scurit ingal ;
le chapitre 10 prsente le protocole RADIUS et donne des indications sur linstallation et la configuration dun serveur RADIUS, essentiel dans larchitecture
WPA Enterprise ;
le chapitre 11 prsente les rglementations respecter lorsque lon dploie un
rseau WiFi, en dtaillant les questions de sant.
6
La scurit sans fil
Objectif
La question de la scurit est sans doute la premire que se pose une socit lorsquelle
se penche sur le WiFi. Si lon communique travers les ondes, tout le monde
peut capter les communications, nest-ce pas ? Face cette crainte, de nombreux
dirigeants dentreprises ont eu un rflexe de prudence : attendre quelques mois ou
quelques annes pour bnficier du retour dexprience dautres entreprises. Ils ont
peut-tre eu raison dailleurs, car les dbuts de la scurit en WiFi nont pas t
glorieux. Heureusement, il existe prsent des solutions trs robustes pour rendre
un rseau sans fil tout aussi scuris quun rseau filaire. Toutefois, ces solutions sont
loin dtre triviales, et cest pourquoi nous avons consacr tant de chapitres la
scurit. Dans ce chapitre, nous commencerons par dfinir ce quest la scurit dans
un environnement sans fil, et nous ferons le tour des solutions de scurit existantes.
Nous dtaillerons les plus importantes dentre elles au cours des chapitres suivants.
196
Scuriser un rseau consiste donc prendre en compte tous les risques possibles,
tels que les attaques volontaires, les accidents, les dfauts logiciels ou matriels, ou
encore les erreurs humaines et les rduire autant que possible.
gres par le systme) doit tre rserv aux personnes autorises. Cela suppose
un mcanisme didentification des utilisateurs, la dfinition de rgles daccs, et
la protection des donnes pendant leur transport, par le biais dun cryptage1.
Lintgrit : les donnes ne doivent pas tre modifies ou perdues. Il faut en
particulier pouvoir sassurer que ce qui est reu correspond bien ce qui a t
envoy.
La disponibilit : le rseau doit tre accessible en tout temps et dans des
conditions acceptables.
La non-rpudiation
Les experts en scurit informatique dfinissent souvent une quatrime qualit que
doit possder un systme scuris : la non-rpudiation . Il sagit de la possibilit
de prouver a posteriori quune personne a bien particip une transaction donne.
Par exemple, si un client sest connect au systme dinformation et a pass une
commande, il ne faut pas quil puisse prtendre plus tard ne jamais lavoir fait.
La notion de non-rpudiation est donc trs lie la lgislation en vigueur : un
juge acceptera-t-il une simple ligne dans une base de donnes comme preuve que le
client a bien pass la commande et quil doit la payer ? Qui peut prouver que cette
fameuse ligne na pas t rajoute suite une erreur du systme ou par une personne
mal intentionne ?
Une solution consiste mettre en place une architecture permettant aux transactions importantes dtre signes lectroniquement par leur(s) auteur(s). Dans notre
exemple, il sera plus difficile au client de prtendre quil na jamais pass de commande
si la socit peut montrer que celle-ci a t signe lectroniquement.
Les nouvelles solutions de scurit du WiFi sont trs robustes et permettent de
garantir les qualits CID, grce une authentification sre, un cryptage puissant
et divers autres mcanismes sophistiqus. En outre, le protocole 802.1x, que nous
tudierons au chapitre 8 et qui sert identifier les utilisateurs WiFi la connexion,
est suffisamment souple pour identifier les utilisateurs selon de multiples mthodes :
mot de passe, carte puce, etc. Certaines de ces mthodes exigent de lutilisateur
quil prouve quil possde bien un certificat lectronique. En utilisant cette mthode
dauthentification et en enregistrant les changes entre le poste de lutilisateur et le
1. Nous utilisons le mot cryptage , dautres parlent de chiffrement : ce sont des synonymes.
197
Le maillon faible
Le but du paragraphe prcdent tait de vous montrer quel point la scurit mise
en place au niveau WiFi peut devenir drisoire si elle nest pas accompagne dune
politique de scurit globale. Pour assurer la scurit des donnes dun systme, il ne
1. Pour tre plus rigoureux, il faudrait distinguer ici lvaluation de la scurit physique et celle de la
scurit sociale, mais les deux sont souvent lies.
198
suffit pas dinstaller tel ou tel matriel ou de choisir telle ou telle technologie. En effet,
le niveau de scurit dun systme est gal au niveau de scurit de son maillon le plus
faible.
La scurit en entreprise doit faire lobjet dune politique globale : les technologies et
les protocoles nen sont quune petite partie.
Tout lenjeu dune politique de scurit consiste donc regarder le systme dans
son ensemble, identifier les vulnrabilits les plus graves et les plus probables, et y
remdier. Idalement, lensemble des processus doit tre analys en prenant en compte
les aspects humains, techniques, lgaux, organisationnels et stratgiques. Pour cela, il
est recommand quune personne supervise la scurit lchelle de la socit et donne
des directives appliques tous les chelons. Cela peut passer par la sensibilisation des
employs, la formation des quipes techniques et des contrles rguliers.
6.1.3 La compartimentation
Les pirates de lintrieur
Il peut arriver quune personne extrieure lentreprise, telle quun client, un fournisseur ou tout autre visiteur, ait accs au rseau pendant quelques heures voire quelques
jours. Si la simple connexion au rseau donne accs des donnes confidentielles,
alors ces visiteurs seront peut-tre tents de les consulter, les copier, ou pourquoi pas,
les modifier. Le visiteur devient pirate ! Plus simplement, il peut sagir dun employ
peu scrupuleux, qui souhaite voir combien gagnent ses collgues ou lire leurs courriers
lectroniques. Bref, il faut malheureusement se mfier de tout et de tout le monde.
Comme le dit Andrew S. Grove, cofondateur dIntel : Only the paranoid survive 1 .
Si les attaques peuvent venir de lintrieur, la seule solution pour garantir un
niveau de scurit acceptable consiste compartimenter les donnes. En dautres
termes, les donnes qui concernent uniquement un employ ou un groupe demploys
ne doivent tre visibles que par cet employ ou ce groupe. Par exemple, seuls les
commerciaux auront accs la base des clients, seules les ressources humaines
auront accs aux curriculum vitae des postulants, etc. Un bmol toutefois, ce type
dorganisation compartimente nest pas particulirement la mode aujourdhui :
lheure est plutt louverture et la dcompartimentation. Il faut donc savoir trouver
le bon niveau de compartimentation qui permette dassurer le maximum de scurit
sans bloquer lactivit quotidienne.
Mthodes de compartimentation
Pour isoler les utilisateurs et viter quils aient accs tout le trafic rseau, une mesure
simple mais importante consiste installer des commutateurs (switchs) plutt que de
simples rptiteurs (hubs). Ceci permet la fois daugmenter la capacit du rseau
filaire et de le scuriser davantage, car le commutateur ne relaie chaque paquet que
1. Seuls les paranoaques survivent .
199
vers son destinataire, contrairement au rptiteur qui, comme son nom lindique, se
contente de rpter le paquet tout le monde.
Une solution plus sre consiste utiliser des commutateurs et des points daccs
(AP) capables de grer des LAN virtuels (VLAN) selon la norme IEEE 802.1Q (voir
le chapitre 4, 4.2.3). Par exemple, un VLAN pourrait tre limit la comptabilit,
un autre aux commerciaux, un autre la direction, et un dernier serait accessible
tous... le tout sur la mme infrastructure rseau !
Installer un pare-feu sur chaque poste et chaque serveur permet de diminuer le
risque de piratage : mme si un pirate a accs au rseau, il aura du mal accder un
service bloqu par un pare-feu sur un autre poste.
Par ailleurs, si un ordinateur portable se fait voler, il est prfrable que les donnes
qui sy trouvent ne puissent pas tre lues par le voleur. Le plus simple consiste utiliser
des disques durs crypts.
Si les employs sont amens se dplacer frquemment avec leur ordinateur portable
professionnel, il est fortement recommand dutiliser des disques dur crypts. Un mot
de passe est alors demand lutilisateur lallumage de lordinateur : sans lui le
disque dur est illisible.
On peut aller encore plus loin en dployant sur tout le rseau un systme de
contrle qui permette de limiter laccs aux services des utilisateurs identifis
et autoriss : on peut utiliser, par exemple, la solution Kerberos dveloppe par le
Massachusetts Institute of Technology (MIT), ou encore une Infrastructure gestion de
cls (IGC), galement appele Public Key Infrastructure (PKI).
Accder au contrle total dun rseau est le Saint-Graal du pirate, et cela suppose
en gnral de se faire passer pour un utilisateur lgitime. Toutefois, si le rseau est
bien compartiment, le fait dtre connect au rseau nimplique pas que toutes les
200
1. Un spyware est un logiciel espion qui envoie des informations concernant lutilisateur une
personne ou une socit qui pourra en tirer parti. Souvent, il surveille la navigation web de
lutilisateur dans le but de discerner ses habitudes et de pouvoir lui envoyer des offres commerciales
susceptibles de le sduire.
2. Voir le site de la Commission nationale de linformatique et des liberts (CNIL) pour en savoir
plus : www.cnil.fr.
201
6.2.1 Le wardriving
la recherche des rseaux WiFi
Lorsque les rseaux WiFi ont commenc connatre le succs, plus de 50 % dentre
eux ntaient absolument pas scuriss. Cela peut paratre aberrant, mais voici ce que
pensaient leurs propritaires :
le signal ne porte pas trs loin, donc le risque quun pirate trouve le rseau est
faible ;
je ne suis quun simple particulier (ou une petite socit), donc un pirate naurait
Toutes ces excuses sont proscrire ! Voici pourquoi : ds lors que lon su que
de nombreux rseaux WiFi ntaient pas scuriss, un nouveau sport est n : le
wardriving 1 . Le plus souvent pratiqu par des groupes de passionns de la radio, il
consiste se promener en voiture avec une antenne WiFi et noter la position
et les caractristiques de tous les AP que lon puisse trouver. Des logiciels tels que
NetStumbler permettent mme dautomatiser la tche, et peuvent tre relis un
module GPS2 pour que la position exacte soit enregistre. La carte des points daccs
ainsi obtenue est souvent publie sur Internet, de sorte que nimporte qui peut savoir
o se situent les rseaux non scuriss ! Ce phnomne est trs loin dtre anecdotique :
la popularit du wardriving est telle que des cartes sont disponibles pour des pays entiers.
1. Que lon peut traduire par la guerre en voiture .
2. Global Positioning System : systme de localisation par satellite.
202
Il existe mme des concours entre plusieurs quipes, la gagnante tant celle qui dtecte
le maximum de rseaux en un temps limit. Il est tout de mme important de noter
que le wardriving est interdit par la loi, en France, comme bien sr le fait de violer un
systme informatique, cela va sans dire !
Il existe un dbat enflamm dans le monde de la scurit pour savoir sil faut, ou
non, rendre publiques les vulnrabilits dune technologie lorsquelles sont dcouvertes, avant de disposer dune parade. En effet, les rendre publiques, cest donner
des outils aux pirates, mais cest aussi informer les victimes potentielles et encourager
la recherche de solutions. Certains adeptes du wardriving estiment que cette activit
participe au renforcement de la scurit du WiFi. vous de juger.
Consquences du wardriving
Quoi quil en soit, la premire consquence du wardriving est que vous ne devez en
aucun cas supposer que votre rseau est invisible : quelques semaines seulement aprs
son installation, il est bien possible quil soit rfrenc sur un site web !
Deuxime consquence : le nombre de pirates potentiels est accru : en plus des
pirates rellement mal intentionns (rares mais trs nuisibles), on doit maintenant
prendre en compte les simples curieux, qui peuvent galement nuire, ne serait-ce
quen consommant votre bande passante. En outre, de plus en plus de personnes sont
en train de comprendre limportance de scuriser leur rseau sans fil, donc si vous ne
scurisez pas le vtre, les pirates se tourneront de plus en plus vers vous.
Par ailleurs, croire quun pirate a besoin dune raison valable pour vous nuire serait
bien naf : de nombreux pirates veulent simplement voir jusquo ils peuvent aller,
par jeu, par orgueil ou simplement pour acqurir une nouvelle comptence. Sous le
couvert de lanonymat que peut procurer une connexion WiFi peu scurise, certains
vandalisent autant que possible un systme, pour raconter ensuite leurs prouesses
des amis. Donc si vous pensez quun pirate naurait rien gagner vous nuire,
dtrompez-vous.
Pour finir, mme si vous croyez navoir aucune donne confidentielle, un pirate
peut tout de mme vous nuire : tout dabord, il y a presque toujours des donnes
confidentielles protger, quoi quon pense. Pensez au courrier lectronique, aux
203
mots de passe daccs votre machine, aux sites sur lesquels vous naviguez. Mme
si vous navez rellement rien cacher, le pirate peut vous nuire en effaant des
fichiers, en modifiant des donnes, en vous empchant daccder Internet ou vos
machines. Enfin, mme sil ne fait que naviguer sur Internet, noubliez pas quen tant
que propritaire de la connexion, vous en tes responsable : si le pirate en abuse, par
exemple en tlchargeant des fichiers interdits, vous pouvez en tre tenu responsable !
Bref, la scurit nest pas une paranoa dexperts cherchant valoriser leur spcialit : cest une ralit. Dfinissons maintenant rapidement les catgories dattaques
contre lesquelles nous devons nous prmunir : lespionnage, lintrusion, la modification
des messages, le dni de service et la relecture.
6.2.2 Lespionnage
Sans doute la premire attaque qui vient lesprit lorsque lon parle des technologies
sans fil est lcoute : un pirate se poste proximit et surveille les changes. On dit quil
sniffe le rseau sans fil. Dans les rseaux filaires, ceci est rendu difficile par le fait
quil faut dabord se brancher physiquement au rseau avec un cble avant de pouvoir
couter quoi que ce soit1 . Avec le WiFi, chacun peut couter ce qui est transmis par
les autres. Il suffit pour cela de disposer dun adaptateur WiFi grant le mode monitor,
cest--dire capable de lire tous les messages, et pas uniquement ceux qui lui sont
adresss2 . Ensuite, il faut utiliser un logiciel danalyse du rseau, du type Ethereal, pour
sniffer tout ce qui se passe sur le rseau ! couter une communication WiFi est la
porte de presque tout le monde.
Lespionnage peut aboutir la divulgation dinformations confidentielles : mots de
passe, documents secrets, numros de cartes bancaires, etc. Aussi, pour scuriser les
changes, il est indispensable de crypter les communications avec un algorithme aussi
puissant que possible, sans que cet algorithme ne ralentisse trop la communication.
Nous verrons que le WPA et le WPA2 ralisent des cryptages trs efficaces.
6.2.3 Lintrusion
Intrt de lintrusion
Une autre attaque consiste sintroduire au sein du rseau WiFi pour consulter voire
modifier les donnes du systme informatique (bases de donnes, fichiers, e-mails...)
ou encore pour profiter de la connexion Internet.
1. Ceci nest pas tout fait exact : lorsquun signal lectrique passe dans un cble, il gnre une
lgre perturbation du champ lectromagntique, de sorte quavec un quipement adapt, il est
possible de dtecter distance linformation qui y transite ! Lquipement ncessaire nest toutefois
pas la porte du premier venu et il faut se situer quelques mtres au maximum du cble.
2. En mode monitor on peut sniffer tous les paquets WiFi qui sont mis sur un canal choisi.
Le mode promiscuous est semblable mais il suppose que lon sassocie au pralable un rseau
sans fil, et lon ne peut couter que les paquets mis sur ce rseau.
204
Attaque de dictionnaire
Pour la premire option, le pirate doit parvenir tromper le mcanisme didentification. Par exemple, si les utilisateurs sont identifis avec un mot de passe, il sagit de
trouver un mot de passe valable. Pour cela, le pirate a plusieurs options : si les mots
de passe sont changs en clair (cest--dire quils ne sont pas crypts), il suffit
dattendre quun utilisateur lgitime se connecte et despionner lenvoi de son mot
de passe. Si le mot de passe est crypt, on peut essayer de sattaquer lalgorithme de
cryptage utilis, certains tant beaucoup plus faibles que dautres.
Une autre technique, plus brutale, consiste essayer des millions de mots de passe
jusqu trouver le bon ! Certains logiciels permettent dessayer les mots de passe les
plus probables en utilisant les mots du dictionnaire, et en les modifiant lgrement.
On parle donc dattaques de dictionnaire . Des mots de passe constitus de prnoms
et de chiffres sont particulirement vulnrables ce type dattaques, de mme que
des mots de passe du type admin , test , toto ou pass . Les attaques de
dictionnaire sont redoutables si les employs ne sont pas tous informs du risque des
mots de passe trop simples.
Il existe deux variantes de lattaque de dictionnaire : lattaque en ligne et
lattaque hors-ligne . La premire est la plus simple : lutilisateur cherche se
connecter au systme et il essaie successivement chaque mot de passe jusqu trouver
le bon. Cette attaque a plusieurs inconvnients (pour le pirate) : dune part, elle prend
beaucoup de temps car chaque mot de passe doit tre vrifi par le systme, et dautre
part, le pirate risque dtre repr, surtout si le systme est configur pour dtecter
les tentatives dintrusion. En outre, le systme peut mettre en uvre des contremesures , en bloquant toute nouvelle tentative aprs trois checs, par exemple. Une
bonne faon de se prmunir contre les attaques de dictionnaire en ligne est donc
de configurer le systme pour quil prvienne un administrateur lorsquun utilisateur
essaie de nombreux mots de passe daffile, et que cet utilisateur soit automatiquement
bloqu.
Lattaque hors-ligne est beaucoup plus sournoise. De nombreux protocoles
dauthentification fonctionnent de la faon suivante : le serveur envoie un dfi au
client, cest--dire un texte alatoire, et ce client doit utiliser ce dfi ainsi que son mot
de passe pour gnrer sa rponse, selon un algorithme prcis. Le serveur utilise alors le
205
mme algorithme pour vrifier que la rponse est la bonne, donc que le mot de passe
est le bon. Lattaque de dictionnaire hors-ligne fonctionne ainsi : le pirate enregistre le
dialogue dune authentification russie. Il possde alors le dfi et la rponse, correcte,
de lutilisateur. Rien ne lempche alors, hors connexion, dessayer des millions de
mots de passe (avec le mme dfi et le mme algorithme), jusqu trouver celui
qui donne la mme rponse que celle donne par lutilisateur. Non seulement cela
ira beaucoup plus vite que lattaque en ligne, mais en plus le pirate naura aucune
chance de se faire dtecter ou bloquer. Seules deux parades sont possibles : utiliser une
mthode dauthentification invulnrable aux attaques hors-ligne (nous les tudierons
au chapitre 8), ou obliger tous les utilisateurs utiliser un mot de passe extrmement
long et complexe. Cette deuxime option est rarement ralisable et cest pourquoi les
mthodes dauthentification vulnrables aux attaques hors-ligne doivent tre vites.
Idalement, les mots de passe des utilisateurs doivent tre assez long et complexes
pour quil soit impossible de les deviner en quelques tentatives, le systme doit dtecter
et bloquer les attaques de dictionnaire en ligne, et il doit galement utiliser un protocole
dauthentification invulnrable aux attaques de dictionnaire hors-ligne.
Attaque de relecture
Une autre faon douvrir une nouvelle session consiste enregistrer les paquets
mis par une station lgitime au moment o elle se connecte, puis de les mettre
lidentique un peu plus tard. Les relectures peuvent galement servir rpter tout
type de requte, par exemple une insertion dans une base de donnes, avec toutes les
consquences que cela peut avoir. Une faon dviter les risques de relectures consiste
imposer quun compteur soit incrment chaque paquet chang : on dit quon
rajoute du sel (salt) dans chaque paquet. De cette faon, un paquet contenant un
compteur ancien sera rejet. Le WEP noffre aucune protection contre la relecture,
mais en revanche le WPA2/AES (cf. 6.4.4) est immunis contre ce genre dattaque,
comme nous le verrons au chapitre 9.
206
Le principal risque pour Michel est que quelquun se rende compte que deux invits
portent le mme nom. Sil est particulirement prudent, il peut choisir dattendre que
Marc sabsente pendant quelques minutes avant daller la soire.
Cette stratgie a un autre inconvnient du point de vue du pirate : si Marc prvient
le gardien quand il sen va pour de bon, celui-ci arrtera Michel la prochaine fois quil
cherchera passer.
Et en WiFi...
Comment cet exemple sapplique-t-il au WiFi ? Lidentification des utilisateurs est
souvent un mcanisme assez coteux en temps et en ressources informatiques : elle
suppose en gnral laccs une base de donnes des utilisateurs. Il serait inconcevable
de mettre en uvre le mcanisme complet didentification chaque fois quun paquet
de donnes est reu, de la mme manire que le gardien ne peut pas vrifier les cartes
didentit chaque fois quun invit entre ou sort ! Du coup, lidentification initiale
aboutit la mise en place dune identification secondaire valable pour la dure de
la session.
Une solution courante consiste utiliser simplement ladresse rseau (cest-dire ladresse MAC, voir le chapitre 3, 3.1.2) du poste de lutilisateur qui a
t identifi. Par exemple, si on a bien identifi lutilisateur Marc ladresse
00:0E:A6:5C:80:37 , on accepte dornavant tous les paquets de donnes en
provenance de cette adresse : cest lquivalent du bracelet dans notre histoire.
Malheureusement, il existe des adaptateurs WiFi dont on peut changer ladresse
MAC. Ceci permet un pirate de facilement dtourner des sessions : il lui suffit
despionner le rseau en attendant larrive dun utilisateur lgitime. Une fois que
celui-ci sest identifi, le pirate regarde quelle est ladresse MAC de cet utilisateur et
configure son propre adaptateur WiFi pour imiter cette adresse : on parle de spoofing
de ladresse MAC (fig. 6.3).
Lidentification secondaire ( chaque paquet) est donc tout aussi importante que
lidentification primaire ( louverture de la session sur le rseau). Nous verrons que
207
les solutions les plus robustes, mises en uvre par le WPA et le WPA2, consistent
ngocier, lors de lidentification primaire, lchange scuris de cls de cryptage. De
cette faon, un pirate ne peut pas dtourner une session en cours, car il ne connat pas
les cls de cryptage utiliser.
Si lon a un systme qui assure une bonne identification primaire, lchange de
nouvelles cls de cryptage au cours de cette identification, le puissant cryptage des
communications avec ces cls pendant toute la dure de la session (ce qui garantit
quune session ne peut pas tre dtourne facilement), et enfin une bonne rsistance
aux attaques de relecture, alors on peut dire que lon possde un bon niveau de
scurit : cest ce quoffrent le WPA2/AES (cf. 6.4.4).
exemple) ;
lassouvissement dune vengeance ;
le pirate peut galement demander une ranon pour rtablir le service. Cela
sest dj vu avec des sites web trs frquents : le pirate commence par le
bombarder de requtes via Internet au point que le site ne soit plus accessible,
puis il envoie un message pour demander une ranon en change de larrt
de lattaque. Cependant, il est peu probable que des attaques similaires soient
ralises contre un rseau WiFi, car le pirate (ou en tout cas son matriel) doit
obligatoirement se trouver proximit physique du rseau : le risque de se faire
prendre est assez lev en comparaison dune attaque via Internet ;
le pirate peut faire une attaque DoS assez brve dans le but de dconnecter des
utilisateurs pour les forcer se reconnecter quelques instants aprs. Le but est
alors dessayer de subtiliser leurs mots de passe pour pouvoir faire plus tard une
attaque dintrusion.
208
comme nous lavons vu, il est possible de bombarder un site web de requtes : cest
une attaque au niveau de la couche applicative. Dans le cas du WiFi, qui occupe les
couches 1 et 2 du modle OSI (voir les chapitres 2 et 3), les attaques de DoS possibles
se situent donc au niveau de la couche physique et de la couche MAC.
Pour la couche MAC, une attaque consiste mettre sans arrt des paquets, pour
saturer le rseau. Pire, absolument rien nest prvu dans le standard WiFi pour scuriser
les paquets de gestion (tels que les trames balise, les trames dauthentification, de
dsauthentification, et les trames dassociation et de dsassociation), ni pour scuriser
les paquets de contrles (paquets RTS, CTS, ACK...). Le groupe de travail 802.11w
vise actuellement combler ces lacunes.
Conclusion : rien nempche un pirate denvoyer un paquet de dsassociation
tous les utilisateurs connects un AP, en se faisant passer pour lAP (un simple
spoofing dadresse MAC suffit). Les utilisateurs sont alors dconnects de lAP ! Autre
option : le pirate peut sans arrt envoyer des paquets CTS en se faisant passer pour
lAP : tous les utilisateurs croiront que lAP a donn le droit un autre utilisateur
denvoyer son paquet de donnes, et ils se mettront donc en attente.
Aucune solution
Autant le dire franchement : il nexiste aucune faon de se prmunir contre le DoS
en WiFi, mme avec les nouvelles solutions de scurit. Le mieux que lon puisse
faire lors dune attaque DoS est den trouver la source qui doit se situer non loin du
rseau attaqu, et ventuellement dappeler les autorits. Les concepteurs du standard
ont estim que, puisque ces attaques taient toujours possibles au niveau physique1 ,
il ntait pas ncessaire de protger la couche MAC. Pour la protger aujourdhui, il
faudrait crer une nouvelle version de la norme 802.11 qui serait incompatible avec la
norme actuelle. Malheureusement, il est beaucoup plus facile de raliser une attaque
au niveau MAC quau niveau physique : dans le premier cas, il suffit de disposer
dun adaptateur WiFi normal et dun logiciel adapt (certains sont mme disponibles
gratuitement sur Internet), alors que pour une attaque physique, il faut un matriel
spcifique, qui nest pas la porte de tout le monde. Ceci tant dit, dans les faits,
lattaque DoS des rseaux WiFi reste assez rare : cela sexplique sans doute par le fait
que le pirate doit se situer proximit, et que cela ne lui offre que peu dintrts.
Il nexiste aucune faon de se prmunir contre une attaque de dni de service (DoS)
en WiFi. Le mieux que lon puisse faire est de mettre en place un mcanisme de
dtection, et de ragir ds quune attaque a lieu.
1. Dans dautres technologies que le WiFi, il existe des mthodes pour viter les attaques DoS au
niveau physique : en utilisant la modulation FHSS (voir le chapitre 2) sur un spectre trs large et
en convenant dune squence pseudo-alatoire de canaux sur lesquels on met, il est trs difficile
pour un pirate de capter ou de brouiller le signal. Ces techniques sont bien sr trs apprcies par les
militaires.
209
Pour finir sur les attaques DoS, il faut signaler que certains produits de supervision
des rseaux WiFi, dont par exemple AirMagnet, permettent dattaquer en DoS les
rseaux pirates dtects. Si un employ branche un AP non scuris sur le rseau de
lentreprise, le matriel dAirMagnet le dtectera et lattaquera pour empcher qui
que ce soit de sy connecter, le temps que ladministrateur du rseau soit alert et quil
aille retirer manu militari lAP pirate. Pour une fois quune attaque peut savrer utile
pour la scurit du rseau, il fallait le mentionner !
210
Il est plus difficile de mettre en uvre une attaque MiM distance, mais il existe
tout de mme des mthodes qui ont fait leurs preuves. La technique sans doute la
plus utilise exploite le fait que lAddress Resolution Protocol (ARP)1 nest pas du tout
scuris.
Cette attaque est connue depuis longtemps, mais elle a connu un regain dintrt
depuis larrive du WiFi, car un pirate qui parvient se connecter avec succs un
AP lui-mme reli au rseau filaire peut lancer une attaque ARP contre nimporte
quelle station, quelle soit connecte au rseau sans fil ou au rseau filaire (en tout
cas si ces stations sont dans le mme sous-rseau que le pirate). Cela signifie quil
suffit quil y ait un seul AP non scuris reli votre rseau pour quun pirate puisse
espionner et modifier toutes les communications et pas uniquement celles du rseau
sans fil (fig. 6.7) ! Pour en savoir plus sur lattaque ARP, consultez lannexe B sur
www.livrewifi.com.
1. Pour un rappel sur les rseaux IP et leurs protocoles, consultez lannexe A disponible sur le Web.
211
Figure 6.7 Une attaque MiM contre une station du rseau filaire via le rseau sans fil.
212
Nous verrons toutefois que le WEP, le WPA et le WPA2 offrent tous des
mcanismes diffrents pour assurer lintgrit des messages. Le mcanisme du WEP est
malheureusement assez faible.
Il est galement conseill dimposer des rgles quant lutilisation des ondes radio
au sein de lentreprise. Par exemple, on pourrait imposer que le Bluetooth ne soit
utilis que pour synchroniser des PDA et jamais pour autre chose, afin dviter les
interfrences avec le WiFi (sauf bien sr si lon utilise le 802.11a ou le 802.11n
5 GHz qui nentrent pas en conflit avec le Bluetooth, comme nous lavons vu).
213
il faut conserver la liste des adresses MAC de tous les quipements susceptibles
de se connecter au rseau sans fil ;
plus grave encore, il est assez simple pour un pirate de sniffer le rseau, de
noter les adresses MAC dutilisateurs lgitimes, puis de spoofer (imiter) une
adresse MAC lgitime. Bref, cela ne sert qu arrter les petits pirates et les
simples curieux.
Avec ces deux inconvnients, on peut affirmer que le filtrage par adresse MAC ne
vaut pas vraiment la peine dtre mis en uvre.
214
de 40 ou 104 bits1 ;
de mme, tous les utilisateurs doivent configurer leurs adaptateurs WiFi avec
cette mme cl WEP ;
par la suite, tout le trafic WiFi entre les utilisateurs et les AP est crypt. Le
cryptage repose sur un algorithme appel RC4 qui gnre une srie pseudoalatoire de bits. Ce bruit est en quelque sorte superpos au message, ce qui
le rend illisible.
Premire solution de cryptage avoir t standardise par lIEEE, Wired Equivalent
Privacy (WEP) signifie scurit quivalente au filaire . Malheureusement, dans la
pratique, la solution WEP ne sest pas montre la hauteur de sa dfinition : peine
quelques mois aprs sa publication, des failles importantes ont t dcouvertes dans le
WEP et exploites presque immdiatement dans des attaques contre des rseaux WiFi.
Des outils sont mme disponibles gratuitement sur Internet qui permettent de casser
la cl WEP, cest--dire, en possdant suffisamment de paquets crypts, de retrouver
quelle cl WEP a servi au cryptage. Il suffit alors un pirate de configurer son propre
adaptateur avec cette cl WEP pour rendre le cryptage tout fait inutile.
Le WEP a un autre problme majeur : tout le monde partage la mme cl WEP.
Cela signifie que si la cl doit tre change, il faut le faire sur tous les postes et
dans tous les AP. Ceci impose une norme lourdeur de gestion. Cest dautant plus
grave que pour assurer une scurit minimale, il faut changer la cl rgulirement, en
particulier chaque fois quelle risque davoir t compromise, ou lorsquun employ
quitte la socit. En outre, une seule indiscrtion dun employ suffit compromettre
1. Comme nous le verrons, la cl utilise pour le cryptage est constitue de la cl WEP secrte
prcde de 24 bits qui changent chaque paquet envoy, mais qui ne sont pas secrets. Nanmoins,
pour des raisons commerciales, certains constructeurs dAP parlent de cls WEP de 64 ou 128 bits.
215
la scurit pour toute la socit. Enfin, puisque tous les employs ont la mme cl, rien
nempche un employ mal intentionn despionner ou dattaquer ses collgues.
Aujourdhui, il est fort conseill dabandonner le WEP au profit du WPA ou du WPA2.
Cette stratgie est efficace pour protger le rseau local, mais elle prsente plusieurs
inconvnients :
pour les employs, le rseau sans fil ne sert qu accder Internet (ou se
connecter entre eux) : il nest pas possible daccder au rseau filaire, moins
dtablir un tunnel VPN (voir le paragraphe suivant) ;
les employs connects sans fil sont en contact direct avec Internet et peuvent
plus facilement tre attaqus depuis Internet. Il faut donc installer un deuxime
pare-feu (ventuellement intgr dans chaque AP) pour protger les employs ;
un pirate peut toujours attaquer les utilisateurs connects au rseau sans fil.
Pour viter cela, certains AP peuvent tre configurs pour interdire toute
communication entre les utilisateurs sans fil. Malheureusement, les employs ne
pourront plus communiquer entre eux. Cela nempche toutefois pas le pirate
despionner les communications ;
sil parvient sassocier un AP, un pirate peut abuser de la connexion
Internet. Pour limiter ce risque, lAP peut tre reli un pare-feu (encore une
fois, il peut tre intgr dans lAP) et un systme de contrle de la navigation
Internet.
Cette isolation complte du rseau sans fil tait parfaitement justifie lorsquil
nexistait pas de solution fiable pour scuriser un rseau WiFi mais depuis lapparition
216
de produits WPA et WPA2, lintrt est trs limit. Nanmoins, si le rseau sans fil ne
doit rellement tre utilis que pour accder Internet, alors cette architecture peut
contribuer protger le rseau de lentreprise.
217
mettre en uvre1 . Il faut tre trs attentif leur configuration pour viter des
failles de scurit ;
il faut bien choisir la solution VPN, car toutes noffrent pas ncessairement
un bon niveau de scurit : la solution PPTP nest pas considre comme trs
robuste ;
tout le trafic doit passer par un serveur VPN qui ne gre souvent quun nombre
limit de connexions simultanes ;
en passant par un tunnel VPN, le dbit est parfois rduit et le temps de latence
augment ;
il nest pas trs pratique pour lemploy davoir tablir deux connexions
(association WiFi puis connexion VPN) avant de pouvoir profiter du rseau.
Malgr ces dfauts, la solution VPN tait la seule rellement offrir un niveau
important de protection avant larrive du WPA et du WPA2. Si votre matriel WiFi
ne gre pas le WPA ou le WPA2 ou si vous avez dj un VPN en place, cette solution
est sans doute lune des plus appropries. Les rseaux VPN nont rien de spcifique
au WiFi. De plus, mettre en place un rseau VPN est assez complexe et demanderait
un ouvrage complet. Pour toutes ces raisons et sachant que le WPA et le WPA2 sont
dexcellentes alternatives, nous ne dtaillerons pas davantage les VPN.
218
6.4.3 Le WPA
La WiFi Alliance (lassociation de constructeurs qui a dfini le WiFi partir du
standard 802.11) dcida alors quelle ne voulait ni attendre la parution du 802.11i, ni
accepter que chaque constructeur dfinisse sa propre solution. Sa conclusion fut quil
tait ncessaire davoir rapidement au moins une version allge du futur 802.11i. Cest
ainsi quelle dfinit la solution Wireless Protected Access (WPA) : il sagit dune version
allge du standard 802.11i. Il existe deux variantes du WPA : le WPA Personal,
galement appel WPA-PreShared Key (WPA-PSK) et le WPA Enterprise. Le WPAPSK suppose la configuration dune cl partage dans tous les AP et quipements
connects au rseau. Le WPA Enterprise repose sur le protocole 802.1x et un serveur
dauthentification RADIUS ( limage du LEAP).
Le WPA repose sur le cryptage Temporal Key Integrity Protocol (TKIP) qui a t
conu de telle sorte quil soit possible de le mettre en uvre dans les AP existants, par
le biais dune simple mise jour de firmware (le microprogramme contenu dans lAP).
Tout en reposant encore sur lalgorithme RC4, comme le WEP, il corrige toutes les
failles du WEP et peut tre considr comme trs robuste. Toutefois, il na t dfini
que pour servir de transition vers le 802.11i, qui est la solution la plus sre.
219
le WPA est une version allge du 802.11i conue pour fonctionner avec le
Rsum
Pour conclure ce chapitre, passons rapidement en revue ce que nous avons appris :
Un systme dinformation est scuris sil assure la confidentialit et lintgrit
des donnes, ainsi que la disponibilit du systme : on parle des qualits CID. Des
mcanismes de non-rpudiation peuvent galement tre mis en uvre, mais pas au
niveau du WiFi.
Assurer la scurit dun systme impose une vision globale et pas uniquement
technique : cela implique de mettre en place une organisation de scurit transversale
et indpendante dans lentreprise, de dfinir une politique globale, et dassurer la
scurit tous les chelons : en particulier aux niveaux organisationnel, humain,
donnes, logiciels, rseau et physique. Lensemble du systme informatique doit tre
compartiment et les droits des utilisateurs doivent tre restreints pour viter quune
personne connecte au rseau, comme un visiteur ou mme un employ, puisse tout
faire.
Le wardriving a mis en vidence limportance de scuriser les rseaux sans fil contre
les attaques de rels pirates ou de simples curieux.
Les attaques possibles contre un rseau WiFi peuvent tre classes en quatre
catgories : espionnage, intrusion, modification des donnes et dni de service. Les
attaques de type relecture ou de type MiM peuvent servir mettre en uvre lun des
quatre types dattaques fondamentales.
Les parades possibles incluent : le cryptage des donnes changes, un mcanisme
fiable didentification des utilisateurs, le contrle rigoureux de lintgrit des messages
changs, un mcanisme pour empcher la relecture danciens messages. Tout cela
est mis en uvre dans le WPA et le WPA2 que nous tudierons dans les prochains
220
7
Le WEP
Objectif
Bien que de nombreuses failles, toutes plus graves les unes que les autres, aient t
dcouvertes dans le Wired Equivalent Privacy (WEP), il sagit encore aujourdhui
dune solution utilise dans de nombreuses entreprises. Lidal est de mettre jour
ses quipements pour passer au WPA, voire au WPA2.
Ce chapitre a pour but de prsenter rapidement les mcanismes et la mise en uvre
du WEP, entre autres pour vous convaincre de ses dfauts, mais surtout pour mieux
comprendre le WPA.
1. Le standard ne prcise rien quant la faon dinstaller la cl WEP dans chaque quipement. Dans
la pratique, on doit la saisir manuellement.
222
Chapitre 7. Le WEP
223
Chapitre 7. Le WEP
224
exemple, la cl numro 1.
225
Le broadcast et le multicast
Il subsiste cependant un problme : que faire du trafic broadcast, cest--dire les paquets
envoys tout le monde ? Plus prcisment, si un utilisateur veut envoyer un paquet
tout le monde, avec quelle cl WEP devra-t-il le crypter ? Avant de rpondre
cette question, rappelons quen mode Infrastructure, comme nous lavons vu au
chapitre 3 ( 3.2.1), chaque paquet mis par un utilisateur passe dabord par lAP
auquel lutilisateur est associ et cet AP se charge ensuite de relayer le paquet vers sa
destination. En mode Infrastructure, le trafic broadcast proprement dit (diffus vers
tout le monde) est donc systmatiquement mis par un AP, jamais directement par un
utilisateur.
Cela rduit le problme du broadcast. En effet, puisque tous les paquets mis par
un utilisateur passent par lAP, quils soient adresss une seule station (unicast)
ou tout le monde (broadcast), lutilisateur peut systmatiquement utiliser sa cl
WEP individuelle pour mettre les paquets. LAP recevra le paquet crypt et saura le
dcrypter car il possde la cl individuelle de lutilisateur. Reste ensuite lAP le rle
dacheminer le paquet destination.
Pour les paquets adresss tout le monde, lAP doit-il envoyer une copie chaque
utilisateur, individuellement ? Ce ne serait certainement pas efficace ! Pour cette
raison, lIEEE a dcid que pour le trafic broadcast mis par lAP, une cl WEP partage
Chapitre 7. Le WEP
226
(connue de tous) serait utilise. Pour que tous les postes puissent recevoir et dcrypter
ce trafic broadcast, ils doivent donc connatre la cl WEP en question.
Configuration du rseau
Pour rsumer, lorsque lon dcide de mettre en place une architecture WEP avec des
cls individuelles, il faut :
configurer chaque poste avec sa propre cl WEP individuelle, et lactiver : cette
cl WEP sera donc utilise pour crypter tous les paquets mis et pour dcrypter
les paquets reus (sauf le trafic broadcast et multicast) ;
configurer chaque poste avec la cl WEP partage, mais ne pas lactiver : cela
signifie que cette cl pourra uniquement servir dcrypter certains paquets reus
(en principe uniquement le trafic broadcast et multicast), mais pas les messages
mis ;
configurer tous les AP avec les cls WEP individuelles de chaque employ,
associes aux bonnes adresses MAC ;
configurer tous les AP avec la cl WEP partage.
Dans cette architecture, chaque station a toujours au moins deux cls WEP un
moment donn : la cl partage et la cl individuelle. Cela explique pourquoi lIEEE
autorise la dfinition de quatre cls : imaginez que vous souhaitiez la fois changer la
cl WEP partage et les cls WEP individuelles en suivant le mcanisme de rotation
de cl dfini plus haut, vous voyez que quatre cls seront ncessaires pour assurer
une transition douce : lancienne cl WEP partage, la nouvelle cl WEP partage,
lancienne cl WEP individuelle et la nouvelle cl WEP individuelle.
227
Dans la pratique, la lourdeur de gestion des cls individuelles est telle que bien peu
dentreprises ont mis ce mcanisme en uvre, malgr le lger gain de scurit quil
offre.
Chapitre 7. Le WEP
228
XOR est une opration trs simple et trs rapide qui se droule au niveau de chaque
bit : on peut le concevoir comme une addition binaire sans retenue. Ainsi :
00=0
01=1
10=1
11=0
Si lon applique le XOR sur une srie de bits, on procde simplement bit par bit.
Voici ce que cela donne pour un octet :
1001 0011 1110 1001 = 0111 1010
En notation dcimale, cela correspond : 147 233 = 122. Un aspect trs important du XOR est quen rptant la mme opration deux fois, on revient la valeur
initiale : a b b = a. Donc, dans notre exemple, 147 233 233 = 122 233 =
147. Voyons maintenant comment tout ceci est exploit avec le WEP.
Procdure de cryptage
Une faon de crypter un message en utilisant RC4 est de raliser un ou exclusif
entre le message et la squence de bits pseudo-alatoires gnre par RC4 : le message
crypt est alors illisible pour un espion. Si le rcepteur connat la cl RC4 qui a t
utilise par lmetteur, il peut gnrer nouveau la mme squence pseudo-alatoire
et la combiner avec lopration XOR au message crypt : il obtient ainsi le message
original ! Rsumons (fig. 7.5) :
lmetteur gnre une squence de bits pseudo-alatoire R de mme longueur
que le message envoyer : pour cela il utilise lalgorithme RC4 initialis avec
une cl RC4 ;
il calcule le message crypt C partir du message en clair M de la faon suivante :
C=MR;
il met C, qui ressemble une squence de bits alatoires ;
larrive, on suppose que le destinataire connat la cl RC4 qui a t utilise
par lmetteur : il gnre donc lui aussi la squence de bits pseudo-alatoire R
partir de cette cl ;
pour retrouver le message en clair M, il calcule : M = C R.
229
Notons que cette mthode nest quune faon parmi dautres dutiliser RC4 pour
crypter un message, mais cest bien celle qui est employe par le WEP ainsi que
par le WPA. En soit, il sagit dun cryptage assez sr... mais alors, do viennent les
vulnrabilits du WEP, et pourquoi le WPA est-il nettement plus robuste, alors quil
repose sur le mme mcanisme de cryptage ? Pour le comprendre, il faut aller un peu
plus loin dans la comprhension des mcanismes du WEP.
Chapitre 7. Le WEP
230
Cl WEP (fixe)
ID
Donnes cryptes
ICV crypt
3 octets
1 octet
0 2304 octets
4 octets
Le champ ID indique laquelle des quatre cls WEP (de 0 3) a t utilise pour
le cryptage. Nous reviendrons sur le champ ICV plus loin, mais pour lheure sachez
juste quil fait partie du message crypt. Il suffit donc au rcepteur de lire lIV, de le
rajouter avant la bonne cl WEP pour former la cl RC4, et partir de l de dcrypter
le message.
Le vecteur dinitialisation (IV) est un nonce (un nombre cens ntre utilis quune
seule fois) gnr pour chaque paquet. Il est rajout avant la cl WEP pour former la
cl RC4 qui sert crypter le paquet. Pour que le rcepteur puisse dcrypter le paquet,
lIV est envoy avec le paquet.
Voil, vous savez tout sur les mcanismes du cryptage WEP : ce nest certainement
pas le mcanisme le plus complexe qui soit, et il semble bien conu au premier abord.
Malheureusement, nous verrons plus loin quil est cribl de failles. Entre autres, lIV
est trop court : tt ou tard, un mme IV est rutilis, donc la mme cl RC4 sert
crypter deux paquets distincts, ce qui est trs mauvais, comme nous lavons vu. LIV
utilis par le WPA est beaucoup plus long, ce qui permet de garantir que deux paquets
231
distincts nutiliseront jamais la mme cl RC4. Cest lun des nombreux avantages du
WPA sur le WEP.
Chapitre 7. Le WEP
232
LICV
Pour rsoudre ce problme, le WEP a dfini un mcanisme assez simple (fig. 7.6) :
un code de vrification de lintgrit du message (Integrity Check Value, ICV) est
calcul de faon similaire au CRC habituel, sur 32 bits galement. Toutefois, lICV
est calcul non pas partir du paquet prt partir (cest--dire crypt) comme le
CRC habituel, mais partir du message original (en clair). LICV est insr la fin du
message, et le tout est crypt par lalgorithme dcrit prcdemment.
Pour prciser lgrement ce qui a t dit plus haut, si le message original est M et
que la squence pseudo-alatoire gnre par lalgorithme RC4 est R, alors le message
crypt C est dfini par la formule suivante :
C = [ M || CRC(M) ] R
( || signifie suivi de )
233
Nous avons vu que deux paquets C1 et C2 crypts avec la mme cl RC4 sont
vulnrables car C1 C2 = M1 M2 . Le pirate peut donc retrouver M1 et M2 , au
moins en partie. En outre, la taille de la cl WEP utilise (40 ou 104 bits) na aucune
influence sur cette attaque. Cette attaque vous parat grave ? Il y a bien pire...
Un dictionnaire de dcryptage
Admettons que le pirate parvienne connatre le contenu en clair de certains paquets
crypts (nous verrons ci-dessous comment il peut procder) : il dispose alors de la
version crypte C et de la version en clair M. Il lui suffit de calculer C M pour
trouver la squence de bits pseudo-alatoires R qui a servi crypter M. Comme il
connat galement lIV qui est indiqu en clair dans le paquet, il peut dsormais
utiliser R pour dcrypter tous les paquets envoys avec le mme IV. Du moins, tous
les paquets dune taille infrieure ou gale R : le pirate doit donc sarranger pour que
ces paquets connus soient aussi longs que possible. Nous y reviendrons.
Le pirate peut ainsi se constituer un dictionnaire contenant toutes les squences
pseudo-alatoires correspondant aux IV dj rencontrs. Une fois termin, le dictionnaire a une taille infrieure 30 Go, ce qui tient largement sur un disque dur. Ds
lors, quand le pirate reoit un paquet crypt, il lui suffit de regarder quel est son IV,
et de trouver dans le dictionnaire la squence pseudo-alatoire correspondant cet
IV : elle lui sert alors dcrypter tout simplement le message. Notons que le pirate
ne connat pas la cl WEP elle-mme, ni les cls RC4, mais il connat toutes les
squences pseudo-alatoires utilises pour le cryptage, ce qui est tout aussi utile. Il
Chapitre 7. Le WEP
234
peut mme gnrer lui-mme ses propres paquets, correctement crypts. En outre, tout
ceci peut tre automatis : en quelques heures ou quelques jours, le pirate se constitue
automatiquement son dictionnaire, et ensuite il accde au rseau comme un utilisateur
lgitime !
Reste savoir comment le pirate peut connatre la version en clair de nombreux
paquets. Cest ce que nous allons voir maintenant.
Relecture de ping
Pour pouvoir envoyer des requtes ping, le pirate a une premire option : il peut
attendre quune requte ping soit envoye par un utilisateur lgitime du rseau. Il lui
suffit alors denregistrer cette requte, puis de la rpter sans arrt : puisque le WEP
noffre aucune protection contre la relecture (contrairement au WPA et au WPA2),
le destinataire du paquet rpondra tout fait normalement.
Cependant, cette solution a deux inconvnients pour le pirate : dune part, il aura
du mal reconnatre les requtes ping, car elles sont cryptes. Dautre part, le pirate
doit envoyer des ping contenant un maximum de texte, afin de pouvoir rcuprer
une squence pseudo-alatoire aussi longue que possible pour chaque IV. Or, un ping
habituel est trs court. Mais il y a mieux...
235
Chapitre 7. Le WEP
236
Casser la cl WEP
Malheureusement, le cryptage WEP tombe dans la faille des cls faibles : en effet, ce
sont avant tout les premiers bits de la cl RC4 qui dterminent si elle est faible ou
non. Puisque lIV est rajout avant la cl WEP pour former la cl RC4 et que lIV
change tout le temps, on peut tre sr que lon utilisera frquemment des cls faibles.
Il suffit donc un pirate de sniffer le rseau WiFi la recherche de paquets
crypts avec des cls faibles. Puisque lIV est envoy en clair et quil correspond au
dbut de la cl RC4 (qui dtermine si une cl est faible ou non), il est facile de
savoir si la cl utilise pour crypter un paquet est faible ou non. Ds quil a captur
suffisamment de paquets crypts avec des cls faibles, il utilise un algorithme (trop
complexe pour tre dtaill ici) qui permet de retrouver la cl WEP ! Cet algorithme
prend un temps seulement proportionnel la taille de la cl WEP, ce qui signifie que
les cls de 104 bits ne sont quun peu plus de deux fois plus longues casser que les
cls de 40 bits. En dautres termes, la taille de la cl WEP na que peu dimportance.
Cette attaque a plusieurs avantages sur la prcdente :
elle peut se faire sans agir sur le rseau, ce qui vite au pirate dtre dtect ;
elle peut tre beaucoup plus rapide car il suffit davoir un nombre suffisant de
paquets crypts avec une cl faible : sur un rseau trs actif et avec un peu de
chance on peut mme craquer une cl WEP en moins de 10 minutes !
la fin, le pirate possde la cl WEP, et non un dictionnaire de 30 Go. Cest
tout de mme plus pratique.
Le seul inconvnient de cette attaque est quelle peut prendre beaucoup de temps
si le rseau sans fil na pas beaucoup de trafic. Dans ce cas, elle peut tre combine
lattaque prcdente pour gnrer artificiellement du trafic sur le rseau.
Sil ny avait quune faille retenir, ce serait donc celle-ci : si un pirate peut trouver
la cl WEP du rseau sans fil, tout le chteau de cartes scroule. Il peut dchiffrer
237
tous les messages. Il peut sassocier lAP, et envoyer lui-mme des paquets. Il peut
intercepter des paquets et les falsifier. Bref, si le pirate possde la cl WEP, le WEP ne
vaut plus rien.
Peu de temps aprs la parution de cet article, des outils furent crs, mettant en
uvre cette attaque : AirSnort, WEPCrack et dweputils... disponibles gratuitement
sur Internet !
Devant lampleur du dsastre, des constructeurs ont ragi en crant des adaptateurs
WiFi capables dviter les IV qui produisent les cls faibles. Rappelons en effet que
lmetteur peut choisir lIV comme bon lui semble. Rien ne lempche donc dviter
les IV produisant des cls faibles. Si tous les adaptateurs des stations du rseau vitent
les cls faibles, alors cette attaque nest plus possible. Malheureusement, en rduisant
considrablement le nombre dIV possibles, cela rend lattaque prcdente beaucoup
plus rapide car les IV sont alors beaucoup plus rapidement rutiliss.
Chapitre 7. Le WEP
238
239
On y est presque : il reste juste exploiter le fait que lalgorithme CRC est linaire
et lon obtient :
C = [ M || CRC(M ) ] R
Si lon note M = M , on trouve :
C = [ M || CRC(M) ] R
Comme par magie, on voit que C ressemble parfaitement un paquet normal :
pour sen convaincre, il suffit de comparer ce rsultat la dfinition de C prcdente.
Du coup, C sera tout fait accept par le destinataire, qui ne saura donc pas que le
paquet aura t modifi par un pirate !
Rsumons : un pirate peut modifier comme il le souhaite nimporte quel paquet, et
le mcanisme de contrle dintgrit du WEP nest dabsolument aucun secours. Pour
cela, il lui suffit dappliquer la formule :
C = C [ || CRC() ]
Rsum
La solution de scurit WEP est la premire avoir vu le jour, ds 1997, dans la
norme 802.11. Elle est trs simple mettre en uvre puisquil suffit de configurer
chaque quipement avec une cl WEP de 40 ou 104 bits, saisie en gnral au format
hexadcimal. Par la suite, toutes les communications sont cryptes grce cette cl
WEP partage. La mme cl est utilise dans tous les quipements, ce qui est loin
dtre idal, tant pour la scurit que pour la maintenance : si la cl est compromise,
il faut la changer dans tous les quipements.
Pour faciliter et encourager le changement frquent de cl WEP, la norme 802.11
autorise que jusqu quatre cls WEP soient dfinies. Une seule est utilise pour le
cryptage (la cl active ) mais toutes peuvent tre utilises pour le dcryptage. Pour
changer de cl WEP, il suffit donc de rajouter une nouvelle cl WEP dans tous les
AP, sans lactiver, puis dinstaller progressivement la nouvelle cl WEP dans toutes
les stations, en lactivant et enfin dactiver la nouvelle cl WEP dans les AP.
Une cl WEP individuelle peut tre installe et active sur un poste. Il faut
galement la configurer dans chacun des AP, en lassociant ladresse MAC du poste
en question. Lorsque lAP reoit ou envoie un paquet pour un pour un poste donn, il
utilise la cl WEP individuelle de ce poste pour crypter ou dcrypter le paquet. Ceci
240
Chapitre 7. Le WEP
permet damliorer la scurit en vitant quune mme cl soit utilise par tout le
monde pour leurs communications. Cependant, une cl partage doit tout de mme
tre installe pour le trafic broadcast et multicast.
Le cryptage WEP repose sur lalgorithme RC4 qui gnre une srie potentiellement
infinie de bits pseudo-alatoires partir dun point de dpart : la cl RC4. Le
cryptage WEP fonctionne simplement en combinant une squence pseudo-alatoire
au message crypter grce lopration XOR (ou exclusif, not ). Celle-ci peut
tre vue comme une addition binaire sans retenue. La cl RC4 est constitue dun
vecteur dinitialisation (IV) de 24 bits, suivi de la cl WEP. LIV change pour chaque
paquet envoy et est insr en clair avant le message. Le rcepteur peut ainsi, partir
de lIV du paquet et de la cl WEP quil connat, reconstituer la cl RC4, et partir
delle dcrypter le message. Le numro de la cl WEP utiliser (de 0 3) est indiqu
dans le paquet, juste aprs lIV.
La solution WEP met galement en uvre un mcanisme cens garantir lintgrit
des paquets changs, pour sassurer quils nont pas t modifis par un pirate : lICV
est calcul sur le message en clair (cest un simple CRC de 32 bits) et rajout la fin
du message pour tre crypt avec lui.
Enfin, un mcanisme dauthentification peut optionnellement tre mis en uvre :
avant de sassocier un AP, une station envoie une requte dauthentification. Si
lauthentification WEP est active, lAP rpond par un dfi : un texte alatoire de
128 caractres, que la station doit crypter et renvoyer. LAP vrifie alors que le texte
crypt est le bon, et autorise ou non la station sassocier.
Nous avons tudi plusieurs attaques possibles et conclu que tous les mcanismes
de scurit du WEP pouvaient tre casss par un pirate modrment comptent et
motiv : le cryptage, lintgrit et lauthentification sont tous vulnrables.
Pour conclure simplement, le WEP est mieux que rien, mais il faut ds que possible
passer au WPA ou au WPA2.
8
Le 802.1x
Objectif
Jusquici, nous avons dcrit des mesures de scurit assez faibles : viter le dbordement radio, dtecter les AP pirates, masquer le SSID, filtrer par adresse MAC,
utiliser le cryptage WEP, etc. Chacune apporte sa pierre ldifice, mais aucune ne
constitue une vritable muraille contre un pirate motiv et comptent. Il est donc
temps daborder le protocole EAP : il est la base du 802.1x, sur lequel reposent
leur tour les nouvelles solutions de scurit du WiFi, le WPA Enterprise et le WPA2
Enterprise1 .
Le but du protocole EAP est didentifier et d authentifier ) les utilisateurs
(cest--dire vrifier leur identit) avant de les laisser rentrer sur le rseau. Nous commencerons par parler rapidement de son origine avant daborder son fonctionnement.
Lune des beauts de ce protocole est quil est assez souple pour grer de multiples
mthodes dauthentification : mot de passe, carte puce, certificats lectroniques, etc.
Nous prsenterons donc les principales mthodes utilises aujourdhui, en mettant
laccent sur leurs avantages et inconvnients en termes de scurit et de facilit de
gestion.
Le protocole EAP peut tre utilis dans de multiples contextes, et le WiFi nen est
quun parmi dautres. Ce chapitre ne comporte donc que peu dallusions au WiFi,
mais rassurez-vous, il est loin dtre hors sujet : comme nous lavons dit, la scurit du
WPA Enterprise et du WPA2 Enterprise dpend directement dEAP. Si vous mettez
en uvre une mthode dauthentification EAP offrant peu de scurit, alors votre
protection WPA ou WPA2 ne vaudra pas grand-chose.
1. Le WPA Personal et le WPA2 Personal reposent sur une simple cl partage, ils nutilisent donc
pas les mcanismes dauthentification du 802.1x.
Chapitre 8. Le 802.1x
242
8.1.1 LIETF
Au cours des chapitres prcdents, nous avons dj parl maintes fois de lIEEE, qui a
standardis un grand nombre de technologies lies aux rseaux et llectronique,
commencer par le WiFi. Mais nous navons pas encore mentionn lIETF. Or, lIETF a
standardis la plupart des protocoles qui rgissent lInternet, commencer par IP, PPP,
HTTP et bien dautres encore, dont la plupart des protocoles dont nous allons parler
dans ce chapitre.
LIETF est un organisme atypique : informel et auto-organis, il ne sagit ni dune
association, ni dune socit prive, ni dun organisme gouvernemental. En principe,
nimporte qui peut proposer un nouveau protocole lIETF : il sagit de proposer un
document dfinissant prcisment ce protocole, en suivant une nomenclature assez
stricte. ce stade, il sagit dun draft, cest--dire un brouillon. Aprs de nombreuses
relectures, un travail de peaufinage mticuleux, et si le document est considr comme
assez srieux, il est promu au rang de Request For Comments (RFC), cest--dire
littralement demande de commentaires . Vous pouvez librement mettre des
commentaires et suggrer des amliorations. Parfois, suite aux commentaires, une
nouvelle RFC est cre, et rend la prcdente obsolte. Cest ainsi, par exemple,
que lEAP a t dfini dans la RFC 2284. En juin 2004, elle a t remplace par
la RFC 3748 qui lui a apport quelques corrections et de nombreuses prcisions,
notamment concernant la scurit.
Aprs parfois de longues annes, une ou plusieurs RFC peuvent tre intgres
dans un vritable standard. Ceci dit, de nombreuses RFC sont utilises bien avant
dtre officiellement standardises. De mme, certains drafts ont du succs. Il ne faut
cependant compter que sur les plus stables dentre eux, et surtout ceux qui ont le plus
de chance de devenir un jour des RFC.
Toutes les RFC (ainsi que les drafts les plus srieux) sont publies sur le site web de
lIETF (www.ietf.org), aussi nous vous invitons y jeter un coup dil : malgr leur
apparence austre, les RFC sont en fait assez lisibles... si lon parle anglais, bien sr ! Il
existe heureusement des traductions en franais de nombreuses RFC1 .
243
revenir son origine : si vous avez dj lanc une connexion Internet via un modem
tlphonique classique1 , votre ordinateur a commenc par tablir une connexion avec
une sorte de central tlphonique compos dune batterie de modems eux-mmes
relis Internet (fig. 8.1). Ce central, mis en uvre par un Fournisseur dAccs
Internet (FAI), sappelle un point de prsence (Point of Presence, PoP). La connexion
entre votre modem et lun des modems du PoP repose sur un protocole trs rpandu :
le Protocole de Point Point (Point-to-Point Protocol, PPP), dcrit dans la RFC 1661
et quelques RFC associes.
Le PPP dfinit notamment comment vous devez vous identifier : un mot de passe
vous a t attribu par votre FAI, et vous devez simplement prouver que vous le
connaissez. Si cest le cas, le PoP vous laisse passer vers Internet, sinon, vous recevez
un refus catgorique et la connexion est interrompue.
PAP
Le Password Authentication Protocol (PAP) est dfini dans la RFC 1334. Il sagit sans
doute du plus simple des mcanismes dauthentification : le client envoie son mot de
passe, en clair, cest--dire non crypt ! Dans la pratique, le PAP est si peu sr quil
nest utilis que lorsquun autre mcanisme permet dassurer la scurit de lchange.
CHAP
Le protocole Challenge Handshake Authentication Protocol (CHAP) est dfini dans
la RFC 1994. Le serveur commence par envoyer un dfi au client (16 octets
alatoires), ainsi quun compteur quil incrmente chaque fois quil lance un dfi
(fig. 8.2). Le client doit alors passer le compteur, son mot de passe et le dfi au travers
dun algorithme de hachage, habituellement lalgorithme MD52 . Le rsultat est une
1. On parle de connexion RTC (Rseau tlphonique commut).
2. MD5, dfini dans la RFC 1321, est un algorithme conu (encore une fois) par Ron Rivest.
Chapitre 8. Le 802.1x
244
squence de bits pseudo-alatoires quon appelle le hash (de 16 octets dans le cas de
MD5). Ce hash est envoy au serveur, qui peut alors effectuer le mme calcul et vrifier
si son rsultat concorde avec celui du client. Cet algorithme permet dviter que le mot
de passe ne soit transfr et vite galement quun pirate ne rpte simplement une
authentification russie quil aurait enregistre auparavant, puisque le dfi change
chaque authentification. Il ne permet cependant pas au client de sassurer de lidentit
du serveur.
MS-CHAP
Ce protocole, souvent appel MS-CHAP-v1, a t dfini par Microsoft dans la
RFC 2433. Il sagit dune variante de CHAP, destine en amliorer la scurit. Lun
des problmes de CHAP est le fait quil soit ncessaire de stocker le mot de passe en
clair sur le serveur1 : sinon, impossible de calculer le hash et de vrifier lidentit du
client. Toute personne ayant accs la base de donnes des utilisateurs peut donc
voir les mots de passe de tout le monde ! Pour viter cela, MS-CHAP spcifie que le
serveur doit stocker non pas le mot de passe, mais le rsultat dun hash sur ce mot
de passe (selon un algorithme propritaire de Microsoft). Lorsque lutilisateur saisit
son mot de passe, celui-ci doit dabord tre pass au travers du mme algorithme de
hash avant de suivre la procdure habituelle de CHAP. Malheureusement, MS-CHAP
comporte des failles de scurit (dues en particulier au hash propritaire de Microsoft)
qui lont rendu rapidement obsolte : seuls quelques vieux systmes Windows 95/98
lutilisent encore.
1. Ou en tout cas de telle sorte que lon puisse facilement rcuprer le mot de passe en clair.
245
MS-CHAP-v2
Suite la dcouverte des failles de scurit dans MS-CHAP, Microsoft a ragi en
concevant cette version 2, dfinie dans la RFC 2759. Nettement plus robuste, ce
protocole fournit notamment un mcanisme dauthentification mutuelle : le serveur
sassure de lidentit du client et vice versa, ce qui nest pas le cas avec les mthodes
dauthentification prcdentes. Le MS-CHAP-v2 est largement utilis dans les rseaux
Windows, depuis la version Windows 2000.
1. La terminologie peut devenir assez confuse car les protocoles EAP, 802.1x et RADIUS ont tous
des mots diffrents pour dsigner les mmes choses. Par exemple, le client sappelle respectivement
peer, supplicant et user dans ces trois protocoles. De mme, le contrleur daccs sappelle authenticator
dans lEAP et le 802.1x, mais Network Access Server (NAS) ou client dans le RADIUS. Pour parfaire
la confusion, authenticator signifie tout autre chose dans le RADIUS !
Chapitre 8. Le 802.1x
246
Voici une petite analogie qui vous aidera peut-tre mieux vous reprsenter EAP :
le contrleur daccs est un gardien muscl, mais pas trs brillant. Lorsquun visiteur
veut rentrer, le gardien demande au patron (le serveur dauthentification) ce quil faut
lui dire. Il rpte ensuite au visiteur, mot pour mot, ce qua dit le patron. Si le visiteur
donne un mot de passe ou fournit des informations quelconques, le gardien rpte tout
au patron, sans rflchir. Mais lorsque le patron dit enfin que le visiteur peut rentrer,
le gardien comprend, et il laisse rentrer le visiteur.
Le fait que le contrleur daccs ne soit quun intermdiaire entre le client et le
serveur est lun des grands intrts de lEAP : en effet, si lon invente une nouvelle
mthode dauthentification, il ne sera pas ncessaire de changer les contrleurs daccs,
car seuls les clients et le serveur dauthentification devront tre mis jour. En outre,
les contrleurs daccs sont parfois de simples quipements sans grande puissance
de calcul ou difficiles mettre jour, et il est bon que leur rle se limite servir
dintermdiaire.
Lors de lauthentification EAP, le contrleur daccs nest quun simple intermdiaire
entre lutilisateur et le serveur. Ds que lutilisateur est bien authentifi par le serveur,
le contrleur daccs le laisse passer vers le rseau.
Un exemple de configuration
Pour illustrer larchitecture EAP, voici un exemple de configuration possible dans un
contexte WiFi (fig. 8.4) :
Le client possde un logiciel de connexion fourni avec son adaptateur WiFi.
247
Le logiciel client
Le logiciel de connexion du client (appel le client EAP ) peut tre fourni avec
ladaptateur WiFi. Il peut galement tre achet auprs dun diteur de logiciels : par
exemple, Odyssey Client de la socit Funk Software, ou Aegis Client de Meetinghouse.
Il existe galement des logiciels Open Source, comme Xsupplicant, pour Linux.
Le client EAP peut aussi tre intgr au systme dexploitation. Windows possde
ainsi un client EAP capable de grer de multiples mthodes dauthentification pour
toutes vos connexions rseau (filaires ou non). De mme pour Mac OS.
Il est important de prendre le temps de bien choisir le client EAP, en fonction bien
sr de son cot, mais aussi de son ergonomie, sa stabilit, les mthodes dauthentification quil est capable de grer, son ouverture (Open Source ou non), la qualit du
support disponible, et les plates-formes sur lesquelles il peut fonctionner.
Voici un petit rsum des caractristiques de quelques-uns des principaux logiciels
clients EAP utiliss aujourdhui dans le cadre du WiFi. Cette liste est bien sr
susceptible dvoluer rapidement et est prsente titre indicatif.
Chapitre 8. Le 802.1x
248
Logiciel client
Systme dexploitation
Xsupplicant
(Open Source)
Linux
Client Windows
Windows XP
Client Mac OS
Mac OS
Odyssey
Windows et Pocket PC
Aegis
Le serveur dauthentification
Dans notre exemple, nous avons choisi un serveur de type RADIUS, car il sagit de
la solution presque universelle utilise avec EAP. Toutefois, nimporte quel serveur
compatible EAP peut faire laffaire, comme par exemple un serveur Diameter. Le
protocole Diameter a t dfini en septembre 2003 dans la RFC 3588. Il sagit dune
version amliore du protocole RADIUS, mais il nest pas encore trs rpandu.
Lorsque lon met en place une architecture 802.1x, le serveur dauthentification est
gnralement un serveur de type RADIUS.
Le choix du serveur est videmment trs important : comme pour le logiciel client,
il faut valuer attentivement son cot, les mthodes EAP quil gre, sa stabilit, les
systmes dexploitation sur lesquels il peut tre install, son ouverture et le support
fourni. Mais comme tout logiciel serveur, il faut galement prendre en compte des
facteurs tels que la performance, les outils de configuration disponibles, sa capacit
sintgrer avec dautres produits, notamment les bases de donnes, etc.
Voici les caractristiques de quelques-uns des principaux serveurs RADIUS. Encore
une fois, cette liste est susceptible dvoluer et nest ici qu titre indicatif. Nous
prsenterons le protocole RADIUS en dtail au chapitre 10.
Serveur
Systme dexploitation
FreeRADIUS
(Open Source)
Linux
Microsoft IAS
Funk Software
Radiator
Meetinghouse
Infoblox
Botier
249
Le contrleur daccs
Il y a bien peu de choses dire au sujet du contrleur daccs, du point de vue de
lidentification EAP : il ne sert que dintermdiaire, et ouvre ou ferme la porte du
rseau. En WiFi, il faut juste sassurer que chaque AP gre le 802.1x et que celui-ci
soit activ.
Toutefois, comme nous le verrons au 8.2.3, les paquets EAP entre le contrleur
daccs et le serveur dauthentification sont en gnral encapsuls dans des paquets
RADIUS (si le serveur dauthentification est un serveur RADIUS bien sr). Or ces
paquets RADIUS peuvent transporter des paramtres trs varis. Par exemple, le
serveur peut informer le contrleur daccs quil ne faut laisser tel client se connecter
que pendant 30 minutes, quil faut larrter sil reste inactif pendant 10 minutes ou
ds quil aura tlcharg 2 Mo, que laccs au sous-rseau 10.20.0.0/16 lui est interdit,
et quil faut lassocier au VLAN numro 30. Comme vous le voyez, ces paramtres
RADIUS peuvent tre trs utiles pour grer finement la connexion de chaque
utilisateur. Toutefois, si lon souhaite utiliser tous ces paramtres, il faut sassurer quils
soient bien grs par lensemble des contrleurs daccs (lensemble des AP). Ceci
concerne cependant le protocole RADIUS, et nous y reviendrons donc au chapitre 10.
de fournir une information prcise, comme son identit ou bien une preuve de
cette identit, selon une mthode dauthentification choisie par le serveur (mot
de passe, certificat lectronique...).
Paquet Rponse : envoy par le client en rponse une requte. Le contenu de
la rponse dpend de la mthode dauthentification requise par le serveur. Si
le client ne gre pas la mthode dauthentification requise, il le signale et en
profite ventuellement pour suggrer une liste de mthodes quil est capable de
grer. Le serveur dauthentification peut alors choisir lune de ces mthodes et
renvoyer une nouvelle requte au client. Si aucune mthode ne lui convient,
cest un chec.
Paquet Succs : envoy par le serveur dauthentification pour indiquer au client
quil a t correctement identifi. Au passage, le contrleur daccs ouvre la
porte du rseau.
Paquet chec : envoy par le serveur dauthentification, comme son nom
lindique, si le client na pas pu tre identifi.
Chapitre 8. Le 802.1x
250
Code
ID
Longueur
Donnes
1 octet
1 octet
2 octets
n octets
Le champ Code indique sil sagit dune requte, dune rponse, dun succs ou
dun chec. Le champ ID est un identifiant qui permet de savoir quelle requte
correspond une rponse. Le champ Longueur reprsente la longueur du paquet
EAP. Dans les paquets de requtes et de rponses, un champ Type (un octet) situ
juste avant le champ de donnes indique quel type de mthode dauthentification est
utilise.
251
se connecter ;
Chapitre 8. Le 802.1x
252
a chou de pouvoir tout de mme tre superviss distance (par exemple, par
SNMP). Ceci peut poser des problmes de scurit, donc le WPA et le WPA2
nutilisent pas ce type de messages EAPoL.
En-tte MAC
Version
Type
Longueur
Message EAPoL
30 octets
1 octet
1 octet
2 octets
n octets
Lencapsulation RADIUS
La communication entre le contrleur daccs (cest--dire lAP) et le serveur
dauthentification (le serveur RADIUS) se fait avec le protocole RADIUS. Les paquets
EAP changs entre le contrleur daccs et le serveur RADIUS sont donc encapsuls
dans des requtes RADIUS. La RFC 3579 dtaille cette encapsulation (fig. 8.6).
253
8.3.1 EAP/MD5
Cette mthode dauthentification est dfinie dans la RFC 3748. Elle repose tout
simplement sur le protocole CHAP tudi plus haut, avec le hash MD5.
8.3.2 EAP/MS-CHAP-v2
Cette mthode dauthentification EAP repose, comme son nom lindique, sur le
protocole MS-CHAP-v2. Il sagit encore aujourdhui dun draft, mais il est dj trs
utilis, commencer par Microsoft qui la inclus dans Windows.
Notons quil nexiste pas (encore) de mthode EAP/PAP ou EAP/MS-CHAP.
Toutefois, nous verrons plus bas quil est possible dutiliser PAP et MS-CHAP au sein
de la mthode EAP/TTLS. Dautre part, EAP/GTC permet dobtenir le mme rsultat
que PAP, cest--dire le transport dun mot de passe, en clair.
8.3.3 EAP/OTP
Le systme One Time Password (OTP) est dfini dans la RFC 2289. Lutilisation des
OTP avec EAP est dfinie dans la RFC 3748. Un OTP est un mot de passe conu pour
ntre utilis quune seule fois. Ceci permet de lchanger non crypt, sans craindre
quil soit rutilis par un pirate.
Voici comment cela fonctionne : le serveur commence par envoyer un dfi au
client. Ce dfi contient quelques octets alatoires et un index qui change chaque
nouveau dfi. Le client doit alors utiliser un gnrateur (il sagit en gnral dun
petit logiciel sur son ordinateur) afin de produire un OTP. Pour faire fonctionner
le gnrateur, lutilisateur doit lui fournir le dfi (lindex et la squence alatoire)
ainsi que son vrai mot de passe, appel la phrase secrte ou passphrase. Le
gnrateur fonctionne en faisant passer plusieurs fois (en fonction de lindex) le dfi et
la phrase secrte au travers dune fonction de hash. Le rsultat est un OTP de 8 octets
que le client doit recopier et renvoyer au serveur. Recopier lOTP manuellement est
parfois source derreur, donc ces 8 octets sont parfois convertis (grce un simple
tableau de correspondance) en une srie de mots courts, moins difficiles recopier,
par exemple OUST COAT FOAL MUG BEAK TOTE . Le serveur peut effectuer les
mmes oprations et vrifier quil parvient bien au mme rsultat.
Le systme OTP a t invent et mis en uvre par Bell Communications Research
(Bellcore) dans leur produit S/Key. Il existe dautres mises en uvre, notamment un
logiciel gratuit appel OPIE (OTP in Everything, cest--dire OTP dans tout ) qui
Chapitre 8. Le 802.1x
254
sinstalle facilement sur tout systme Unix et sert protger laccs au systme et au
service FTP avec le systme OTP.
Malheureusement, comme le CHAP, le MS-CHAP et le MS-CHAP-v2, cette
mthode est vulnrable aux attaques de dictionnaire hors-ligne : un pirate peut
espionner une authentification russie, puis essayer, chez lui, des milliers de mots
de passe jusqu trouver celui qui aboutit au dialogue quil a espionn.
8.3.4 EAP/GTC
La RFC 3748 prvoit un type didentification appel Generic Token Card (carte jeton
gnrique). Cette mthode est trs simple : le serveur envoie (optionnellement) un
dfi au client et celui-ci doit y rpondre en tapant sa rponse, qui est renvoye en clair.
Le serveur vrifie la validit de la rponse et voil !
Cette mthode trs simple laisse une grande marge de manuvre pour mettre
en place des mcanismes trs varis. En particulier, elle convient trs bien (et a t
conue) pour les cartes jeton. Ces cartes contiennent, comme leur nom lindique,
un jeton : un jeton est une cl assez longue qui nest connue que par le serveur
dauthentification et est ncessaire lidentification du client. Ce dernier doit donc
avoir sa carte avec lui lorsquil veut se connecter. Le plus souvent, un mot de passe est
galement exig. On parle alors de scurit double facteur car, pour sauthentifier,
lutilisateur doit la fois connatre quelque chose (son code PIN ou son mot de passe)
et possder quelque chose (la carte jeton).
Les algorithmes sur lesquels reposent les cartes jeton dpendent largement des
constructeurs, mais la plupart utilisent le jeton, le mot de passe de lutilisateur et le
dfi envoy par le serveur pour gnrer un hash qui est renvoy au serveur. Certaines
cartes sont synchronises avec le serveur et affichent un code qui change toutes les 10
20 secondes environ. Pour sidentifier, lutilisateur doit taper ce code, ainsi que son
mot de passe (ou code PIN).
Parmi les cartes jeton les plus utilises, on trouve par exemple les cartes SecurID
(de RSA Security Inc.), les cartes dAxent ou encore les Cryptocard. Certaines sont
autonomes et possdent un mini clavier voire mme un petit cran cristaux liquides.
Dautres sinsrent dans un lecteur de carte, connect par exemple au port USB de
lordinateur (fig. 8.7).
255
Cette mthode dauthentification peut tre la plus sre qui soit, selon le type
de carte jeton que lon utilise. Le jeton rend en effet impossibles les attaques de
dictionnaire.
8.3.5 EAP/SIM
Cette mthode dauthentification est dfinie dans la RFC 4186. Son but est de
permettre un utilisateur de sidentifier grce la carte SIM1 de son tlphone
portable GSM. Celle-ci peut tre connecte lordinateur via une cl USB, par
exemple, ou directement intgre dans ladaptateur WiFi. Pour que lidentification
puisse fonctionner, le serveur dauthentification doit tre reli loprateur mobile
de lutilisateur : il ne sert alors que dintermdiaire entre le client et le serveur
dauthentification de loprateur mobile. Cette solution a sans doute peu dintrt
pour la plupart des entreprises dans le contexte dun rseau WiFi ( part pour les
oprateurs mobiles qui dploient des hotspots), mais il sagit encore dune nouvelle
preuve de la convergence entre la tlphonie et les technologies de linformation. Par
ailleurs, dautres drafts ou RFC ont t crits pour des mthodes didentification lies
la tlphonie : EAP/SIM6 pour lidentification SIM passant par un rseau IPv6 et
EAP/AKA pour lidentification par un rseau UMTS.
8.3.6 EAP/TLS
Un rappel sur TLS
Le protocole Transport Layer Security (TLS), nouvelle version de SSL, est dfini dans la
RFC 2246. Il est conu pour tablir un tunnel scuris entre un client et un serveur2 .
La mise en place dun tunnel TLS commence par une premire phase appele la
ngociation ou poigne de main (handshake) : le serveur envoie son certificat
lectronique au client, et celui-ci fait de mme, sil en possde un. Le client est donc
en mesure de sassurer de lidentit du serveur, et vice versa si le client a envoy son
certificat.
ce moment, le client gnre une cl de cryptage symtrique. Il utilise ensuite la
cl publique contenue dans le certificat du serveur pour crypter un message contenant
la cl symtrique. Il lenvoie au serveur, qui est le seul pouvoir dcrypter le message
et obtenir la cl symtrique. En effet, lui seul possde la cl prive correspondant
son certificat.
la fin de la ngociation TLS, le client sest assur de lidentit du serveur
(et ventuellement vice versa), et une cl de cryptage symtrique a t secrtement
change. Par la suite, les donnes changes entre le client et le serveur sont cryptes
grce cette cl symtrique.
1. Subscriber Identity Module : il sagit de la carte puce qui se trouve dans votre tlphone portable
et qui sert entre autres vous authentifier auprs de votre oprateur mobile.
2. Pour plus de dtails sur le protocole TLS, les certificats et le cryptage asymtrique, voir lannexe
C sur le site www.livrewifi.com.
Chapitre 8. Le 802.1x
256
Bref, tous ces mcanismes confrent TLS un niveau de scurit trs important,
tout en lui permettant de rester performant car seule la phase de ngociation utilise
le cryptage par cls asymtriques. TLS prvoit mme un mcanisme optionnel pour
compresser les donnes changes dans le tunnel !
1. En ralit, il nest pas obligatoire dinstaller un certificat sur le poste des clients, mais alors
EAP/TLS permet juste aux clients de sassurer de lidentit du serveur, pas linverse.
257
Si EAP/TLS vous parat trop lourd grer, mais que les mthodes prcdentes vous
paraissent peu sres, alors les mthodes didentification suivantes vous plairont sans
doute davantage.
8.3.7 EAP/PEAP
Un EAP dans un tunnel
La mthode didentification EAP/PEAP, en gnral appele simplement PEAP , a
t dveloppe par Cisco et Microsoft. PEAP signifie Protected EAP, cest--dire
EAP Protg . Il sagit encore pour le moment dun draft, mais il devrait tre promu
au rang de RFC sous peu, vu son succs : PEAP est prsent dans les dernires versions
(mises jour) de Windows.
Le principe de PEAP est le suivant : un tunnel TLS est dabord mis en place entre
le client et le serveur, puis une nouvelle ngociation EAP (par exemple EAP/MSCHAP-v2 ou EAP/GTC) se droule au sein de ce tunnel, labri des regards indiscrets.
Voil pourquoi lon parle dEAP protg .
Voyons comment cela fonctionne (fig. 8.9). Au dbut, tout se passe peu prs
comme pour EAP/TLS, mais avec quelques diffrences importantes :
Au cours de la ngociation EAP/PEAP, lorsque le serveur demande son identit
Chapitre 8. Le 802.1x
258
Dans ce tunnel, une nouvelle ngociation EAP complte a lieu : cest ici que
Puisque la mthode PEAP est toujours utilise conjointement avec une autre
mthode EAP, on prcise toujours le nom de cette mthode interne, par exemple :
PEAP/MD5 ou PEAP/OTP. Toutefois, aux yeux du contrleur daccs et de tout
observateur extrieur, une seule mthode dauthentification est utilise : EAP/PEAP.
259
lidentit mme du client est cache. Avec PEAP, un espion peut savoir que
Puisque PEAP nimpose pas de dployer un certificat sur le poste de chaque client, il
peut tre assez simple mettre en uvre, tout en offrant un niveau de scurit trs
important.
Toutefois, si on lutilise avec une mthode interne qui repose sur un mot de passe,
on est vulnrable des attaques de dictionnaires (mais pas hors-ligne) : le pirate peut
chercher se connecter en essayant de nombreux mots de passe jusqu trouver le bon.
Cependant, moins quun utilisateur ait un mot de passe vraiment trivial, le pirate
devra sans doute essayer plusieurs milliers de possibilits avant de trouver un mot de
passe correct.
Il est donc recommand de configurer le serveur pour quil bloque le pirate et alerte
un administrateur ds quil dtecte quune attaque de dictionnaire est en cours. Le fait
que les attaques de dictionnaires ne soient possibles quen se connectant au systme
permet donc de rduire les exigences concernant la complexit des mots de passe.
Ceci est une bonne chose pour la scurit, car lorsquon demande un employ de
retenir un mot de passe trs complexe et de le changer souvent, il a tendance lcrire
quelque part, ce qui est pire que davoir un mot de passe modrment complexe ! Bien
entendu, il faut tout de mme proscrire les mots de passe les plus vidents comme
password , /1234 ou azerty .
8.3.8 EAP/TTLS
Une autre mthode de protection EAP assez populaire est lEAP/TTLS, quon appelle
en gnral simplement TTLS (Tunneled TLS). Comme PEAP, la mthode TTLS est
encore un draft. Comme PEAP, TTLS commence par tablir un tunnel TLS, puis met
en uvre une autre authentification dans ce tunnel. Les points communs avec PEAP
sont en fait si nombreux quil est plus rapide de parler de leurs diffrences :
TTLS a t conu par la socit Funk Software, connue par ailleurs pour son
Chapitre 8. Le 802.1x
260
8.3.10 EAP/FAST
EAP dans un tunnel symtrique
Il faut signaler une autre mthode dauthentification par tunnel, publie en
fvrier 2004 par Cisco sous la forme dun draft IETF : EAP/Flexible Authentication via
261
Secure Tunneling (EAP/FAST). Il est trs similaire TTLS : un tunnel est cr pour
protger une authentification interne et des TLV peuvent tre changs. Mais il y a
une diffrence de taille : le tunnel peut tre tabli avec un algorithme de cryptage
symtrique et non avec TLS. Ceci prsente essentiellement deux intrts :
il nest pas ncessaire dinstaller un certificat sur le serveur ;
Avec EAP/TLS, PEAP et TTLS, il est ncessaire dinstaller un certificat (et une
cl prive) sur le serveur dauthentification. Cela ne prend pas, en soi, normment
de temps. Toutefois, le certificat doit tre sign par une autorit de certification
(Certification Authority, CA) connue de tous les utilisateurs. On a donc deux options :
soit on gnre un certificat et on le fait signer par une socit tierce dont cest le rle,
du type Verisign ou Thawte1 , ce qui peut prendre quelques semaines et coter plusieurs
centaines deuros, soit on dcide de signer soi-mme le certificat du serveur en jouant
le rle dautorit de certification. Pour cela, il faut gnrer un certificat de type CA et
on lutilise pour signer le certificat du serveur. Reste ensuite dployer ce certificat
CA sur les postes de tous les utilisateurs, ce qui peut tre assez long.
Puisque EAP/FAST est capable de crer le tunnel dauthentification en utilisant
un algorithme symtrique, il permet de se dispenser du certificat du serveur. Mais un
nouveau problme se pose : pour tablir un tunnel avec un algorithme symtrique, il
faut que le serveur partage une cl avec chaque client ! Ces cls sont stockes dans des
fichiers protgs par un mot de passe : les Protected Access Credentials (PAC)2 . Pour
mettre en place un systme bas sur EAP/FAST, il faut donc commencer par utiliser un
outil pour gnrer un PAC pour chaque utilisateur et installer le bon PAC sur le poste
de chaque utilisateur. On se rend donc compte que ce systme est tout aussi lourd
grer que EAP/TLS ! Le draft dEAP/FAST suggre toutefois des mthodes pour
la distribution des PAC. Malheureusement, les mthodes les plus sres impliquent
un mcanisme base de certificats : on tourne donc en rond. Contrairement aux
annonces marketing, lEAP/FAST nest donc pas rellement plus facile administrer
que EAP/TLS et certainement nettement plus difficile que TTLS ou PEAP.
1. Les certificats de ces socits sont dj prsents sur les postes de tous les utilisateurs, car ils sont
installs en mme temps que le systme dexploitation.
2. Littralement, cela signifie preuve didentit accs protg .
Chapitre 8. Le 802.1x
262
Figure 8.10
Bref, si la lourdeur administrative de EAP/FAST ne vous fait pas peur, quil est
important vos yeux que le dlai de hand-over dune cellule une autre soit trs faible,
alors EAP/FAST peut vous convenir. Toutefois, le protocole EAP/FAST nest encore
gure promu que par Cisco.
263
Chapitre 8. Le 802.1x
264
mots de passe daffile : par exemple, on peut configurer le serveur dauthentification pour quil refuse toute nouvelle tentative de connexion dun mme
utilisateur aprs trois tentatives infructueuses et ce pendant 5 minutes ;
vrifier rgulirement les historiques (les logs ) de connexion, afin de dtecter
les tentatives dintrusion. Il existe des analyseurs de logs destins cet effet. Ils
peuvent analyser les logs en permanence et prvenir ladministrateur en cas
dattaque ;
demander aux employs davoir un mot de passe raisonnablement complexe :
il nest plus ncessaire quil soit long et extravagant (ce qui va soulager tout le
monde), mais au moins il faut quun pirate ne puisse pas le trouver en quelques
milliers de tentatives. Il faut donc toujours viter des mots de passe trop simples,
comme admin ou david , mais on peut se permettre un mot de passe
comme W1fiSek qui serait beaucoup trop faible face une attaque de
dictionnaire hors-ligne.
Les mthodes EAP/MS-CHAP-v2 et EAP/OTP sont galement vulnrables aux
attaques de dictionnaire hors-ligne : on ne doit donc les utiliser quau sein dun tunnel.
Pour EAP/GTC et EAP/SIM, lauthentification elle-mme est assez sre. Malheureusement, nous verrons que ces mthodes sont vulnrables aux deux autres attaques,
de sorte quon conseille vivement de les utiliser galement au sein dun tunnel, dans
le cadre du WiFi.
Pour atteindre le meilleur niveau de scurit, il est recommand dutiliser les tunnels :
EAP/TLS, PEAP, TTLS ou EAP/FAST.
265
place au niveau du rseau sans fil. La mthode dauthentification choisie est lune des
plus sres, donc un pirate aura beaucoup de mal sy attaquer. Toutefois, voyons ce qui
se passe une fois que lutilisateur est authentifi avec succs : lAP accepte dornavant
tous les paquets en provenance de ladresse MAC de cet utilisateur. En outre, le travail
de EAP tant termin, le tunnel TLS est ferm : cela signifie que tous les paquets du
client sont maintenant changs en clair.
Cest la catastrophe ! Non seulement un pirate peut couter toutes les communications du client, en clair, mais il lui suffit de configurer son adaptateur WiFi et de lui
donner la mme adresse MAC que le client pour pouvoir dtourner ainsi sa session
et accder au rseau : on appelle cela le spoofing dadresse MAC (voir le 6.2.3
du chapitre 6). On se demande bien pourquoi lon a mis tant defforts scuriser
lauthentification si la session cre peut tre dtourne aussi aisment ? On voit, dans
cet exemple, quil y a en ralit deux identifications : la premire est ralise par le
serveur dauthentification avec EAP ; la seconde est ralise ensuite par le contrleur
daccs, sans laide dEAP, chaque paquet envoy par le client. Or, le contrleur
daccs identifie le client comme il le peut, cest--dire avec son adresse MAC, ce qui
noffre quune protection trs limite.
Rsumons : lEAP, sans laide dautres mcanismes, ne protge que lauthentification,
pas la session. Donc si lon ne fait rien de plus quEAP (cest--dire du 802.1x seul)
alors un pirate peut espionner ou dtourner les sessions existantes, en toute impunit.
Mais alors, comment se protger ?
daccs ;
la cl peut tre ngocie automatiquement au cours de lauthentification.
La premire option est trs simple et elle est possible avec le WPA Personal et le
WPA2 Personal, comme nous le verrons au prochain chapitre. Pour comprendre la
deuxime option, revenons un instant sur la mthode dauthentification EAP/TLS.
Nous avons vu quau cours de la ngociation TLS, le client gnre une cl, puis la
crypte en utilisant la cl publique du serveur et lui envoie. De cette faon, le client
et le serveur parviennent schanger une cl tout fait secrtement. On dit que
1. Nous verrons au chapitre 9 que plusieurs cls de cryptage sont en ralit ncessaires, mais quelles
peuvent tre drives dune premire cl matresse : la Primary Master Key (PMK).
Chapitre 8. Le 802.1x
266
267
quun AP lgitime) ;
268
Chapitre 8. Le 802.1x
lissue de cette attaque, non seulement le pirate est accept compltement sur
le rseau, avec ses propres cls de cryptage, mais en plus il a vu passer la ngociation
EAP interne en clair. Or cette ngociation interne est gnralement trs simple et
vulnrable : par exemple, avec PAP, le mot de passe est envoy en clair lintrieur
du tunnel, avec EAP/MD5, le pirate peut faire une attaque de dictionnaire hors-ligne,
etc.
Figure 8.12 Attaque MiM contre les authentifications reposant sur TLS.
269
Comment viter cette terrible attaque ? La premire solution est simple : il suffit de
sassurer que tous les clients vrifient bien le certificat envoy par le serveur. De cette
faon, ils refuseront le faux certificat envoy par le pirate. La vrification du certificat
est gnralement ralise automatiquement par le logiciel de connexion 802.1x : si
le certificat est mauvais, le logiciel affiche en gnral un message davertissement
lutilisateur. Informez tout prix les utilisateurs que ces messages davertissement sont
prendre trs au srieux et quil faut refuser toute connexion et prvenir ladministrateur
lorsquun tel message saffiche. Certains logiciels peuvent tre configurs pour interdire
toute connexion si le certificat du serveur est mauvais : il faut activer cette option !
Lorsquon utilise EAP/TLS, PEAP ou TTLS, il faut tout prix sassurer que le certificat
du serveur soit bien vrifi par les clients : sans cela, un pirate peut facilement prendre
le contrle total dune session.
EAP/FAST) ;
sassurer que le certificat du serveur soit toujours vrifi par les clients et quaucun
utilisateur ne se connecte si le certificat est mauvais ;
ventuellement mettre en place un certificat pour chaque poste client ;
utiliser si possible une mthode interne assez forte, telle quune carte jeton ;
sassurer quun cryptage puissant soit mis en place au cours de lidentification :
le WPA et le WPA2 sont dexcellentes options.
Rsum
Le protocole 802.1x, dfini par lIEEE, repose sur le protocole EAP. Ce dernier, dfini
par lIETF, a pour rle didentifier les utilisateurs selon des mthodes varies : mot
de passe, carte jeton, certificat, etc. LEAP dfinit une architecture comptant trois
acteurs : le client (cest--dire lutilisateur), le contrleur daccs (cest--dire chaque
point daccs, dans le contexte du WiFi) et le serveur dauthentification (en gnral un
serveur RADIUS). Le client commence par se connecter au contrleur daccs. Celuici lempche daller sur le rseau. Commence alors un dialogue dauthentification
entre le client et le serveur dauthentification, par lintermdiaire du contrleur
270
Chapitre 8. Le 802.1x
9
Le WPA et le WPA2
Objectif
Dans le chapitre prcdent, nous avons vu que le 802.1x permet de mettre en place
des mthodes dauthentification des utilisateurs trs sres et trs varies : lenvoi
dun simple mot de passe au sein dun tunnel TLS, lutilisation dune carte jeton
ou encore lchange de certificats lectroniques, le tout centralis par un serveur
dauthentification. En outre, le 802.1x permet lchange de cls de cryptage qui
peuvent servir scuriser les communications entre lutilisateur et le contrleur
daccs (cest--dire lAP auquel lutilisateur est associ).
Dans ce chapitre, nous allons tudier les meilleures solutions de scurit du WiFi, le
WPA et le WPA2 et voir dune part comment les dployer et dautre part comment
elles fonctionnent. Nous verrons quelles mettent en uvre un cryptage puissant
(TKIP ou AES), un mcanisme permettant dassurer la distribution et la protection
des cls de cryptage, un contrle dintgrit puissant et une bonne rsistance aux
attaques de relecture.
Un bmol toutefois : une faille a t dcouverte dans le systme de contrle
dintgrit du TKIP. Il ne signe pas immdiatement son arrt de mort, mais il est tout
de mme recommand de passer lAES ds que possible.
272
que la solution WEP dfinie dans la premire version de la norme 802.11, ds 1997.
Le WEP souffre en effet de nombreuses failles qui le rendent peu recommandable,
comme nous lavons vu au chapitre 7.
Malheureusement, entre la dcouverte des failles du WEP et la finalisation de la
norme 802.11i, il sest coul plusieurs annes. En 2002, la WiFi Alliance a donc
publi une solution de scurit appele Wireless Protected Access (WPA), qui est un
sous-ensemble du 802.11i. La norme 802.11i a t ratifie en juin 2004. La WiFi
Alliance a alors cr la certification WPA2 pour les produits respectant la norme
802.11i au complet.
Un rseau qui repose uniquement sur le 802.11i (WPA ou WPA2) sappelle un
Robust Security Network (RSN), cest--dire un rseau scurit robuste . Certains
dsignent donc le 802.11i sous le nom de RSN. Un rseau reposant la fois sur le
WEP et le 802.11i sappelle un Transitional Security Network (TSN), cest--dire un
rseau scurit transitionnelle .
Le WPA et le WPA2 sont identiques du point de vue de leur architecture globale
et donc de leur mise en uvre. Le WPA repose sur un algorithme de cryptage dfini
par le protocole Temporal Key Integrity Protocol (TKIP), lui-mme bas sur lalgorithme
RC4 (que nous avons vu au chapitre 7, 7.2), alors que le WPA2 repose, au choix, sur
le TKIP ou sur un autre algorithme de cryptage appel Advanced Encryption Standard
(AES). Le WPA2 offre donc le choix du cryptage, contrairement au WPA qui impose
TKIP.
Une autre diffrence importante est que le WPA nest compatible quavec les
rseaux de type Infrastructure (voir le chapitre 3) et non les rseaux Ad Hoc. Quant
au WPA2, il peut scuriser les deux types de rseau. Toutefois, vues les similitudes
entre le WPA et le WPA2 et vu le succs commercial du WPA (apparu deux ans avant
le WPA2), de nombreux produits WPA2 sont prsents simplement sous ltiquette
WPA. Si votre quipement WPA gre lAES, il sagit en fait dun produit WPA2
et il grera donc vraisemblablement aussi le mode Ad Hoc.
Le WPA ne gre que le cryptage TKIP, qui est beaucoup plus sr que le WEP. Le
WPA2 gre le cryptage TKIP, mais aussi le cryptage AES, plus puissant encore.
Avant dtudier les rouages internes du WPA et du WPA2, commenons par voir
comment on les dploie. Il existe deux architectures pour le WPA ou le WPA2 :
avec des cls partages : on parle de WPA Personal ;
273
274
grer car si lon doit changer la cl, il faut reconfigurer tous les postes et
tous les AP. En outre, aucun mcanisme de rotation de la cl PSK nest prvu
(contrairement au WEP, comme nous lavons vu), ce qui ne facilite pas les
choses.
La solution PSK est de loin la plus simple mettre en place, mais elle ne convient que
pour les petits rseaux Infrastructure ou les rseaux Ad Hoc. Il est indispensable de
choisir une passphrase longue et complexe, et de la changer rgulirement.
activer la gestion du 802.1x et du WPA (ou du WPA2) dans tous les AP. Dans
Cette solution est donc plus complexe et plus longue mettre en uvre, mais elle
offre un niveau de scurit trs lev, pourvu que lon vite les quelques failles du
802.1x. Pour plus de dtails sur le 802.1x et les mthodes EAP, consultez le chapitre 8.
Pour la configuration du serveur RADIUS, voir le chapitre suivant.
275
Il existe toutefois une contrainte impose par le WPA et le WPA2 : si lon veut
bnficier de la distribution automatique des cls de cryptage, la mthode EAP
utilise doit tre capable de gnrer une cl secrte entre le client et le serveur
dauthentification. Si cest le cas, on dit que la mthode est gnratrice de cls
(Key Generating).
Toutes les mthodes base de tunnels TLS sont gnratrices de cls (encore une
raison de plus pour les utiliser). En effet, nous avons vu quau cours de lauthentification avec ces mthodes, une cl secrte tait dabord gnre par le client, puis crypte
laide de la cl publique du serveur dauthentification et enfin envoye au serveur.
De mme, la mthode EAP/FAST est gnratrice de cls. Cette cl secrte peut alors
servir de base pour la ngociation scurise de cls de cryptage temporaires, comme
nous le verrons au 9.2.
Malheureusement, les mthodes simples, EAP/MD5, EAP/MS-CHAP-v2,
EAP/OTP ou encore EAP/GTC, ne sont pas gnratrices de cls. Si lon utilise une
telle mthode dauthentification, alors il est impossible dutiliser la fonction de
276
distribution automatique des cls de cryptage. Dans ce cas, on est oblig de sen tenir
une cl partage (PSK)... et cest bien dommage ! En effet, quitte mettre en place
une architecture 802.1x, autant quelle permette la distribution automatique des
cls de cryptage. Il est donc trs fortement recommand dutiliser une mthode
gnratrice de cls.
Par exemple : EAP/TLS, TTLS, PEAP, EAP/FAST.
Les mthodes TTLS, PEAP et EAP/FAST peuvent tre utilises avec nimporte
quelle mthode dauthentification interne.
La difficult de la solution 802.1x rside surtout dans linstallation et la configuration
du serveur RADIUS. Cependant, une fois que cette architecture est mise en place, elle
est beaucoup plus facile administrer et beaucoup plus sre que le WEP, le WPA-PSK
ou le WPA2-PSK.
ce stade, vous avez dj toutes les informations quil vous faut pour choisir la
mthode EAP la mieux adapte vos besoins, configurer les AP et les logiciels de
connexion des utilisateurs... et il ne vous reste plus qu apprendre comment installer
et configurer un serveur RADIUS, ce que nous verrons au prochain chapitre.
Nous allons maintenant aborder le dtail du fonctionnement du WPA et du WPA2.
Si ce dtail ne vous intresse pas, vous pouvez ds maintenant passer au chapitre 10.
277
278
279
280
Pour TKIP
Par le biais dun dialogue entre le client et lAP (que nous tudierons au 9.2.3), une
PTK de 512 bits est drive de la PMK de 256 bits. La PTK est compose de quatre
cls de 128 bits chacune, ayant toute un rle diffrent :
PTK
Intgrit EAPoL
Cryptage EAPoL
Cryptage du tunnel
Intgrit du tunnel
128 bits
128 bits
128 bits
128 bits
Les deux premires cls servent protger le trafic EAPoL entre le client et lAP.
Les deux dernires servent protger le reste du trafic entre le client et lAP : ce sont
les cls les plus utilises.
La GTK de 256 bits est drive partir de la GMK de 128 bits, simplement en
utilisant un algorithme de hash1 . Elle est compose de deux cls de 128 bits chacune :
GTK
Cryptage des donnes
128 bits
128 bits
Comme nous lavons vu, la cl GTK sert protger le trafic broadcast et multicast
envoy par lAP. Rappelons quen mode Infrastructure, ce type de trafic est toujours
1. En plus de la GMK, un nonce (numro unique) et ladresse MAC de lAP sont galement utiliss
pour gnrer la GTK, mais cela na pas grande importance car la GMK est dj un nombre alatoire.
281
mis par un AP. En effet, lorsque le client veut envoyer un paquet broadcast ou
multicast, ce paquet est dabord envoy strictement lAP, qui se charge ensuite de
lmettre vers tout le monde. Seul lAP met donc des paquets plusieurs personnes
la fois. La GTK ne sert donc qu la rception pour les clients et lmission pour
lAP. Nous verrons plus bas comment cela se passe en mode Ad Hoc.
Pour AES
Avec lAES, la mme cl peut tre utilise pour le cryptage et pour le contrle
dintgrit. Les cls PTK et GTK sont donc plus courtes que celles que nous venons de
voir pour le TKIP. La PTK, de 384 bits, est compose de trois cls de 128 bits chacune :
PTK
Intgrit EAPoL
Cryptage EAPoL
Cryptage et intgrit
128 bits
128 bits
128 bits
Comme prcdemment, les deux premires cls servent protger le trafic EAPoL.
La dernire cl sert la fois au cryptage et au contrle dintgrit pour le reste du trafic
entre le client et lAP.
La GTK, quant elle, na plus quune longueur de 128 bits. Elle nest compose
que dune seule cl, qui sert la fois au cryptage et au contrle dintgrit du trafic de
groupe envoy par lAP :
GTC
Cryptage et intgrit
128 bits
gnrer la cl partage PSK. Cette cl PSK est alors utilise directement comme
cl PMK ;
soit la PMK est secrtement change entre le client et le serveur au cours de
lauthentification 802.1x, pourvu que la mthode utilise soit gnratrice de cl.
Dans ce cas, le serveur na plus qu envoyer cette cl lAP, au sein dun paquet
RADIUS.
Une fois que le client et lAP possdent la mme cl PMK et que lauthentification
est termine, il reste driver la cl temporaire PTK partir de la cl PMK. Pour
282
cela, le client et lAP schangent une srie de quatre messages, dans des paquets
EAPoL-Key. Cet change a deux objectifs :
que le client et lAP gnrent une mme cl temporaire PTK. Celle-ci doit tre
La ngociation de la PTK
La cl temporaire PTK est gnre grce une fonction de hash (quil serait inutile
de dtailler ici) partir de cinq valeurs :
la cl matresse PMK ;
un nonce, cest--dire un numro cens ntre utilis quune seule fois, gnr
par le client ;
Le client et lAP connaissent dj la cl PMK, ainsi que leur propre adresse MAC
et celle de lautre et ils peuvent chacun gnrer leur propre nonce. Bref, il ne leur
manque que le nonce de lautre pour pouvoir gnrer la cl PTK. Voici comment ils
procdent pour se lchanger avec des paquets EAPoL-Key et en profiter pour vrifier
quils possdent tous deux la mme cl PMK (fig. 9.7) :
LAP envoie son nonce au client, en clair.
Le client gnre la cl PTK car il possde maintenant tous les lments pour le
faire. Il envoie ensuite lAP son propre nonce, en rajoutant un code de contrle
dintgrit gnr grce la cl dintgrit EAPoL (la premire cl contenue
dans la PTK).
Grce au nonce du client, lAP peut maintenant lui aussi gnrer la cl PTK. Il
utilise cette cl pour vrifier le code dintgrit envoy par le client. Si ce code
est bon, lAP sait que le client possde la bonne cl PMK (sinon, cest lchec
de la connexion). Ensuite, il envoie un message au client pour lui annoncer
que tout va bien et il rajoute un code dintgrit ce message. Il indique
galement le compteur partir duquel les paquets devront tre numrots (nous
y reviendrons).
Le client peut contrler le code dintgrit de lAP et sassurer ainsi que lAP
possde bien la bonne cl PMK. Il envoie enfin un message lAP pour lui dire
quil est prt dmarrer la session.
Ces quatre messages forment ce quon appelle le four-way handshake (littralement,
la poigne de main quatre sens ). Comme prvu, ces quatre tapes permettent au
client et lAP de ngocier une cl PTK originale, tout en leur assurant que lautre
283
possde bien la bonne cl PMK. Aprs le dernier message envoy par le client, les
deux cryptent dornavant tous leurs messages.
Comme nous lavons dit plus haut, lAP envoie maintenant au client la cl de
groupe temporaire GTK en cours. Puisquil y a dsormais une connexion scurise
entre le client et lAP, la GTK est simplement envoye telle quelle dans ce tunnel.
La pr-authentification
Le mcanisme dauthentification et de distribution des cls a t critiqu pour sa
lourdeur : en gnral, le tout ne prendra que quelques fractions de secondes, mais
pour certains systmes et selon le type dauthentification choisi, cela peut prendre
jusqu quelques secondes, par exemple si le serveur dauthentification est charg ou
si ladaptateur du client (ou de lAP) est peu puissant. Cette lenteur relative nest
pas trs grave si le client ne se reconnecte pas trs frquemment : un utilisateur peut
bien patienter une ou deux secondes pour se connecter ! Toutefois, cela peut poser
des problmes si le client se dplace dune cellule une autre, car dans ce cas il doit
sauthentifier nouveau et rengocier les cls temporaires : bref, tout est refaire. Ceci
peut poser problme, par exemple si lutilisateur est en conversation tlphonique
en voix sur IP (VoIP) : au moment dun changement de cellule, sa conversation sera
suspendue le temps que la nouvelle authentification ait lieu.
Pour limiter ce problme, le WPA suggre un nouveau mcanisme : la prauthentification. Admettons quun utilisateur soit dj connect au rseau par le
biais dun AP (lAP de dpart ) et quil se dplace vers la zone de couverture dun
autre AP (lAP darrive ). La pr-authentification consiste lancer le processus
dauthentification auprs de lAP darrive avant de quitter lAP de dpart. Tous
284
les paquets 802.1x ncessaires cette nouvelle authentification passent par lAP de
dpart et le systme de distribution (le rseau local) pour atteindre lAP darrive. De
cette faon, au moment o la nouvelle authentification se termine, le client peut se
dsassocier de lAP de dpart et se rassocier lAP darrive : lauthentification est
dj faite et il ne perd donc pas de temps.
il envoie cette nouvelle cl GTK chaque client, un par un, laide dun paquet
285
Cest tout : si lutilisateur a bien configur son poste en mode Ad Hoc (et a
configur son adressage IP), il na en gnral pas besoin de se soucier dautre chose.
En revanche, le mcanisme de ngociation des cls temporaires, PTK et GTK, est
lgrement diffrent de celui que nous avons vu pour le mode Infrastructure.
En mode Ad Hoc, lorsque deux stations doivent communiquer entre elles, avec la
scurit WPA2-PSK, elles commencent par driver une cl temporaire PTK partir
de la cl matresse PMK. Pour cela, elles suivent le mcanisme four-way handshake
que nous avons dcrit prcdemment (la station dont ladresse MAC est la plus basse
commence). Ceci permet aux deux stations de ngocier une cl temporaire PTK
et de sassurer que lautre possde bien la bonne cl matresse PMK. Dornavant
les deux stations peuvent communiquer lune avec lautre en cryptant toutes leurs
communications. Voyons maintenant comment se droule la ngociation des cls de
groupes GTK.
Ngociation de la cl GTK
En mode Ad Hoc, chaque station peut envoyer directement des paquets de groupe
(broadcast ou multicast), alors quen mode Infrastructure ces paquets doivent dabord
tre envoys lAP, qui se charge lui-mme de les diffuser. Du coup, la ngociation
des GTK est plus complexe en mode Ad Hoc quen mode Infrastructure (fig. 9.9) :
chaque station gnre sa propre GMK et en drive sa propre GTK ;
comme nous venons de le voir. lissue de cette ngociation, les deux stations
schangent alors secrtement leurs cls de groupe temporaires GTK respectives,
en les cryptant laide de la PTK quelles viennent de ngocier.
286
287
faire en sorte que le matriel nait pas tre remplac pour le grer.
288
La cl RC4
Un IV de 48 bits
LIV utilis dans le protocole TKIP a une longueur de 48 bits et il est simplement
incrment chaque paquet envoy. Alors que toutes les valeurs possibles dun IV
de 24 bits (comme en WEP) peuvent tre puises en quelques heures dans un rseau
charg, il faudrait plusieurs milliers dannes pour puiser celles dun IV de 48 bits.
Ceci permet de garantir quune mme cl RC4 ne sera jamais utilise deux fois de
suite par une mme station.
Malheureusement, la plupart des adaptateurs WiFi ne peuvent pas tre mis
jour pour accepter un IV dune longueur diffrente de 24 bits. Pour cette raison, les
16 derniers bits de lIV de TKIP sont combins avec 8 bits (un octet) choisis de telle
sorte que les cls RC4 faibles soient vites (voir le chapitre 7), pour former un champ
de 16 + 8 = 24 bits, qui prend la place de lIV du WEP.
289
Le reste de la cl, auparavant occup par la cl WEP qui ne changeait jamais, est
maintenant modifi chaque paquet partir de lIV au complet (les 48 bits), comme
nous allons le voir.
Cl RC4 du WEP
IV
Cl WEP (statique)
24 bits
40 ou 104 bits
Cl RC4 de TKIP
24 bits
104 bits
Transmission de lIV
Avec le WEP, lIV tait envoy en clair dans chaque paquet, entre len-tte MAC et
les donnes cryptes. Ceci permettait au rcepteur de reconstituer la cl RC4 partir
de lIV et de la cl WEP pour pouvoir dcrypter le message. Puisque le mme matriel
WiFi est utilis pour le TKIP, le mme mcanisme a lieu, ce qui permet au rcepteur
de rcuprer les 16 derniers bits de lIV. Mais comment rcupre-t-il les 32 premiers
bits ? La rponse est simple : ces 32 bits (4 octets) sont insrs juste avant les donnes
cryptes1. Ils constituent ce quon appelle lIV tendu (Extended IV) :
Paquet crypt avec le WEP
IV
ID
Donnes cryptes
ICV crypt
3 octets
1 octet
0 2 304 octets
4 octets
ID
32 bits IV
Donnes cryptes
ICV crypt
3 octets
1 octet
4 octets
0 2 300 octets
4 octets
Le champ ID servait, avec le WEP, indiquer laquelle des quatre cls WEP tait
utilise (de 0 3). Le sixime bit ce champ sert maintenant indiquer si le champ
Extended IV est prsent ou non. Avec TKIP, il est bien sr toujours gal 1 car
lExtended IV est toujours prsent. Ceci est utile lorsque le WEP et le WPA sont
tous les deux utiliss sur le mme rseau (cest le mode mixte , voir 9.3.5). Les
deux derniers bits de cet octet forment lidentifiant de la cl, de 0 3. Avec le TKIP,
cet identifiant est toujours gal 0 si le trafic est unicast. Si le trafic est multicast ou
1. Malheureusement, certains adaptateurs WiFi ne peuvent pas tre modifis pour grer ce changement et ils ne peuvent donc pas tre mis jour pour grer la scurit TKIP.
290
Calcul de la cl RC4
Grce lIV de 48 bits, un mme utilisateur naura jamais deux fois le mme IV. Mais
que se passe-t-il si deux stations commencent toutes les deux compter lIV partir
de zro : ces deux stations utiliseront alors les mmes IV, pour tous leurs paquets ! Pour
viter que cela naboutisse la mme cl RC4, TKIP utilise (entre autres) ladresse
MAC de la station mettrice pour gnrer la cl RC4. Grce cela, deux stations
distinctes ne peuvent pas avoir la mme cl RC4.
Plus prcisment, le calcul de la cl RC4 se fait de la faon suivante (fig. 9.10) :
les 24 premiers bits (anciennement lIV du WEP) sont composs, comme nous
lavons vu, des 16 derniers bits de lIV plus 8 bits choisis de telle sorte que les
cls RC4 faibles soient vites ;
les 104 derniers bits (anciennement la cl WEP) sont le rsultat de fonctions
de hash appliques sur lIV au complet (48 bits), ladresse MAC de lmetteur et
bien sr la cl temporaire (PTK ou GTK, selon le type de trafic).
Les principaux dfauts du WEP sont limins par TKIP, grce la longueur de lIV, la
prsence de loctet permettant dviter les cls faibles et le changement du reste de la
cl RC4, chaque paquet.
291
1. Rappelons que le standard 802.11e permet damliorer la qualit de service (QoS) en WiFi, et est
mis en uvre dans les produits certifis WMM, comme nous lavons vu au chapitre 3.
292
Puisque le MIC est rajout aux donnes et quil est crypt avec elles, un pirate ne
peut pas le modifier. Ceci dit, on pensait la mme chose au sujet du code ICV du WEP
et pourtant une simple opration permet de modifier lICV pour tromper le contrle
dintgrit. Cependant, la faille est due au fait que ce code est calcul partir dune
fonction linaire : le CRC. Or, lalgorithme utilis par le protocole Michael nest pas
linaire et est donc invulnrable cette faille.
1. La cl dintgrit, de 128 bits, fait partie de la cl temporaire PTK ou GTK (voir paragraphes
prcdents).
293
Les contre-mesures
Conscients du problme de la faiblesse du code MIC, les concepteurs de TKIP ont
conu des contre-mesures . Si un paquet est reu avec un ICV correct mais
un code MIC erron, alors lAP renvoie un simple message derreur. Mais si un
deuxime paquet est reu avec un ICV correct mais un code MIC erron dans les
60 secondes qui suivent, alors lAP dclenche immdiatement les contre-mesures
prvues par le protocole Michael : lAP se bloque pendant 60 secondes, interdisant
toute communication, les cls de cryptage temporaires sont toutes annules et de
nouvelles cls sont rengocies automatiquement, et enfin lAP prvient gnralement
ladministrateur (par une alerte SNMP1 , ou un e-mail).
LICV sert contrler que le paquet na pas t altr par des erreurs de transmission. Si le rcepteur constate que lICV est erron, alors il ignore silencieusement
le paquet : le code MIC nest mme pas vrifi car lon suppose que le paquet a
simplement t mal transmis. LICV comporte 32 bits, donc la probabilit quun
paquet erron ait tout de mme, par pur hasard, un ICV correct est denviron une
chance sur 4 milliards. Cest trs peu... mais pas tout fait ngligeable : pour un rseau
charg, dans un environnement bruyant, il nest pas impossible que cela se produise
une fois par an. Les concepteurs de Michael auraient pu dcider que les contre-mesures
seraient dclenches ds le premier paquet possdant un ICV correct et un code MIC
erron, mais ils ont prfr viter le risque dventuelles fausses alertes. Ils ont donc
choisi de ne dclencher les contre-mesures quau deuxime paquet suspect reu en
lespace de 60 secondes : la probabilit quil sagisse alors deux fois de suite derreurs
1. Le Simple Network Management Protocol (SNMP) est un protocole trs apprci pour la supervision
dun rseau. Pour un rappel sur les protocoles des rseaux IP, consultez lannexe A sur le site
www.livrewifi.com.
294
de transmission est tout simplement ngligeable, et lon peut affirmer avec certitude
quun pirate est en train dessayer dinjecter des paquets dans le rseau.
Les contre-mesures empchent le pirate de faire des tentatives sans arrt dans
lespoir de pouvoir injecter un paquet de temps en temps, car il lui faudrait en moyenne
tester un demi-milliard de codes MIC avant den trouver un qui soit accept... ce qui
prendrait un demi-milliard de minutes (soit prs de mille ans !), tout a pour ne
parvenir injecter quun seul paquet dans le rseau. Bref, ce protocole Michael a bien
fonctionn et tenu ses promesses pendant plusieurs annes. Malheureusement, il a
maintenant t cass.
sur le rseau : lARP est un protocole utilis sur tous les rseaux IP lorsquune
station veut connatre ladresse MAC dune station dont elle ne connat que
ladresse IP2 . Bien que les paquets soient crypts par TKIP, on peut reprer
facilement les paquets ARP car ils ont une taille caractristique (51 octets en
comptant lIV, len-tte LLC, le paquet ARP proprement dit, le code MIC et
lICV). Le contenu du paquet ARP est facile deviner, pour lessentiel. La
plupart du temps, on ignore uniquement ladresse IP recherche (4 octets). Bien
sr, dans le message crypt, on ignore galement le code MIC du protocole
Michael (8 octets) et lICV (4 octets).
Le pirate peut alors utiliser une attaque qui a fait ses preuves contre le WEP :
lattaque chop-chop (littralement dcouper-dcouper ). Le pirate essaie
de deviner la valeur du dernier octet du message en clair, avant lICV (dans
notre cas, il sagit du dernier octet du code MIC). Il supprime ensuite loctet
correspondant dans le message crypt (le dernier octet crypt avant lICV
crypt), et il calcule le nouvel ICV crypt pour ce paquet modifi. Il parat
trs surprenant quil soit capable de calculer lICV crypt alors quil ne connat
pas les cls de cryptage, mais cest rendu possible par le fait que lICV est un
algorithme linaire (voir le 7.3.3) : lorsquon modifie un bit dans le message
crypt, on peut savoir exactement quel bit changer dans lICV crypt pour que
le paquet reste valide, sans quil soit ncessaire de connatre la cl de cryptage.
Il envoie maintenant ce paquet crypt et tronqu dun octet, dont lICV a
t recalcul. Sil na pas correctement devin le dernier octet du message
en clair, alors il aura mal calcul lICV du paquet tronqu, et lAP rejettera
silencieusement ce paquet. Il lui suffit alors de recommencer la procdure en
1. http://www.aircrack-ng.org/doku.php?id=tkiptun-ng
2. Pour plus de dtails sur le protocole ARP, voir lannexe A disponible sur www.livrewifi.com.
295
essayant une autre valeur pour loctet deviner. Au bout de maximum 256 essais
il tombera sur la bonne valeur : tout cela ne prendra que quelques instants. Le
paquet aura alors un ICV correct, mais un code MIC incorrect. LAP renverra
donc un message derreur, comme cela est prvu par le protocole Michael : cest
une indication essentielle pour le pirate, car il sait maintenant quil avait bien
devin la valeur du dernier octet en clair, cest--dire le dernier octet du code
MIC en clair.
Le pirate doit maintenant attendre 60 secondes avant de continuer, afin dviter
que lAP ne dclenche les contre-mesures. Une fois ce dlai pass, il peut continuer lattaque chop-chop pour deviner, par la mme procdure, lavant-dernier
octet du message en clair. Il peut continuer ainsi pour chaque octet du message,
en sarrtant une minute entre chaque octet devin. Puisquil a 12 octets
deviner, il pourra les deviner en 12 minutes (plus quelques secondes) !
Le pirate connat alors lintgralit du paquet en clair, dont le code MIC.
partir de cela, il peut inverser lalgorithme de calcul du code MIC pour trouver
la cl dintgrit ! En effet, le protocole de gnration du code MIC a t conu
pour tre simple et facile calculer, mais pas pour tre irrversible (on ne pensait
pas quil pourrait tre devin facilement).
Comme le pirate connat maintenant le paquet en clair et sa version crypte,
il peut en dduire la squence RC4 qui a t utilise pour crypter ce paquet
(hormis lICV). Il est donc maintenant capable de crer un paquet quelconque,
dune taille infrieure ou gale 39 octets, il peut calculer le code MIC de
ce paquet grce la cl dintgrit quil a trouve, et cela donne un message
de maximum 47 octets. Il crypte ensuite le tout avec la squence RC4 dont il
dispose. Pour finir, mme sil ne connat pas lICV en clair, il peut utiliser la
proprit de linarit de lICV pour calculer lICV crypt. Bref, il peut construire
un nouveau paquet de son choix (mais de maximum 51 octets, ICV compris) :
ce paquet est maintenant prt tre inject dans le rseau.
Toutefois, il ne faut pas oublier les mesures anti-relecture : on ne peut pas
mettre un paquet dont le TSC est infrieur au TSCmax . Or, puisquil sest coul
plus de 12 minutes depuis le dbut de lattaque, le TSCmax a d augmenter.
Si le pirate veut tricher et augmenter la valeur du TSC de son paquet (qui
correspond lIV, rappelons-le), alors il devra avoir un paquet crypt avec la cl
RC4 correspondant cet IV. Or, il ne connat la squence de cryptage que du
paquet quil a dcrypt, avec son TSC : il est donc condamn nutiliser que
celui-l. Heureusement pour lui (et malheureusement pour la scurit TKIP), il
peut profiter du fait que le 802.11e utilise un TSC diffrent pour chaque classe
de trafic. En changeant la classe du trafic de son paquet (un simple champ dans
len-tte modifier) le TSC de son paquet forg sera compar au TSCmax de
la classe de trafic choisie. Son TSC pourra donc parfaitement tre suprieur au
TSCmax de cette classe : son paquet sera alors accept ! Il peut recommencer sur
chaque classe de trafic, et il pourra ainsi injecter jusqu 7 paquets de son choix,
de 51 octets maximum, sur le rseau.
296
peut donc injecter jusqu 7 paquets de son choix, dune cinquantaine doctets
maximum, toutes les 12 minutes.
On voit que la faille est tout de mme limite : le pirate ne peut dcrypter que de
petits paquets ARP dont il nignorait finalement que deux octets, et il ne peut injecter
rellement que quelques rares et petits paquets. Il ne possde pas les cls matresses
(PMK et GMK) ou mme temporaires, mise part la cl dintgrit, donc il ne peut
pas dcrypter lensemble du trafic. Nanmoins, cette attaque est vraisemblablement la
premire dune srie, et il est maintenant clair quil est temps de migrer vers lAES.
297
Conclusion : malgr ses qualits, il existe une solution encore plus sre que TKIP :
si vous tes particulirement exigeant et que souhaitez avoir un niveau de scurit
encore plus lev (notamment avec un mcanisme de contrle dintgrit plus puissant
que Michael), le WPA2 avec AES est pour vous.
En outre, lAES est trs performant : il nutilise que des oprations simples telles
que des additions, des dcalages de bits ou encore lopration XOR. Tout ceci en fait
un algorithme extrmement attrayant.
9.4.2 Le WPA/AES
WPA et WPA2
La scurit et la performance de lAES sont les deux raisons pour lesquelles le groupe
de travail du 802.11i sest tourn vers cet algorithme lorsquil cherchait une solution
de scurit plus sre que le WEP. Ce groupe a alors dvelopp une solution de scurit
complte reposant sur cet algorithme AES. Cette solution inclut :
une authentification forte reposant sur le protocole 802.1x ;
un mcanisme de distribution automatique des cls ;
un contrle dintgrit puissant ;
298
Le matriel WPA/AES
Le principal dfaut du WPA/AES est quil requiert un matriel conu pour le supporter.
Cest le cas de la grande majorit des produits rcents, mais pas de tous : il faut
donc faire attention aux produits que vous choisissez.
Le CCMP
LAES, en soi, nest quun algorithme de cryptage. Il est au WPA2 ce que le RC4
est au WEP : il en constitue le cur, mais tout seul il ne sert rien. Il faut donc un
protocole qui dfinisse comment lutiliser : pour le WPA/AES, ce protocole sappelle
le CCM Protocol (CCMP). Il dfinit prcisment comment lAES doit tre utilis
pour crypter chaque paquet WiFi. Le CCMP spcifie galement quel algorithme de
contrle dintgrit doit tre utilis : il sagit de lalgorithme CBC. Nous reviendrons
sur le CCMP et le CBC plus loin.
Le tableau suivant rsume les protocoles, les algorithmes de cryptage et les
algorithmes de contrle dintgrit des solutions de scurit WiFi :
Solution
Protocole
Cryptage
Intgrit
WEP
WEP
RC4
CRC
WPA
TKIP
RC4
Michael
WPA2
TKIP
RC4
Michael
WPA2
CCMP
AES
CBC
Au fond, vous en savez maintenant bien assez pour pouvoir dployer le WPA/AES :
il vous faut des AP et des stations qui le supportent et il faut slectionner lAES
comme mthode de cryptage. Pour le reste tout est identique larchitecture WPA, en
particulier lauthentification 802.1x et la ncessit de dployer un serveur RADIUS (
moins dutiliser une cl partage PSK). Pour les plus curieux, nous allons maintenant
dtailler un peu le fonctionnement du WPA/AES.
299
puisque tous les blocs sont crypts avec la mme cl, si deux blocs sont
300
pass avec le WEP : lalgorithme RC4 est trs bon, mais lutilisation qui en a t faite
ne lest pas. Pour cette raison, WPA/AES utilise un mode bien plus sr que le mode
ECB.
Le Counter-Mode
Un mode trs apprci pour les algorithmes par bloc est le Counter-Mode (CM),
cest--dire le mode compteur . Il est utilis depuis plus de vingt ans et est considr
comme trs sr. Son principe est cependant lgrement plus complexe que celui dECB
(fig. 9.14) :
un compteur est incrment sans arrt ;
ce compteur lui-mme est crypt avec lalgorithme de cryptage par bloc choisi
301
Le CCM
Le WPA/AES repose quant lui sur un mode invent par le groupe de travail 802.11i :
ce mode porte le nom un peu obscur de Counter-Mode + CBC-MAC (CCM). Comme
ce nom lindique, CCM repose sur le Counter-Mode pour le cryptage. En outre,
lalgorithme de contrle dintgrit CBC-MAC est utilis.
Le code CBC
CBC-MAC signifie Cipher Block Chaining-Message Authentication Code, ce qui peut se
traduire par code dintgrit de message calcul par le chanage dun algorithme de
cryptage par bloc . Oui, cest un peu plus long en franais ! Notez que dans le contexte
de la scurit, labrviation MAC na absolument rien voir avec la couche MAC
dont nous avons parl jusqu prsent. Pour viter toute confusion, nous parlerons
donc simplement de code CBC. Voyons comment ce code est calcul (fig. 9.15) :
le premier bloc du message est crypt avec AES1 ;
ce bloc crypt est combin avec le deuxime bloc non crypt, grce lopration
XOR ;
le rsultat est lui-mme crypt avec AES et ainsi de suite, bloc par bloc.
Le code CBC qui rsulte de ce calcul a la longueur dun bloc. Sa valeur est
compltement imprvisible : si un seul bit du message change, le code CBC change
compltement. Il sagit donc dun excellent code de contrle dintgrit. Son principal
dfaut est quil est gourmand en puissance de calcul, contrairement Michael, par
exemple. En outre, il ne peut fonctionner que si le message a une longueur gale un
multiple de la taille des blocs. Le protocole CCMP utilis par WPA/AES rsout ce
problme en compltant le message avec des zros jusqu obtenir une taille adquate
(en anglais, cela sappelle du padding) : les zros ne sont pas rajouts au message
envoyer ; ils sont seulement utiliss pour le calcul du code CBC.
1. En fait, le mode CCM est conu pour fonctionner avec tout algorithme de cryptage par bloc.
302
9.4.4 Le CCMP
Len-tte CCMP
Bien que le mode CCM ait t conu par le groupe de travail du 802.11i, il peut tre
utilis dans nimporte quel autre contexte. Cest pourquoi le 802.11i dfinit galement
le CCM Protocol (CCMP), dont le rle est de prciser exactement comment le CCM
doit tre utilis dans le contexte du WiFi.
Pour dtailler le CCMP, il faut rappeler brivement comment un paquet envoyer
est trait par la couche MAC :
le paquet fourni la couche MAC par les couches rseau suprieures sappelle
le MSDU ;
303
Dans le cas de WEP, un en-tte WEP est rajout entre len-tte MAC et les
donnes : il contient lIV et lindex de la cl WEP. Dans le cas de TKIP, un en-tte
TKIP est galement rajout : il est compos de lIV tendu et de lindex de la cl WEP.
Dans le cas de CCMP, un en-tte est galement rajout entre len-tte MAC et les
donnes : il a une structure semblable celle de len-tte TKIP et contient le numro
de paquet (PN) de 48 bits utilis par CCM, ainsi que lindex de la cl temporaire
(PTK ou GTK) utilise pour le cryptage (utile uniquement pour le trafic de groupe,
comme pour TKIP). Voici la structure de len-tte CCMP :
PN0
PN1
Rsv
ID
PN2
PN3
PN4
PN5
1 octet
1 octet
1 octet
1 octet
1 octet
1 octet
1 octet
1 octet
On voit que les 48 bits (6 octets) du PN, de PN0 PN5, ne sont pas contigus.
Le but est de conserver une structure similaire celle de len-tte TKIP et WEP. On
retrouve notamment le champ ID du WEP et de TKIP. Le troisime octet de len-tte
CCMP est rserv pour un usage futur.
Cet en-tte CCMP est donc rajout entre len-tte MAC et les donnes cryptes
par le Counter-Mode/AES. Seule la moiti du code CBC est conserve pour former
le code dintgrit (8 octets, cest dj bien suffisant). Ce code, appel le Message
Integrity Code (MIC), est rajout la fin des donnes crypter. Voici donc la structure
dun paquet crypt avec le WPA/AES :
En-tte MAC
En-tte CCMP
Donnes cryptes
MIC crypt
CRC
30 octets
8 octets
0 2 296 octets
8 octets
4 octets
304
ils sont remplacs par des zros. Bien sr, ce remplacement est uniquement ralis pour
le calcul du MIC : les champs effectivement envoys ne sont pas rellement remplacs
par des zros. Une fois calcul, le MIC est rajout la fin des donnes et il est crypt
avec elles (fig. 9.16).
Avec le CCMP, le code dintgrit MIC est calcul sur lensemble du message plus
len-tte CCMP et MAC, hormis les champs modifiables. Contrairement au WEP et
TKIP, les en-ttes sont donc protgs.
Le calcul du code dintgrit spcifi par CCM fait intervenir, comme nous lavons
dit, le PN, de sorte que deux messages identiques naboutissent jamais deux fois au
mme MIC. En outre, ladresse MAC de lmetteur est utilise pour viter que deux
stations utilisant la mme cl et le mme PN ne gnrent le mme code dintgrit
pour un mme message. On retrouve donc les mmes principes que pour TKIP.
Le cryptage
Le cryptage du CCMP est ralis avec le CCM/AES (fig. 9.17). Lalgorithme de
cryptage est le Counter-Mode/AES, mais le compteur sur lequel repose cet algorithme
contient le PN et ladresse MAC de lmetteur, plus une partie qui augmente pour
chaque bloc crypt, selon le principe du Counter-Mode. Comme pour le calcul du
MIC, ceci permet de garantir que deux stations possdant la mme cl, le mme PN
et envoyant le mme message nobtiendront jamais deux fois le mme rsultat.
305
Options
Priorit
Adresse MAC
PN
Compteur
1 octet
1 octet
6 octets
6 octets
2 octets
Les deux premiers champs correspondent des champs des en-ttes. Ladresse
MAC est celle de lmetteur.
Rsum
Le nec plus ultra de la scurit WiFi est offert par la norme IEEE 802.11i, ratifie en
juin 2004. Un sous-ensemble de cette norme a t publi deux ans auparavant par
la WiFi Alliance sous le nom de WPA. Alors que le 802.11i autorise deux types de
cryptages, le TKIP et lAES, le WPA ne gre quant lui que le TKIP. En outre, le
WPA ne fonctionne thoriquement pas en mode Ad Hoc, contrairement au 802.11i.
La WiFi Alliance a commenc la certification WPA2 en septembre 2004 pour les
produits compatibles avec toute la norme 802.11i.
Pour utiliser le WPA2 sur AES, il est ncessaire de disposer de matriel rcent,
capable de le supporter. En revanche, une simple mise jour de firmware est souvent
suffisante pour rendre un ancien matriel WiFi compatible avec le TKIP.
Pour dployer le WPA ou le WPA2, le plus simple consiste saisir une passphrase
identique dans chaque quipement. Cest la mthode PSK , galement appele
WPA Personal . Cette mthode est recommande pour les particuliers (ou les trs
petites entreprises) car elle est trs simple mettre en uvre. Cependant, elle noffre
pas le meilleur niveau de scurit et est trop lourde grer pour les grands rseaux.
Il est absolument impratif de choisir une passphrase longue et complexe, et de la
changer rgulirement.
306
10
Le RADIUS
Objectif
Dans ce dernier chapitre, nous allons prsenter le protocole et les serveurs RADIUS,
qui servent avant tout identifier les utilisateurs dun service. Ce protocole ne fait
pas partie de la norme 802.11 et il peut tre utilis dans bien dautres contextes que
les rseaux sans fil. Cependant, il est tout fait central lorsque lon met en uvre une
architecture 802.1x, ce qui est gnralement le cas dans un rseau WiFi dentreprise
protg par les nouvelles solutions de scurit, le WPA ou le WPA21 .
Au cours de ce chapitre, nous commencerons par tudier les trois rles dun serveur
RADIUS : lauthentification des utilisateurs, la dfinition de leurs autorisations et
la comptabilisation de leurs connexions. Ensuite, nous prsenterons le protocole en
prcisant les lments ncessaires la configuration dun serveur RADIUS et nous
finirons par une prsentation dtaille de la scurit de larchitecture RADIUS.
308
quipement qui contrle son accs : cet quipement sappelle le Network Access
Server (NAS), cest--dire le serveur daccs au rseau . Attention : dans le
contexte du protocole RADIUS, le NAS est souvent appel le client , ce
qui peut rellement prter confusion. Lorsque vous configurez un serveur
RADIUS, faites attention ne pas confondre client et utilisateur.
Lutilisateur fournit son identit au NAS, dune manire ou dune autre : le
protocole utilis pour cela nest pas spcifi par RADIUS ; cela peut tre
nimporte quel protocole.
En utilisant le protocole RADIUS, le NAS communique alors avec le serveur1
afin de valider lidentit de lutilisateur. Si le serveur RADIUS authentifie bien
lutilisateur, il en informe le NAS et celui-ci laisse dsormais lutilisateur accder
au rseau.
Plusieurs NAS peuvent tre configurs pour faire appel au mme serveur RADIUS
et lui dlguer le travail dauthentification des utilisateurs. De cette faon, il nest pas
ncessaire chaque NAS de possder une copie de la liste des utilisateurs : celle-ci est
centralise par le serveur RADIUS.
Dans le cas dun rseau WiFi, chaque AP peut jouer le rle de NAS. Cest le cas
lorsque lon utilise larchitecture 802.1x.
1. Il existe de nombreux serveurs RADIUS sur le march. Quelques-uns des plus rpandus sont
prsents dans le chapitre 8, au paragraphe 8.2.1. Ce chapitre a pour but de prsenter le protocole
RADIUS, ses concepts et sa scurit et non de se substituer la documentation de votre serveur
RADIUS particulier.
309
Les connecteurs
Pour valider les mots de passe (ou toute autre preuve didentit), certains serveurs
RADIUS consultent simplement un fichier contenant la liste des utilisateurs et de
leurs mots de passe (fig. 10.2). Dautres sont capables de lire ces informations dans une
base de donnes relationnelle, comme MySQL ou Oracle. Certains peuvent consulter
un serveur LDAP ou un contrleur de domaine de Windows NT. Certains serveurs
RADIUS vous laissent mme la possibilit de programmer vous-mme votre propre
connecteur : vous pouvez ainsi relier le serveur RADIUS au systme de votre choix,
selon la mthode que vous prfrez.
310
311
NAS auquel il se connecte lui demande de sauthentifier, puis contacte naturellement le serveur RADIUS de B. Ce dernier, dtectant (daprs son identifiant) que
lutilisateur est un abonn de loprateur A, se contente de rediriger la requte au
serveur RADIUS de A. Ceci explique pourquoi votre identifiant de connexion ADSL
ressemble identifiant@oprateur, ou encore un format du type oprateur/identifiant : par
exemple, fti/dupond, pour un abonn dOrange.
10.1.2 Lautorisation
Un paramtrage fin et dynamique
Le rle du protocole RADIUS ne sarrte pas la simple authentification. En
effet, lorsque le serveur informe le NAS que lutilisateur est bien authentifi, il
peut en profiter pour fournir au NAS toutes sortes de paramtres (on parle plutt
dattributs ) utiles pour configurer la connexion de cet utilisateur. Par exemple, il
peut indiquer au NAS que cet utilisateur ne doit pas accder telle ou telle partie
du rseau, quil doit tre dconnect au bout de 30 minutes ou encore quil faut lui
couper sa connexion sil tlcharge plus de 200 Mo.
Le serveur RADIUS peut finement grer les autorisations des utilisateurs, en
transmettant au NAS des attributs varis. Pour cela, il suffit de configurer le serveur
RADIUS en prcisant les attributs renvoyer pour chaque utilisateur ou groupe
dutilisateurs.
312
Le premier attribut prcise que lutilisateur doit tre dconnect au bout dune
heure dinactivit. Le deuxime et le troisime attribut dfinissent une liste daccs,
appele arbitrairement acl : lutilisateur ne pourra pas (DENY) accder aux sousrseaux 10.0.0.0/16 et 10.1.0.0/16, quels que soient les protocoles (all) et quel que soit
le port (all). Le dernier attribut active la liste daccs acl .
Les attributs spcifiques des constructeurs sont extrmement varis et souvent
trs utiles. Certains permettent, par exemple, dassocier un utilisateur un rseau
virtuel (VLAN) donn, en fonction de ses droits daccs. Dautres indiquent vers quel
serveur SMTP doivent tre redirigs tous les e-mails envoys par un utilisateur (voir
la transparence SMTP, au chapitre 4). Et ainsi de suite.
Toutefois, comme leur nom lindique, ils ne fonctionnent que pour un constructeur
donn1 . Il faut donc les utiliser avec prcaution et parcimonie, surtout dans un
environnement o les NAS sont htrognes.
10.1.3 La comptabilisation
Dbut de session
La troisime et dernire fonction dun serveur RADIUS, dfinie dans la RFC 2866,
est de comptabiliser les connexions des utilisateurs. Voici comment cela fonctionne :
ds quun NAS a reu du serveur la confirmation de lauthentification dun utilisateur
(accompagne dattributs dautorisation), il envoie une requte au serveur indiquant le
dbut de la session de lutilisateur. Cette requte comporte de nombreuses informations
concernant la session et notamment :
lidentifiant de session (Acct-Session-Id) ;
1. Quelques attributs Vendor-Specific font lobjet dun consensus et sont utiliss par plusieurs
constructeurs. Si lengouement pour un attribut est important, il finit par tre intgr dans une
RFC.
313
Fin de session
Lorsque lutilisateur met fin sa session, ou que le NAS le dconnecte (ou encore si
la connexion est coupe), le NAS envoie une requte au serveur RADIUS afin de lui
indiquer que la session est termine. Cette requte comporte nouveau de nombreuses
informations au sujet de la session, parmi lesquelles on trouve en gnral :
la dure totale de la session, en secondes (Acct-Session-Time) ;
Comptabilisation et administration
Grce la comptabilisation trs prcise des connexions, il est possible de conserver
une trace dtaille de toutes les connexions des utilisateurs. Si lon possde un bon
outil danalyse des historiques de connexion, il est possible de bien contrler laccs
au rseau.
On peut ainsi voir, par exemple, quels sont les NAS les plus utiliss, quels sont
les utilisateurs qui tlchargent le plus de donnes ou encore la dure moyenne dune
session (fig. 10.4). On peut galement dtecter des tentatives dintrusion ou se rendre
compte de problmes de connexion frquents (Lost Carrier). Bref, cest un outil trs
prcieux pour ladministrateur rseau.
314
Comptabilisation et facturation
En outre, la comptabilisation des connexions, la seconde et loctet prs, permet de
facturer prcisment le service offert ! Bien sr, ceci ne sapplique pas aux employs
dune entreprise, mais est mis profit par les fournisseurs daccs Internet (FAI), avec
ou sans fil. Ds sa conception, le protocole RADIUS a rapidement connu le succs
dans le monde des FAI pour grer les utilisateurs, leurs droits et la comptabilisation de
leurs connexions en vue de la facturation.
Cest ainsi que les Broadband Access Server (BAS), qui contrlent laccs Internet
pour les abonns ADSL, font en gnral appel un serveur RADIUS. De mme,
les points de prsence (PoP) dun oprateur1 , pour les connexions Internet via un
simple modem tlphonique au travers du rseau tlphonique commut (RTC), se
connectent eux-mmes un serveur RADIUS pour identifier les utilisateurs, grer
leurs droits et comptabiliser leurs connexions. Les contrleurs daccs des hotspot-in-abox (voir le chapitre 4), font trs souvent appel un serveur RADIUS.
Le serveur RADIUS est parfois appel le serveur AAA . Ce sont les initiales, en
anglais, des trois fonctions principales du serveur RADIUS, que nous venons de voir :
Authentication, Authorization, Accounting, cest--dire lauthentification, lautorisation
et la comptabilisation. Notons quil existe dautres types de serveurs AAA, moins
rpandus : TACACS, TACACS+ ou encore Diameter. Ce dernier est dfini dans la
RFC 3588 ; il sagit dune version amliore du protocole RADIUS2 , mais il nest pas
encore trs utilis aujourdhui.
1. Nous avons brivement prsent les PoP au chapitre 8.
2. Notez le subtil jeu de mot : radius signifie rayon et diameter bien sr signifie diamtre .
315
Conclusion
Le protocole RADIUS offre donc trois fonctions essentielles : lauthentification
des utilisateurs, le paramtrage fin et dynamique de leurs autorisations, enfin la
comptabilisation prcise de leurs connexions. Avant de choisir un serveur RADIUS
particulier, il faut sassurer quil gre bien les mthodes dauthentification que lon
souhaite mettre en uvre et quil possde les connecteurs dont on peut avoir besoin,
par exemple pour le relier un contrleur de domaine de Windows NT.
Le serveur RADIUS nous intresse particulirement dans le contexte du WiFi car
il est le standard de fait pour le serveur dauthentification de larchitecture 802.1x. Or,
nous avons vu que cette architecture tait la base des solutions de scurit WPA
Enterprise et WPA2 Enterprise (voir le chapitre 9). Nous allons donc maintenant
dtailler un peu plus le protocole RADIUS et montrer comment le 802.1x et le
RADIUS fonctionnent ensemble.
titre de comparaison, le protocole TCP, dfini dans la RFC 793, repose galement sur le protocole IP, mais il garantit la livraison des paquets grce un systme
daccuss de rception ; il assure galement que lordre des paquets sera conserv,
en numrotant chaque paquet et en les rordonnant au besoin larrive. En outre,
TCP permet denvoyer des donnes aussi longues que voulu : il soccupe lui-mme de
dcouper les donnes en multiples fragments et de reconstituer les donnes larrive.
Il gre automatiquement le dbit et contrle la vitesse dmission en fonction de la
vitesse de transfert mesure. Il assure enfin une connexion virtuelle , appele un
socket, pour les couches rseau suprieures : ces dernires commencent par ouvrir
un socket TCP avec une autre machine, puis il leur suffit dcrire ou de lire des octets
dans ce socket, sans avoir se soucier de la faon dont leurs donnes seront regroupes
en paquets, ni du moment prcis auquel ces paquets seront envoys.
1. Si vous avez besoin dun rappel au sujet des rseaux IP, consultez lannexe A sur le site de louvrage
www.livrewifi.com.
316
Bref, cest un protocole trs complet et pratique pour les couches suprieures.
Cest la raison pour laquelle la plupart des protocoles dInternet reposent sur TCP :
cest le cas notamment de HTTP (navigation Internet), SMTP (envoi de-mails),
POP (tlchargement de-mails) ou encore FTP (transfert de fichiers). Cependant,
toutes ces fonctionnalits ont un cot : le fait douvrir un socket suppose une petite
ngociation initiale qui implique quelques allers-retours. Si tout ce que lon veut faire
est denvoyer un simple paquet de donnes, de temps en temps, le protocole TCP peut
tre vu comme trop lourd.
linverse, UDP est un protocole trs simple, mais trs rapide. Cest pour cette
raison quil a t choisi comme base pour le protocole RADIUS1 . Si un paquet
RADIUS envoy par le NAS est perdu pendant son trajet vers le serveur, le NAS
ressaie tout simplement au bout de quelques secondes. Le dlai entre deux tentatives,
ainsi que le nombre maximal de tentatives possibles avant labandon, peuvent tre
configurs dans la plupart des NAS. Il est gnralement possible de configurer chaque
NAS en lui indiquant un serveur RADIUS secondaire, contacter en cas dchec du
serveur RADIUS primaire (fig. 10.5).
317
Ceci permet de dployer plusieurs services UDP sur la mme machine, distingus par
leur port. Certains ports sont thoriquement rservs pour des services donns1 . Cest
le cas du service RADIUS :
le service dauthentification et dautorisation RADIUS doit (en principe) tre
Lorsque vous configurez un NAS pour quil utilise tel ou tel serveur RADIUS,
vous devez donc indiquer ladresse IP du serveur RADIUS, ainsi que le port du service
dauthentification et dautorisation et le port du service de comptabilisation.
Notez que les ports officiels ont chang depuis quelques annes : ils sagissait auparavant des ports UDP 1645 et 1646, ce qui explique pourquoi ces valeurs apparaissent
encore parfois dans certains vieux quipements.
1. Le protocole TCP possde galement la mme notion de port. Par exemple, le port officiel pour
le protocole HTTP est le port 80.
2. Quelques autres types de paquets RADIUS sont dfinis par dautres RFC, mais ils sont moins
cruciaux.
318
ID
Longueur
Authenticator
Attributs
1 octet
1 octet
2 octets
16 octets
0 4 076 octets
lID est inclus dans chaque requte : il sagit dun simple compteur qui identifie
319
les attributs ;
cest--dire pour sassurer que le paquet na pas t modifi par un pirate entre
lmetteur et le rcepteur : nous y reviendrons plus loin lorsque nous parlerons
de la scurit RADIUS ;
enfin, les attributs sont simplement placs les uns la suite des autres.
Les attributs
Le format de chaque attribut est trs simple. Chaque attribut prcise son type, sa
longueur et, bien entendu, sa valeur :
Type
Longueur
Valeur
1 octet
1 octet
0 253 octets
les types possibles sont dfinis dans la RFC 2865 et dans toutes les autres
RFC lies au protocole RADIUS (2866, 2867, 2868, 2809, 2869 et 2548).
Par exemple, le type Session-Timeout dont nous avons parl plus haut porte le
numro 27, le type User-Name porte le numro 1 et ainsi de suite ;
la longueur est celle de lensemble de lattribut, pas uniquement de la valeur ;
la valeur peut tre un nombre (sur 32 bits), une srie doctets, un texte, une
adresse IP ou encore une date. Cela dpend du type de lattribut.
Puisque le type est reprsent sur un seul octet, il ny a que 256 types possibles.
Cest trs peu si lon considre que de nombreux constructeurs dfinissent leurs
propres attributs. Pour viter que tous les types possibles ne soient vite puiss, la
RFC 2865 dfinit un type spcial pour les attributs spcifiques des constructeurs :
lattribut Vendor-Specific (type numro 26). La valeur de cet attribut commence par
un numro de 32 bits qui correspond lidentifiant du constructeur. Par exemple, le
numro attribu au constructeur Colubris est le 8744. Le reste de la valeur a un format
spcifique au constructeur. En gnral, il sagit dune squence dattributs spcifiques
au constructeur, les uns la suite des autres :
Type (26)
Longueur
ID du constructeur
Sous-attributs spcifiques
1 octet
1 octet
4 octets
0 249 octets
320
Le dictionnaire
Avec les centaines dattributs RADIUS possibles, dfinis par des dizaines de constructeurs, il est parfois difficile de sy retrouver. Surtout, il faut pouvoir configurer
relativement simplement le serveur RADIUS, sans avoir chaque fois rechercher
quel numro correspond le type Session-Timeout ou le constructeur Colubris, par
exemple. Pour cela, les serveurs RADIUS ont en gnral un dictionnaire , qui
tablit lassociation entre un nom clair , comme Session-Timeout et le numro
auquel il correspond dans le standard. De cette faon, lorsque vous configurez un
serveur RADIUS, vous pouvez crire des choses comme Session-Timeout=3600
plutt que Attribut 27=3600 . Cest tout de mme plus clair !
Le seul problme avec le dictionnaire est quil faut parfois le mettre jour. Par
exemple, si vous installez un serveur RADIUS et que deux ans plus tard vous installez
un nouveau matriel, produit par un nouveau constructeur, il faudra vous assurer que
le dictionnaire de votre serveur contienne bien le code de ce constructeur et les types
spcifiques que vous souhaitez utiliser. Si ce nest pas le cas, il faudra consulter le
constructeur pour quil vous fournisse son identifiant et les dfinitions de ses types
dattributs.
Enfin, si vous crivez Session-Timeout=3600 dans votre configuration
RADIUS, comment le serveur doit-il savoir si 3600 doit tre interprt comme
un nombre ou comme du texte ? Pour rsoudre ce problme, le format de chaque type
dattribut est inclus dans le dictionnaire et indique sil sagit dun nombre, dune srie
doctets, dun texte, dune date ou dune adresse IP.
Le dictionnaire dun serveur RADIUS contient la liste des attributs possibles et, pour
chacun dentre eux, son code, son format, parfois ses valeurs possibles et, sil sagit
dun attribut vendor-specific , le nom et le code du constructeur qui la dfini.
321
les paquets EAP que le contrleur daccs doit changer avec le serveur sont
Lutilisation du protocole EAP sur RADIUS est dtaille dans la RFC 2869. Cest
elle qui dfinit lattribut RADIUS qui nous intresse : lattribut EAP-Message (type
numro 79). Cet attribut contient tout simplement un paquet EAP. Pour tre plus
prcis, puisquun attribut RADIUS ne peut pas tre plus long que 253 octets, plusieurs
attributs EAP-Message peuvent se succder pour former un paquet EAP complet.
Dans le cas de la mthode EAP/TLS et des autres mthodes de tunnel reposant
sur TLS, le client et le serveur doivent schanger leurs certificats. Or, un certificat
peut tre plus grand quun paquet RADIUS, qui ne peut transporter que 4 076 octets
1. Au chapitre 4, nous avons vu que dans les hotspots, la communication entre lutilisateur et le
contrleur daccs reposait gnralement sur une navigation web scurise (HTTPS). Dans ce
contexte, le protocole 802.1x nest que peu utilis, car la configuration ncessaire dcouragerait de
nombreux clients potentiels, alors que tout le monde possde un navigateur Web et sait lutiliser.
322
(en comptant les en-ttes des attributs). Heureusement, la mthode EAP/TLS (et les
autres mthodes vhiculant des donnes volumineuses) dfinit comment fragmenter
le certificat et lchanger dans plusieurs paquets EAP : le problme ne se pose donc
pas.
Finalement, tout se passe de faon assez transparente. Il suffit donc de sassurer que
le serveur gre bien les mthodes EAP que lon a choisi dutiliser et que le contrleur
daccs (cest--dire lAP dans le contexte du WiFi) gre bien le 802.1x et le RADIUS.
Tout produit certifi WPA Enterprise devrait convenir.
et avec les mthodes EAP que lon souhaite utiliser1 . Ce logiciel doit galement
tre compatible avec le WPA ou le WPA2 ;
les AP doivent tre compatibles avec le 802.1x, le RADIUS et le WPA ou le
WPA2 : tout AP certifi WPA Enterprise conviendra ;
le serveur RADIUS doit tre capable de grer les mthodes dauthentification
EAP que lon a choisies.
323
puisque les secrets doivent tre enregistrs sur le serveur, il faut sassurer que la
configuration du serveur RADIUS ne soit accessible qu quelques personnes de
confiance.
Le secret RADIUS est utilis la fois pour crypter certains attributs et galement
pour calculer le code de contrle dintgrit du paquet que le rcepteur utilise pour
sassurer que le paquet RADIUS na pas t modifi. Commenons par voir le contrle
dintgrit, mis en uvre par lauthenticator.
10.3.2 Lauthenticator
Calcul de lauthenticator
Lauthenticator (cest--dire le sceau lectronique , ou si vous prfrez, la signature)
est un champ de 16 octets (128 bits), prsent dans chaque paquet (voir 10.2.3).
324
Dans ce cas, puisque le secret RADIUS est utilis dans le calcul, il sait que cest bien
une rponse provenant du serveur. Dautre part, puisque le nombre alatoire quil avait
gnr dans la requte est utilis galement dans le calcul, il sait quil sagit bien de la
rponse cette requte et non de la rponse une ancienne requte : cela vite les
attaques de relecture. Enfin, puisque lensemble du paquet de rponse fait aussi partie
du calcul de lauthenticator, il sait que le paquet de rponse na pas t modifi par un
pirate.
Voici le dtail du calcul de lauthenticator des paquets de rponse (o || signifie
suivi de ) :
Authrponse = MD5 (Code || ID || Longueur || Authrequte || Attributs || secret)
Pour les paquets de comptabilisation, le processus est lgrement diffrent :
lauthenticator du paquet de requte Accounting-Request nest pas alatoire. Il est calcul
selon la formule prcdente, avec une petite diffrence : puisquil ne sagit pas dune
rponse une requte, le champ Authrequte est remplac par un champ nul :
Authacct-request = MD5 (Code || ID || Longueur || 16 octets nuls || Attributs || secret)
De cette faon, le serveur RADIUS peut vrifier la signature des paquets
Accounting-Request quil reoit. Les paquets Accounting-Response sont signs de la
faon habituelle, en calculant un hash MD5 partir du paquet au complet, du secret
et de lauthenticator de la requte.
si le dernier bloc est plus court que 16 octets, il est complt avec des zros ;
325
similaire ce que nous venons de prsenter. Notons que les attributs EAP-Message
ne sont pas crypts par le protocole RADIUS. Heureusement, les mthodes EAP
elles-mmes protgent le contenu des paquets.
La plupart des attributs RADIUS sont envoys en clair . Seuls les attributs les plus
sensibles sont crypts en utilisant le secret RADIUS.
nest pas sign. Ceci permet un pirate denvoyer au serveur RADIUS autant
de paquets de ce type quil le souhaite, en se faisant passer pour un NAS.
Dautre part, lauthenticator du paquet Accounting-Request ne contient pas de
partie alatoire, donc si le contrleur daccs envoie deux paquets de ce type de
contenus identiques, leurs champs authenticator seront eux-mmes identiques.
Un pirate peut donc enregistrer des paquets Accounting-Request et les rejouer
plus tard. Toutefois, puisque les paquets contiennent un identifiant unique pour
chaque session (Acct-Session-Id) et quune session commence par un seul paquet
de dpart (type Start) et se termine par un seul paquet de fin (type Stop), les
paquets de type Start ou Stop rpts par un pirate seront rejets par le serveur.
En revanche, les paquets de type Interim-Update peuvent tre rpts, ce qui
peut endommager les historiques de connexion. Seule protection : le champ
ID, car il change chaque paquet. Le serveur vrifie gnralement que lID du
paquet quil reoit est proche de lID du dernier paquet quil a reu. Il pourra
ainsi rejeter tous les paquets de relecture dont lID est incohrent. Toutefois, cet
ID na quune longueur de 8 bits, donc seulement 256 valeurs possibles. Ainsi,
le pirate peut rejouer les paquets Interim-Update environ tous les 256 paquets
envoys par le contrleur daccs ;
Les attaques de relecture contre les paquets de type Interim-Update peuvent
galement tre diriges contre le contrleur daccs : le pirate peut capturer
un paquet Accounting-Response de type Interim-Update renvoy par le serveur
RADIUS et le rejouer ultrieurement. Ceci peut lui permettre de faire croire au
contrleur daccs que le serveur a bien reu son paquet Accounting-Request,
mme si ce nest pas le cas.
Les attaques contre les paquets Interim-Update sont possibles, mais elles entranent
davantage un dsagrment quune importante faille de scurit. Le problme le plus
grave est le premier, car il signifie quun pirate peut, loisir, modifier un paquet mis
par un contrleur daccs ou mettre lui-mme des paquets de type Access-Request.
Ceci peut lui permettre de chercher le mot de passe dun utilisateur, en essayant des
326
327
En effet, si le pirate peut capturer un paquet RADIUS quelconque, il peut essayer, chez
lui (cest--dire sans avoir se connecter au rseau), de trouver le secret RADIUS : il
lui suffit pour cela dessayer des milliers de secrets possibles, jusqu trouver le secret
qui produit le bon champ authenticator (sauf pour les paquets Access-Request) ou le
bon attribut Message-Authenticator.
Puisquune attaque de dictionnaire hors-ligne est ralisable, la recommandation
habituelle est de mise : choisir des secrets aussi longs et complexes que possible. Si le
pirate parvient rcuprer le secret, il pourra se faire passer pour un contrleur daccs
auprs du serveur RADIUS, ou pour le serveur RADIUS auprs du contrleur daccs.
Si le mme secret est utilis pour tous les contrleurs daccs, il pourra attaquer tous
les contrleurs daccs : cest pourquoi lon recommande dutiliser un secret diffrent
pour chaque contrleur daccs (cest--dire pour chaque AP).
328
modem-routeur, par exemple). Le serveur doit donc tre configur pour associer le
NAS cette adresse IP publique et non ladresse locale du NAS. Lorsque le serveur
rpond la requte, le paquet est adress ladresse publique du NAS, cest--dire
la passerelle. Quand la passerelle reoit le paquet, elle se souvient quune requte
provenant de telle IP locale (et tel port UDP) attendait une rponse. Elle sait donc
quil faut rediriger cette rponse vers ladresse IP locale (et le port) en question : elle
remplace ladresse IP de destination du paquet par ladresse IP du NAS. On appelle
cela le Destination-NAT (DNAT). La rponse RADIUS peut ainsi atteindre le NAS.
Tout ce mcanisme de SNAT et de DNAT sappelle le NAT dynamique 1 : il
permet plusieurs stations sur un mme rseau local de pouvoir communiquer avec
Internet au travers dune seule adresse IP publique.
329
de chaque rseau local o des NAS sont dploys et qui mette jour automatiquement
la configuration du serveur RADIUS... mais videmment ce nest pas la panace !
La premire solution au problme des IP dynamiques consiste simplement
demander une IP statique son FAI : une adresse IP publique vous est alors
attribue et elle ne change jamais. Cela ne rsout cependant pas le premier problme,
car tous les NAS sur un mme rseau auront encore la mme adresse IP publique du
point de vue du serveur.
Le risque de DoS
Il reste encore un problme important : les paquets UDP sont trs utiliss pour raliser
des attaques de type dni de service (DoS) contre un rseau. Pour cela, un pirate situ
nimporte o sur Internet submerge le rseau de paquets UDP inutiles. Au mieux,
la connexion Internet est lente ou indisponible, au pire, les serveurs sarrtent. Le
protocole UDP est apprci par les pirates car il est difficile pour un pare-feu de savoir
si un paquet UDP est lgitime ou non, car il ny a pas de notion de contexte avec
UDP, contrairement TCP pour lequel il y a les sockets.
Il est recommand de bloquer tout le trafic UDP rentrant, dans le pare-feu dune
connexion Internet (sauf sil sagit de rponses des requtes sortantes). Un serveur
RADIUS ne doit donc pas tre accessible directement depuis Internet.
Pour finir, il est tout fait dconseill denvoyer des paquets RADIUS directement
sur Internet, sans protection, car ils contiennent des informations, dont la plupart ne
sont pas cryptes.
Rsumons : le NAT pose problme, le pare-feu de chaque connexion Internet
doit bloquer le trafic UDP (donc le trafic RADIUS) et enfin les paquets RADIUS ne
doivent pas transiter en clair sur Internet. Mais alors, comment des NAS situs sur un
rseau donn peuvent-ils communiquer avec un serveur RADIUS situ sur un autre
rseau (ce qui arrivera, par exemple, si votre socit possde plusieurs bureaux) ? La
rponse vient des Rseaux Privs Virtuels (RPV), appels galement les Virtual Private
Networks (VPN).
330
option consiste relier directement les quipements dont les communications doivent
tre scurises un serveur VPN. Toutes leurs communications passent alors par
ce serveur et sont cryptes. Certains AP possdent ainsi une fonction de client
VPN (pour les protocoles PPTP, L2TP ou IPSec, gnralement) : ils peuvent ainsi
se connecter un serveur VPN et tout leur trafic RADIUS est envoy au serveur au
sein dun tunnel scuris. larrive, les paquets sont relays par le serveur VPN vers
le serveur RADIUS, qui peut tre hberg par la mme machine. Cette solution est
la plus sre, car les paquets RADIUS sont protgs de bout en bout et ne transitent
jamais en clair .
Quelle que soit larchitecture VPN choisie pour relier les sites entre eux, toutes
les machines auront limpression dtre sur le mme rseau local. Ceci permet de
rsoudre tous les problmes dadressage que nous avons mentionns : chaque NAS
apparat bien au serveur RADIUS avec sa propre adresse IP locale. En outre, cette
adresse IP ne change pas, mme si ladresse IP publique de la connexion Internet est
dynamique.
Les VPN sont gnralement rsistants de nombreuses attaques de type DoS,
toutes les communications sont cryptes dans les tunnels, un contrle dintgrit
puissant est ralis et les attaques de relecture sont impossibles. Bref, le trafic RADIUS
qui transite au sein des tunnels VPN est hautement scuris. Sauf bien sr si le rseau
VPN est mal mis en uvre (ce nest pas une tche facile).
331
Si le trafic RADIUS doit passer par Internet, il est fortement recommand de mettre
en place un tunnel VPN pour le scuriser. Ce nest malheureusement pas vident
raliser.
332
Le WPA stipule que la cl PMK doit tre envoye du serveur au NAS par
le biais dun paquet RADIUS contenant un attribut Vendor-Specific dfini par la
socit Microsoft (son identifiant est le 311). Lattribut spcifique en question porte
le numro 17 et son nom (un peu obscur) est MS-MPPE-Recv-Key. Voyons pourquoi
cet attribut a t choisi.
Le protocole Microsoft Point-to-Point Encryption (MPPE) a pour but de scuriser
une liaison PPP. Il est dfini dans la RFC 3078. Par ailleurs, Microsoft a dfini la
RFC 2548 pour permettre lutilisation de certaines fonctions spcifiques Microsoft,
dont quelques unes lies au protocole MPPE, avec le protocole RADIUS. Cette RFC
dcrit notamment comment une cl secrte peut tre crypte et intgre dans un
attribut RADIUS pour tre transmise du serveur RADIUS vers un NAS : cest l que
lattribut MS-MPPE-Recv-Key est dfini.
Lorsque le groupe de travail 802.11i sest pench sur le problme de la distribution
de la cl PMK, il nexistait aucun attribut RADIUS standard rellement adapt. Ils se
sont donc penchs sur les attributs spcifiques existants et lattribut MS-MPPE-RecvKey est apparu comme la meilleure solution. Bien que cet attribut ait t dfini par
Microsoft et porte ses initiales, il est dcrit dans une RFC et nest donc absolument
pas ferm . On peut donc lutiliser sans tre li le moins du monde Microsoft.
Notons que le WPA impose lusage de cet attribut, alors que le WPA2 ne fournit que
des recommandations, en citant notamment cet attribut.
Bref, la cl PMK est crypte grce un algorithme dfini dans la RFC 2548 et
elle est intgre dans un attribut RADIUS MS-MPPE-Recv-Key pour tre envoye
333
Rsum
Ce dernier chapitre nous a permis daborder en dtail le protocole RADIUS et toutes
les questions de scurit qui se posent lorsquun serveur de ce type doit tre mis en
place.
Larchitecture RADIUS repose sur trois types dacteurs : les utilisateurs, les NAS et
le serveur RADIUS.
Les utilisateurs cherchent se connecter un rseau (ou tout autre service).
Les contrleurs daccs, appels les NAS (ou encore les clients dans le jargon du
protocole RADIUS, ce qui peut prter confusion), ont pour rle de demander aux
utilisateurs de sidentifier et de ne les laisser passer que sils sont authentifis par le
serveur RADIUS et uniquement selon leurs droits daccs. Dans le contexte du WiFi,
les NAS sont les points daccs (AP).
Le serveur RADIUS a pour fonction dauthentifier les utilisateurs en rpondant
aux requtes dauthentification envoyes par les NAS. Lorsquil informe un NAS
quun utilisateur est bien authentifi et peut accder au rseau, le serveur RADIUS
fournit souvent des instructions varies ce NAS, sous la forme dattributs . Ces
instructions peuvent indiquer quil faut dconnecter lutilisateur au bout dun certain
temps, ou encore que cet utilisateur ne doit pas pouvoir accder telle ou telle
partie du rseau. Enfin, le serveur RADIUS a galement pour fonction denregistrer
lhistorique des sessions des utilisateurs. Les trois fonctions dun serveur RADIUS
se rsument donc par les lettres AAA : Authentification, Autorisation et Accounting
(comptabilisation).
Les mthodes dauthentification possibles sont trs varies : PAP, CHAP, MS-CHAP,
MS-CHAP-v2 ou encore toutes les mthodes EAP. Un serveur RADIUS peut tre
reli divers systmes externes dauthentification, tels que des serveurs LDAP, des
contrleurs de domaine de Windows NT ou encore dautres serveurs RADIUS.
Le protocole RADIUS lui-mme est assez simple et surtout trs souple, car chaque
paquet peut contenir une liste dattributs varis. De nouveaux attributs peuvent tre
dfinis et vhiculs, sans difficult : il suffit de les rajouter dans le dictionnaire du
serveur RADIUS, qui contient la liste des attributs possibles, leur nom, leur numro
et leur format.
La scurit offerte par le protocole RADIUS nest pas exceptionnelle : un long
mot de passe (le secret ) doit tre install dans chaque NAS et tre connu du
serveur uniquement. Toute la scurit du protocole RADIUS repose sur ce secret.
334
11
Les obligations lgales
Objectif
Ce chapitre a pour but de prsenter les principales obligations lgales que vous devrez
respecter si vous dployez une installation WiFi. Ces obligations sont de natures trs
diffrentes, avec des objectifs bien distincts et parfois contradictoires :
protger la vie prive des utilisateurs du rseau ;
lutter contre la cybercriminalit ;
permettre la cohabitation de services sans fil voisins ;
garantir la scurit sanitaire des personnes passant dans le primtre de rayonnement des antennes.
Les deux premiers points sont importants mais ils ne sont pas spcifiques au WiFi,
donc nous nous contenterons dun bref rappel. En revanche, nous approfondirons
davantage les deux derniers points, et surtout la question de la sant, car elle fait
actuellement dbat et suscite de vives inquitudes.
336
svres, et en cas de manquement grave votre responsabilit pnale peut mme tre
engage.
Si vous stockez des informations personnelles nominatives dans votre systme
informatique, vous devez au pralable faire une dclaration auprs de la Commission
nationale de linformatique et des liberts (CNIL, www.cnil.fr). Vous devez ensuite
mettre en uvre les moyens ncessaires pour protger ces informations, informer
les utilisateurs du fait que vous allez enregistrer leurs informations personnelles, leur
permettre de consulter ces informations et les corriger le cas chant (en cas de
changement dadresse, par exemple), et ne pas transmettre ces informations des tiers
sans le consentement des utilisateurs.
Vous avez galement lobligation de supprimer les informations nominatives de
votre systme lorsquune personne nutilise plus votre service : vous pouvez supprimer
les donnes ou simplement les rendre anonymes (vous pouvez ainsi conserver des
informations non nominatives, des fins statistiques, comptables ou fiscales par
exemple).
La CNIL exige que le contenu des communications soit tenu parfaitement secret.
Par exemple, un employeur na pas le droit de lire les emails dun employ si le titre de
lemail indique quil sagit dune communication prive (mais il peut bien sr interdire
lutilisation du systme de messagerie des fins prives).
Pour plus de dtails, nous vous invitons vivement consulter le site web de la
CNIL,www.cnil.fr.
Les dlits les plus graves ne reprsentent quun faible pourcentage des actes
criminels sur Internet, mais ce sont eux qui causent le plus de dgts : ce sont donc ces
dlits graves que visent, en premier lieu, les rcentes lois contre la cybercriminalit
(inversement, les dlits les moins graves reprsentent limmense majorit des dlits
sur Internet, mais ils ne sont presque pas poursuivis).
1. Le phishing consiste mettre en uvre un site web qui ressemble un site web connu afin de
piger des utilisateurs imprudents et leur voler des informations sensibles (numro de carte bancaire,
identifiants...).
337
1. http://www.interieur.gouv.fr/
2. http://www.legifrance.gouv.fr/
338
Canal
Frquence
17
8 13
1. Jusquen avril 2007, les oprateurs de hotspots WiFi taient sous un rgime exprimental, et
navaient pas toutes les obligations des oprateurs de rseaux classiques. Dsormais, il faut obtenir
une licence doprateur de hotspots si vous souhaitez fournir un service de connexion Internet pour
le grand public. Note : les petits oprateurs (moins dun million deuros de chiffre daffaires annuel)
sont exempts des taxes administratives dues par les oprateurs de rseaux.
339
Canal
Frquence
36 48
52 64
100 140
149 161
a. (*) Pour ces frquences, un mcanisme de slection dynamique de frquence (Dynamic Frequency Selection,
DFS) est obligatoire. La lgislation prcise que ce mcanisme doit respecter la norme harmonise EN 301 893 de
lETSI (ou une fonctionnalit quivalente) : Ceci doit permettre de garantir au minimum, pour les autres applications
autorises dans la bande concerne, notamment les systmes de radiolocalisation, un degr de protection identique celui
apport par la norme harmonise. Ces techniques dattnuation galisent la probabilit de slection dun canal spcifique
pour tous les canaux disponibles, afin de garantir, en moyenne, une rpartition quasi-uniforme de la charge du spectre . Les
produits 802.11n mettant sur la bande des 5 GHz mettent en uvre un mcanisme DFS satisfaisant. En ce qui
concerne les produits 802.11a, il faut vrifier quils respectent galement la norme 802.11h.
(**) Pour ces frquences, il faut un mcanisme de contrle automatique de la puissance de lmetteur (Transmitter
Power Control, TPC) permettant datteindre une attnuation dau moins 3 dB. Si un tel mcanisme nest pas mis
en uvre, le PIRE maximal autoris est diminu de 3 dB (par exemple, 500 mW au lieu de 1000 mW, cest--dire
27 dBm au lieu de 30 dBm). L aussi, les produits 802.11n et 802.11a+h mettent en uvre un mcanisme TPC
satisfaisant.
340
Les choses sont moins simples si vous modifiez la configuration par dfaut, car il
faut alors bien faire attention rester dans la lgalit :
Faites attention si vous rglez la puissance de lmetteur sur une valeur plus
leve que celle par dfaut. Par exemple, vous serez vraisemblablement dans
lillgalit si vous rglez la puissance de lmetteur 20 dBm, car on doit rajouter
le gain de lantenne pour calculer le PIRE, et ce dernier risque donc fort de
dpasser 20 dBm ( moins davoir un long cble dantenne ou un attnuateur
dont les pertes compensent le gain de lantenne).
Faites attention galement si vous changez le pays pour lequel le point daccs
est configur : certains pays ont une limite plus leve que la France et vous
risquez donc davoir un PIRE trs excessif (jusqu 30 dBm, cest--dire 10 fois
la limite lgale).
Surtout, faites trs attention si vous remplacez une antenne1 par une autre
antenne ayant un gain plus important : baissez si ncessaire la puissance de
lmetteur pour respecter la limite de PIRE (voir le chapitre 5).
Enfin, nous avons malheureusement pu constater que certains installateurs de
matriels WiFi sont trs peu soucieux de ces limites de PIRE : il nest pas rare
quils installent des antennes directionnelles ou sectorielles gain important
pour amliorer la couverture radio (par exemple en intrieur pour couvrir un
bureau situ au bout dun couloir, ou lextrieur pour installer un pont radio),
mais sans rduire pour autant la puissance dmission des points daccs. Si vous
faites appel un installateur, assurez-vous quil respecte bien les limites lgales
de PIRE.
Bien quon entende parfois parler dun hotspot WiFi ferm car il dpassait le PIRE
lgal, on est oblig de constater que les contrles sont trs rares. Du coup, cest parfois
un peu la course larmement : un voisin met trop fort ? Qu cela ne tienne,
on augmente aussi la puissance de ses quipements ! Il serait pourtant tellement plus
simple et efficace daller discuter avec ce voisin (et de porter plainte sil persiste).
On peut galement parfois tre tent de dborder un peu : 21, 22, 23 dBm,
cela semble si proche de 20 dBm... Pourtant noubliez pas que 23 dBm, ce nest pas
un peu plus que 20 dBm : cest deux fois plus de puissance rayonne. Cest un peu
comme si vous rouliez 260 km/h sur lautoroute ! vitez donc de dpasser le PIRE
lgal, mme dun ou deux dBm.
Le fait de bien respecter ces limites permet dviter les amendes, de partager
respectueusement les ondes avec ses voisins et entre vos propres points daccs... mais
aussi de limiter les risques pour la sant, comme nous allons le voir maintenant.
1. Nous parlons ici des antennes mettrices bien sr : dans de nombreux matriels WiFi, une antenne
est utilise lmission et la rception, lautre tant utilise uniquement en rception. La limite
de PIRE est bien sr une limite lmission, donc vous pouvez changer comme bon vous semble
lantenne de rception, cela ne change pas le PIRE.
341
342
Le dcret n 2002-775
La lgislation franaise, ainsi que la plupart des lgislations en Europe et dans le
monde, repose sur les travaux de la Commission internationale de protection contre
les ondes radio non ionisantes (ICNIRP, www.icnirp.de)1 , dont les rsultats ont t
publis en 1998. LICNIRP est une organisation internationale non gouvernementale
qui vise protger les populations et lenvironnement contre les dangers des missions
1. Cette commission a t mise en place par lAssociation internationale de protection contre les
radiations (IRPA, www.irpa.net) qui regroupe des associations de radioprotection un peu partout
dans le monde, dont par exemple la Socit franaise de radioprotection (SFRP, www.sfrp.asso.fr).
343
PIRE
E = 5,5
d
Comme nous lavons vu au 11.3, le PIRE maximal autoris en France 2,4 GHz
est fix 20 dBm, donc 100 mW, cest--dire 0,1 W. Si lon se place 3 mtres dun
point daccs rgl pleine puissance, le niveau du champ lectrique devrait se situer
aux alentours de :
p
0,1
E = 5,5
0,58 V/m
3
3 mtres dun AP WiFi 2,4 GHz mettant pleine puissance, le champ
lectrique est donc environ 100 fois infrieur la limite lgale de 61 V/m, elle-mme
1. Les rayonnements ionisants (ultraviolets, rayons X, rayons gammas...) sont, quant eux,
particulirement dangereux et font lobjet dune lgislation tout fait distincte.
344
PIREmax
dmin = 5,5
Emax
Pour le WiFi 2,4 GHz, on a PIREmax = 0,1 W et Emax = 61 V/m, donc le calcul
donne dmin 2,8 cm.
Le dcret n 2003-961
On peut surtout sinterroger sur les tlphones WiFi : sils mettent pleine puissance,
la tte de lutilisateur se trouve lintrieur du primtre limite calcul plus haut.
Dailleurs, en admettant que le tlphone WiFi soit plac contre loreille, donc mettons
0,5 cm du crne, alors lintensit du champ lectrique dans lequel baigne la partie
du crne contre laquelle sappuie le tlphone est denviron... 350 V/m 100 mW
(PIREmax 2,4 GHz), et 1 100 V/m 1 W (PIREmax 5 GHz), soit respectivement
5,7 fois et 18 fois plus que la limite fixe par le dcret. Cela reste infrieur au seuil
partir duquel des symptmes thermiques ont pu tre observs (rappelons-le, 50 fois la
limite fixe par le dcret), mais il nempche que le seuil de scurit fix par le dcret
de 2002 est largement dpass.
Toutefois le dcret de 2002 ne sapplique quaux installations lectromagntiques
(les points daccs). Pour les terminaux, tels que les tlphones WiFi, cest le
dcret n 2003-961 du 8 octobre 2003 qui sapplique (galement issu des travaux
de lICNIRP). La puissance mise par un terminal, mettant au maximum dintensit
et dans les pires conditions dutilisation, sera en partie absorbe par le corps humain.
Cette puissance rellement absorbe se mesure en Watt par kilogramme de tissu
(W/kg): cest ce quon appelle le Dbit dabsorption spcifique (DAS). Le dcret de
2003 fixe le DAS maximal 2 W/kg moyenn sur 10 grammes de tissu, au niveau du
tronc et de la tte (on parle de DAS local ). En outre, le terminal ne doit pas exposer
lutilisateur plus de 0,08 W/kg moyenn sur lensemble du corps (cest le DAS
global ). Aujourdhui, la plupart des tlphones portables GSM commercialiss en
345
Europe ont un indice compris entre 0,4 et 1,4 W/kg moyenn sur 10 grammes, et les
tlphones WiFi ont un DAS du mme ordre. Par exemple, liPhone 3G dApple,
lorsquil est configur en mode WiFi, a un DAS (au niveau de la tte) environ gal
0,371 W/kg, alors que lindice atteint 0,878 W/kg en mode 3G, et 0,780 W/kg en
GSM 1 800 MHz, mais seulement 0,235 W/kg en mode GSM 900 MHz.
Les tlphones WiFi respectent donc bien le dcret de 2003. Nanmoins, par
prcaution, on peut conseiller de limiter lutilisation des tlphones portables (WiFi,
DECT ou GSM) par les jeunes enfants, dutiliser des oreillettes et dviter de
tlphoner pendant trop longtemps.
On fait souvent remarquer quun tlphone WiFi rayonne gnralement une
puissance de 100 mW tandis quun tlphone portable GSM met jusqu 2 W, soit
20 fois plus. On ne peut toutefois pas comparer aussi simplement les tlphones GSM
et les tlphones WiFi : en effet, contrairement aux tlphones mobiles GSM, les
quipements WiFi nont gnralement pas de systme dadaptation dynamique de
la puissance. Avec un tlphone mobile GSM, la puissance dmission est rduite
lorsque le niveau de rception du signal de lantenne relais est bon, et inversement,
il augmente lorsque les conditions de rception sont mauvaises : cest pourquoi lon
dconseille souvent de tlphoner dans un ascenseur, dans un train, ou en dplacement.
Au contraire, la plupart des tlphones WiFi mettront toujours la puissance
maximale dont ils sont capables (jusqu 0,1 W 2,4 GHz, et thoriquement jusqu
1 W 5 GHz). En outre, le GSM utilise une frquence plus faible que le WiFi (0,9 GHz
ou 1,8 GHz), donc transporte moins dnergie (ils ont un DAS du mme ordre, comme
nous lavons vu).
346
Ces effets pourraient eux-mmes dclencher une liste impressionnante de pathologies : cancers, syndromes cardiaques, diverses pathologies crbrales et psychiques
(insomnies, anorexie, stress, dpression...), dficit immunitaire, infertilit, et mme
des pathologies dermatologiques (rougeurs, irruptions cutanes...), des allergies... et la
liste continue encore.
Llectro-sensibilit
Certaines personnes (on parle de 3 % de la population), seraient mme lectrosensibles , cest--dire particulirement sensibles aux ondes lectromagntiques : elles
souffrent de maux de tte, elles ont des sensations de brlures, des irruptions cutanes,
etc. Leur souffrance nest pas au conditionnel : elle est bien relle et cette maladie
a dailleurs t officiellement reconnue dans plusieurs pays. Mais le lien de cause
effet nest pas (encore ?) tabli. Du point de vue de ces personnes lectro-sensibles, le
lien entre les ondes et leur souffrance est pourtant vident : elles disent par exemple
ressentir immdiatement la prsence dun point daccs WiFi en rentrant dans une
pice, et elles se sentent immdiatement soulages lorsque lon teint ce point daccs.
Toutefois, une tude en double-aveugle mene par lOMS na pas permis de dmontrer
de corrlation entre la prsence dondes et les symptmes : on observait parfois des
symptmes en labsence de champ lectromagntique, et vice versa. La conclusion de
ltude est que ces symptmes ont vraisemblablement dautres origines que les ondes
(pas forcment psychosomatiques dailleurs, contrairement ce que certains disent) :
cela pourrait tre d une mauvaise luminosit dans le lieu de travail, des crans
dordinateurs mal rgls, une mauvaise aration ou climatisation, un environnement
de travail stressant, etc. Mais l encore, il ny a pas de consensus scientifique.
1. Le dossier scientifique disponible sur le site web de cette association est trs complet et nous vous
invitons le consulter pour plus de dtails. Attention : les tudes prsentes sont bien sr presque
exclusivement des tudes qui concluent quil existe un risque. Pour ne pas vous limiter un seul
point de vue, consultez galement le site web de lANF ou de lOMS, par exemple.
347
La difficult de la preuve
Au premier abord, la question semble plutt simple trancher : existe-t-il, oui ou
non, des effets nocifs non thermiques ? Pourtant, force est de constater quaprs des
annes dtude, lincertitude demeure. Pour ceux qui voudraient dmontrer labsence
de risque, la difficult est fondamentale. En effet, ils ne pourront jamais conclure autre
chose que ceci : sur tous les cas que nous avons tudis, nous navons pas observ de
pathologie due aux ondes . On pourra donc toujours leur rpondre : cest que vous
navez pas tudi assez de cas, ou pendant pas assez longtemps car les effets peuvent survenir
aprs plusieurs annes . Dmontrer labsence de risque est impossible : tout au plus on
peut augmenter, tude aprs tude, le degr de confiance. Exiger la preuve absolue de
labsence de risque est donc absurde.
Mais linverse, dmontrer lexistence dun risque nest pas forcment ais non plus.
Souvenons-nous quil a fallu des dcennies pour pouvoir dmontrer que la cigarette
provoquait bien des cancers ! Il ne suffit pas de trouver une personne malade, encore
faut-il parvenir dmontrer que sa maladie provient bien des ondes. Et pour pouvoir
quantifier le risque, un seul malade ne suffit pas : il en faut beaucoup. Cest prcisment
lintrt des tudes pidmiologiques : elles concernent des populations entires. La
plus grande tude pidmiologique mene jusqu prsent au sujet des effets des ondes
sappelle Interphone. Il sagit dune tude mene lchelle europenne : des milliers
de personnes ont rempli des questionnaires, en indiquant notamment leur frquence
dutilisation du tlphone portable, ainsi que des informations sur leur tat de sant.
Des rsultats intermdiaires ont t publis dans certains pays, et ils faisaient apparatre
un taux de cancer du cerveau beaucoup plus important chez les gros utilisateurs de
tlphones portables. Les journalistes se sont videmment empars du scoop. Mais cest
oublier que ces rsultats sont bruts et purement dclaratifs : or, une personne atteinte
dun cancer du cerveau a semble-t-il tendance attribuer sa maladie au tlphone
portable, et en consquence se dclarer gros utilisateur , alors quelle ne lest
pas forcment plus que les autres. Cest pourquoi ltude Interphone prvoit dans un
deuxime temps que les factures tlphoniques dun chantillon de personnes soient
pluches afin de pouvoir calibrer les rponses subjectives. Cela donne une ide
de la difficult quil y a mener une tude pidmiologique dont les rsultats soient
incontestables (et le danger de divulguer des rsultats bruts et partiels). Quoi quil en
soit les rsultats de ltude Interphone sont attendus pour septembre 2009.
348
Le principe de prcaution
Ceux qui rclament lapplication du principe de prcaution demandent au minimum
labaissement du seuil de 61 V/m dfini par la loi. Certains pays ont dores et dj
appliqu ce principe de prcaution, au moins dans une certaine mesure. Par exemple, la
Suisse fixe le seuil 3 V/m (soit 20 fois moins) dans les lieux sensibles , cest--dire
frquents rgulirement (le seuil reste toutefois gal 61 V/m pour les endroits peu
frquents). Certains rclament un seuil encore plus faible, 0,6 V/m, soit un seuil
100 fois moins lev quactuellement. Ce seuil de 0,6 V/m est en effet prconis par
certaines tudes.
Dans le cas du WiFi, si lon met 100 mW, cela signifie quil faut installer les
points daccs plus de 3 mtres des utilisateurs. Ce nest pas impossible, mais cela
complique videmment le dploiement. Lautre solution consiste rduire la puissance
des points daccs. Par exemple, en rduisant la puissance 10 dBm (au lieu de
20 dBm), cest--dire 10 mW (au lieu de 100 mW), il suffit de garantir un primtre
de scurit dun mtre environ autour de chaque point daccs. En mettant moins
fort, on a une couverture moindre, et donc pour viter les trous de couverture, on est
oblig dinstaller plus de point daccs, plus rapprochs les uns des autres. Cela peut
paratre paradoxal : pour un environnement radio plus sr, il faut des points daccs
moins puissants... mais du coup plus nombreux.
349
que le WiFi ne devrait susciter aucune inquitude (mais propose tout de mme
quelques mesures de prcaution, titre prventif).
350
1. Il est dailleurs frappant de constater que, dans la version franaise de la Wikipedia, larticle sur le
WiFi parle longuement de la sant, alors que dans la version anglaise, le sujet nest mme pas abord.
351
vision des choses. En retour, cette mdiatisation importante stimule lintrt et les
passions autour de ce sujet : cest donc un cercle vicieux ou vertueux, une paranoa
collective ou prise de conscience salvatrice ... selon votre vision des choses.
On laura compris, le dbat va bien plus loin que la question stricte des ondes
lectromagntiques : il est question de mode de vie, de vision de la socit, de politique.
Il nest pas rare de lire des arguments du type la voiture pollue et fait des milliers de
morts par an, et pourtant elle nest pas interdite, pourquoi interdirait-on le WiFi ? Allons de
lavant ! , ou inversement nous devons rejeter le WiFi, mme sil nest pas dangereux
pour la sant, car il contribue nous isoler les uns des autres, il encourage notre glissement
vers une socit ultra-technologique, totalement dshumanise .
Glossaire
1G
La tlphonie mobile de 1re gnration est analogique. Elle nest pas conue
pour lchange de donnes.
2G
2,5G
Des technologies telles que le GPRS ou lEDGE ont t conues pour permettre
la navigation sur Internet ou encore lchange de contenu multimdia en
reposant sur les rseaux de la 2G. On appelle ceci la tlphonie de gnration
deux et demi .
3G
802.1D
802.1Q
802.1x
802.2
802.3
802.3af
802.11
Norme conue par lIEEE en 1997 pour les rseaux locaux sans fil et constamment amliore depuis. Elle dfinit trois couches physiques (infrarouge, FHSS
et DSSS sur les frquences de 2,4 GHz) et une couche MAC offrant de
nombreuses fonctionnalits : partage du mdia, fragmentation, conomie
dnergie, scurit...
802.11a
WiFi Professionnel
354
802.11b
802.11c
802.11d
802.11e
802.11F
Dfinit lIAPP.
802.11g
802.11h
802.11i
802.11j
802.11k
802.11legacy
802.11m
802.11n
802.11s
802.15
802.16
A
AAA
Un serveur AAA (Autorisation, Authentification, Accounting) gre lauthentification des utilisateurs, leurs autorisations et la comptabilisation de leurs
connexions. Voir aussi RADIUS.
Ad Hoc
AES
Advanced Encryption Standard. Algorithme de cryptage symtrique extrmement rapide et sr. La norme de scurit WPA2 repose sur le TKIP ou
lAES.
Glossaire
355
AFSSET
AM
ANF
AP
Access Point (point daccs). Borne WiFi composant lossature dun rseau
sans fil. En mode Infrastructure, tout utilisateur doit passer par un AP pour
accder au rseau sans fil : tout son trafic est alors relay par lAP auquel il
est associ .
ARCEP
ART
ASK
ATIM
Annonce TIM. Dans un rseau Ad Hoc, message envoy par une station
une autre station en mode dconomie dnergie, pour la prvenir quelle
souhaite lui envoyer un paquet et quelle ne doit donc pas se mettre en
sommeil.
B
BER
Bit Error Rate. Proportion de bits mal transmis. Voir aussi FER.
BLR
Broadcast
BSS
BSSID
Identifiant dun BSS. Il sagit dun nombre de 48 bits, gal ladresse MAC
de lAP en mode Infrastructure, ou alatoire en mode Ad Hoc.
C
CAM
CBC
CCK
WiFi Professionnel
356
CCM
CCMP
Cellule
Zone couverte par le signal dun point daccs WiFi. Voir aussi BSS.
CFP
Contention Free Period. Priode de partage dun mdia sans risque de collision.
Les modes PCF et EPCF dfinissent une priode CFP entre chaque balise.
Chipping
CM
CNCIS
CNIL
COFDM
Collision
CPL
CRC
Code de redondance cyclique. Code dintgrit assez simple. Voir aussi MIC.
CSMA
Carrier Sense Multiple Access. Stratgie de partage dun mdia trs simple :
chaque station vrifie que le mdia soit libre pendant une dure minimale
plus un temps alatoire avant dmettre un paquet. Ceci permet de limiter
les collisions.
CSMA/CA
CSMA/CD
CTS
CW
Glossaire
357
D
DAS
DCF
DFS
DoS
DPSK
DS
Distribution System. Il sagit du lien entre les AP dun rseau WiFi de type
Infrastructure. Gnralement le DS est le rseau filaire auquel sont relis les
AP, mais il peut galement sagir dun lien sans fil. Voir aussi WDS.
DSSS
DTIM
Delivery TIM. Envoy par lAP dans certaines balises (gnralement une sur
trois), le DTIM indique aux stations la priode pendant laquelle lAP leur
transmettra le traffic broadcast et multicast. Cela permet aux stations en
mode dconomie dnergie de ne pas se mettre en sommeil pendant ces
transmissions.
E
EAP
EAPoL
EAP over LAN. Protocole dfini par lIEEE pour le 802.1x. Il permet lchange
de paquets EAP sur un rseau local (LAN).
ECB
Electronic Code Book. Mode dutilisation trs simple dun algorithme de cryptage par bloc : le message est dcoup en blocs, crypts indpendamment.
EDCA
EDCF
WiFi Professionnel
358
EPCF
ESS
ESSID
Identifiant dun ESS, souvent not simplement SSID . Il sagit dun nom
compos au maximum de 32 caractres.
ETSI
F
FER
Frame Error Rate. Proportion de trames mal transmises. Voir aussi BER.
FH
FHSS
Firmware
FM
Fragmentation
FSK
Full-Duplex
G
GFSK
Gaussian FSK. Le signal source numrique est dabord pass dans un filtre
Gaussien : les transitions dtat sont adoucies . Le rsultat est modul en
FSK.
GMK
GPRS
GSM
Glossaire
GTK
359
H
Hachage
Half-Duplex
Hand-over
HCCA
HCF
Hotspot
Zone daccs lInternet par le WiFi, payant ou non. Voir aussi WISP.
HR-DSSS
I
IAPP
IBSS
ICI
Inter Channel (ou Carrier) Interference. Interfrence entre signaux situs sur
des frquences proches.
ICNIRP
ICV
IEEE
IETF
IGC
Infrastructure gestion de cl. Une IGC est une organisation et des moyens
techniques permettant la cration, la distribution et la maintenance de cls
cryptographiques, utiles pour divers services de scurit. Voir aussi PKI.
Infrastructure
WiFi Professionnel
360
IrDA
ISI
ISO
ITU
L
LAN
LDAP
LEAP
LLC
Logical Link Control. Couche rseau dfinie par lIEEE (802.2), au-dessus de la
couche MAC. Elle sert dinterface unique entre les couches 2 et 3 du modle
OSI.
LoS
Line of Sight. En condition LoS, aucun obstacle naffecte le signal. Voir aussi
NLoS.
LS
Ligne spcialise. Une LS est une liaison filaire (en gnral en fibre optique)
reliant deux points, trs haut dbit.
M
MAC
Media Access Control. Couche rseau dfinie par lIEEE en bas de la deuxime
couche du modle OSI. Elle gre notamment le partage du mdia entre
plusieurs stations et varie selon la technologie utilise (WiFi, Ethernet...).
MAC
MAN
MD5
MIC
Michael
MiM
Man in the Middle (galement not MitM). Une attaque MiM consiste pour
un pirate sinterposer entre deux stations du rseau, leur insu, de faon
espionner leurs changes, voire les modifier.
Glossaire
361
MIMO
MPDU
MSDU
MTU
Multicast
Multipath
N
NAS
NLoS
O
OFDM
Orthogonal Frequency Division Multiplexing. Modulation radio utilise notamment par le 802.11a et le 802.11g. Elle consiste diviser un canal radio en
de multiples canaux et utiliser tous ces canaux simultanment.
OIT
OMS
OSI
Open Systems Interconnection. Conu par lISO, le modle OSI dfinit comment les protocoles rseaux doivent tre organiss en couches superposes.
Bien quil ne soit pas utilis tel quel, le modle OSI reste un modle de
rfrence.
P
PAC
PAN
Personal Area Network. Rseau de trs petite taille, centr autour dune
personne. Par exemple, un PDA et un ordinateur interconnects forment un
PAN.
WiFi Professionnel
362
PBCC
PCF
PEAP
PIRE
PKI
PLCP
PM
PMK
PoE
POS
PSK
PSK
PSM
Power Save Polling Mode (ou PSPM). Mode dconomie dnergie (voir aussi
CAM).
PTK
Q
QAM
QoS
Quality of Service. Pour grer la qualit de service en WiFi (par exemple, pour
donner une priorit plus importante au trafic multimdia), il est ncessaire
dutiliser le PCF, ou le 802.11e (lEDCF ou lEPCF).
QPSK
Quadrature PSK (galement not 4PSK). PSK avec des symboles de 2 bits.
Glossaire
363
R
RADIUS
RC4
Rivest Cipher 4 (ou Rons Code 4). Algorithme de cryptage par flux : il produit
un flux de bits pseudo alatoires, partir dune cl. Ces bits sont combins
aux bits dun message, avec lopration XOR. Le WEP et le TKIP reposent sur
RC4.
RLAN
Radio LAN. Rseau local reposant sur une technologie radio (ex. WiFi).
Roaming
RSB
RSN
Robust Security Network. Rseau WiFi scuris par le 802.11i. Voir TSN.
RTS/CTS
S
Sniffer
Enregistrer les paquets changs entre des stations WiFi dans le but de
superviser (ou de pirater) le rseau.
SNR
SSID
SSL
Station
STP
Symbole
WiFi Professionnel
364
T
TC
Traffic Class. Le trafic rseau peut tre associ diffrentes classes, en fonction
de sa nature (e-mail, navigation web...), de sa provenance, sa destination, ou de
tout autre paramtre. Ces classes de trafic peuvent tre traites diffremment
selon la politique de QoS mise en place. Voir 802.11e.
TIM
TKIP
Temporal Key Integrity Protocol. Protocole de scurit WiFi reposant sur RC4
et conu pour rsoudre tous les problmes du WEP sans avoir changer de
matriel. Le WPA repose sur TKIP. Le WPA2 repose sur TKIP ou CCMP.
TLS
TPC
TSN
TTLS
TXOP
U
Unicast
UWB
Ultra Wideband. Modulation radio consistant mettre sur une trs large
bande de frquences. courte distance, il est possible datteindre des dbits
trs levs.
V
VFIR
Very Fast Infrared. Technologie WLAN sur infrarouges, dfinie par lIrDA.
VLAN
Virtual LAN. Plusieurs rseaux virtuels peuvent tre mis en uvre sur une
mme infrastructure matrielle : chaque paquet contient alors un nombre
(le VLAN ID) indiquant le VLAN auquel il appartient. Les VLAN sont mis en
uvre par des commutateurs et des AP compatibles avec la norme 802.1Q.
VoIP
Glossaire
VoWIP
365
Voice over Wireless IP. VoIP par le biais dun rseau sans fil.
W
WAN
WarDriving
WDS
Wireless Distribution System. Connexion sans fil entre AP. Voir aussi DS.
WECA
WEP
WiFi
WiFi Alliance
WiMAX
WISP
Wireless ISP. FAI dont les clients peuvent se connecter des hotspots.
WLAN
Wireless LAN. Rseau local sans fil (WiFi, VFIR...). Voir RLAN.
W-Link
WMAN
WME
WMM
WMMScheduled
Access
WPA
WPA-Personal
Certification pour les produits WPA que lon peut configurer avec une cl
secrte (PSK), partage par tous les quipements du rseau, sans serveur
dauthentification. On parle galement de WPA/PSK.
WPA-Enterprise
WiFi Professionnel
366
WPA2
WPAN
WWAN
X-Z
XOR
ZigBee
Webographie
Retrouvez ces rfrences, ainsi que les annexes, des commentaires, des informations
et dventuelles corrections sur le site web du livre : www.livrewifi.com.
Portails et tutoriels
WiFi Planet http://www.wi-fiplanet.com/
WiFi Networking News http://wifinetnews.com/
Comment a marche ? http://www.commentcamarche.net/wifi/
Wireless DevCenter http://www.oreillynet.com/wireless/
Wikipedia http://fr.wikipedia.org/wiki/802.11
Adminet http://www.admi.net/cgi-bin/wiki?WiFi
Fd. Internet Nouv. Gn. http://www.fing.org/
Produits
WiFi Alliance http://www.wi-fi.org/
WiFi Planet http://products.wi-fiplanet.com/
FWT http://www.fwt.fr/
Equip. Scient. http://www.es-france.com/
Surcouf http://www.surcouf.com/
WiFi Professionnel
368
Organismes
ANF http://www.anfr.fr/
ARCEP http://www.arcep.fr/
CNIL http://www.cnil.fr/
DiGITIP http://www.telecom.gouv.fr/
ETSI http://www.etsi.org/
IEEE http://www.ieee.org/
IETF http://www.ietf.org/
ISO http://www.iso.org/
W-link http://www.w-link.fr/
WiFi Alliance http://www.wi-fi.org/
Associations
France Wireless http://www.wireless-fr.org/
FreeNetworks.org http://www.freenetworks.org/
Nantes Wireless http://www.nantes-wireless.org/
Personal Telco http://www.personaltelco.net/
WISP
Boingo http://www.boingo.com/
Bouygues Tlcom http://www.bouyguestelecom.fr/
iPass http://www.ipass.com/
Orange http://www.orange-wifi.com/
SFR http://wifi.sfr.fr/
Wifirst http://www.wifirst.net/
Logiciels
AirMagnet http://www.airmagnet.com/ Analyse & supervision WiFi
Air Traf http://www.elixar.com/ Analyse & supervision WiFi
AP Grapher http://www.chimoosoft.com/ Analyseur WiFi simple
AP Radar http://apradar.sourceforge.net/ Client WiFi pour Linux
Webographie
369
WiFi Professionnel
370
Drafts1 http://www.ietf.org/internet-drafts/
EAP/MS-CHAP-v2 draft-ietf-pppext-mschap-v2
EAP/PEAP draft-josefsson-pppext-eap-tls-eap
EAP/TTLS draft-funk-eap-ttls
Index
Symboles
16QAM 42
2DPSK 46
2GFSK 45
2PSK 44
4PSK 41
64QAM 42
802.11 14
802.11 DSSS 44, 46, 56
802.11 FHSS 44, 55
802.11a 5, 13, 30, 44, 48, 57, 68, 162,
164, 168, 171, 178
802.11b 5, 6, 13, 30, 44, 47, 56, 161, 164,
168, 176
802.11c 67
802.11d 67
802.11 DSSS 30
802.11e 67, 77, 80, 81, 98
802.11F 67
802.11 FHSS 30
802.11g 5, 13, 30, 44, 48, 49, 56, 161,
164, 168, 171, 176
802.11h 68, 339
802.11i 68, 91, 218, 271, 297, 301, 332
802.11j 68
802.11k 68
802.11legacy 29, 66
802.11n 13, 31, 61, 104
802.11s 84
802.15 14
802.16 14
802.1D 120
802.1Q 123, 199
802.1x 131, 218, 241, 246, 249, 251, 266,
272, 274, 277, 297, 298, 315,
320
802.2 66
802.3 11, 14, 69
802.3af 147
802.5 14
8QAM 42
A
A-MPDU 104
A-MSDU 104
AAA 314
absorption 163
Access-Accept 317, 323
Access-Challenge 317, 323
Access-Reject 317, 323
Access-Request 317, 323, 325
Accounting 314
Accounting-Request 317, 324, 325
Accounting-Response 318, 324
Acct-Input-Octets 313
Acct-Input-Packets 313
Acct-Output-Octets 313
Acct-Output-Packets 313
WiFi Professionnel
372
attaque
ARP 210, 331
chop-chop 294
de dictionnaire 204, 254, 255, 259,
263, 273, 326
de relecture 205, 265, 287, 291, 297,
324, 325
FMS 236
MiM 87, 209, 266
attnuateur 149
attnuation 167
attribut 311, 318, 332
audit de site 183
authenticator 318, 323
authentification 86, 241, 243, 261, 274,
276, 277, 307, 317
ouverte 87
WEP 87, 231, 237
autorisation 311, 317
autorit de certification 261
Autorit de rgulation des
tlcommunications (ART) 5
AVP 259
B
back-off 72
balise 68, 76, 85, 89, 93, 96, 101, 122
bande passante 144
Barker 47
BAS 314
baud 41
beacon 85
beamforming 51
BER 92
bilan radio 153
block-ACK 105
Bluetooth 15, 25, 44, 47, 95, 161
bridge 114, 117
broadcast 70, 74, 85, 93, 96, 100, 116,
124, 225, 277, 280, 284, 285,
290, 296
bruit 35, 161
Index
373
BSA 82
BSS 82
BSSID 82, 94, 122
C
cble 147, 154
Called-Station-Id 312
Calling-Station-Id 312
CAM 96
canal 83, 95, 118
canaux 55, 176
capacit 37, 57, 179, 189
carte jeton 254
cartographie 185
CBC 298
CBC-MAC 301
CCM 301
CCMP 298, 301, 302
clrit 32
cellule 82, 94
Centrino 110
certificat 261, 268, 269, 321
lectronique 255
CF- 76
CF-ACK 76
CF-End 76
CF-Poll 76
challenge 86
CHAP 243, 245, 253, 259, 309, 324
chipping 45
chips 45
CID 196
classe de trafic 77
cl
asymtrique 227
faible 236, 287, 288, 290
individuelle 224, 226
matresse 279, 284, 331
partage 224, 226, 272
RC4 227, 230, 233, 236, 287, 288,
290
temporaire 277, 279, 285, 290
WiFi Professionnel
374
CSMA 71
CSMA/CA 73
CSMA/CD 72
CTS 73, 93
cybercriminalit 337
driver 112
DSSS 13, 30, 44, 45, 48, 59
DTIM 97
Index
375
F
facturation 314
FAI 243, 245, 314, 328
Faisceaux hertziens (FH) 21, 26
famine 79
fentre de collision 71, 72, 78
FER 92
FHSS 13, 30, 44, 59, 161
filtre 149
gaussien 42
firmware 69, 81, 111, 218
four-way handshake 282, 285
fragment 99
fragmentation 92, 292, 322
frquence 32, 39, 164, 168
Frequency Modulation (FM) 39
Frequency-Shift Keying (FSK) 41
Fresnel 166, 171
FSK 40
G
gain 142
GFSK 42, 45
GMK 279, 285
GPRS 25
Grenelle des ondes 349
GSM 255
GSS 262
GTK 277, 279, 284, 285, 290, 303
H
H.323 141
Half-Duplex 74
hand-over 68, 82, 114, 190, 262
I
IAPP 67
IBSS 83
ICNIRP 342
ICV 230, 232, 235, 238, 287, 289, 292
identification 206
Idle-Timeout 311
IEEE 14, 66, 69, 85, 91, 120, 123, 271
IETF 242, 307
IGC 256
et PKI 199
IGMP 117
infrarouge 6, 24, 30, 43
Infrastructure 12, 74, 81, 85, 86, 94, 114,
222, 225, 272, 274, 280, 286
infrastructure maille 120
ingnierie sociale 197
injecteur 147
Institute of Electrical and Electronics
Engineers (IEEE) 6
intgrit 196
intensit 32
intensit de champ lectrique 343
Inter-Carrier Interference (ICI) 43
Inter-Carrier Interference (ICI) 48
Inter-Symbol Interference (ISI) 35
WiFi Professionnel
376
K
Kerberos 199, 262, 309
L
laser 21
latence 9, 22, 80
LDAP 128
LEAP 218, 266
LED 24
lgislation 16, 20, 34, 55, 67, 158, 200,
202
Line of Sight (LOS) 36
LLC 65, 103, 235
Local Area Networks (LAN) 11
localisation 139
longueur donde 32
LOS 171
Lost Carrier 313
LTE 26
M
MAC 65
marge 157
Masquerading 118
matriau 164
MD5 243, 253, 263
mdia 8, 10
Media Access Control (MAC) 30
mesh network 84
Message-Authenticator 326
Metropolitan Area Network (MAN) 11
MIC 292, 303
Michael 287, 291
MiM 209, 237
MIMO 361
MIMO 13, 50
MISO 49
mode
DCF 73
de cryptage 299
mixte 289, 296, 298
modle OSI 10, 65
modlisation 165
modulation 38
CCK 47
damplitude 39
dimpulsions 43
de frquence 39
de phase 40
diffrentielle 41
DSSS 45
FHSS 44
numrique 40
OFDM 47
monitor 113, 137, 203, 233
MPDU 59, 60, 93, 99, 103, 292, 303
MPPE 332
MS-CHAP 244, 245, 253, 259, 309
MS-CHAP-v1 244
MS-CHAP-v2 245, 253, 259, 309
MS-MPPE-Recv-Key 332
MSDU 93, 99, 103, 292, 302
multi-SSID 122
multicast 70, 74, 93, 96, 100, 116, 120,
225, 277, 280, 285, 289, 296
Index
377
N
NAS 129, 131, 308
NAS-Identifier 312
NAT 327
Near-LOS (NLOS) 36
Netstumbler 184
Non Line of Sight (NLOS) 168
non-rpudiation 196, 256
nonce 230, 282
O
OFDM 13, 30, 44, 47, 60, 171
OIT 343
OMS 343, 348
ondes pulses 347
onduleur 148
One Laptop Per Child (OLPC) 84
Open Authentication 86
Open Systems Interconnection (OSI) 10
Open80211s 85
opration XOR 227
OPIE 253
organiseurs 13
OSI 65, 116
OTP 253
P
PAC 261
Packet Number (PN) 302
padding 301
PAP 243, 245, 253, 259, 260, 309, 324
paquets de sondage 89
paraboles 146
pare-feu 329
passerelle 125, 327, 329
patch 145
WiFi Professionnel
378
protocole 8
AODV 84
EAP 241
HWMP 84
OLSR 84
proxy 310
PS-Poll 96
PSK 40, 272, 279, 284, 298
PSM 96
PTK 277, 279, 284, 290, 303
puissance 32
S
Q
QoS 22, 67, 77, 80, 97, 133, 214
Quadrature Amplitude Modulation
(QAM) 41
Quadrature PSK (QPSK) 41
qualit de service 77
Quality of ServiceVoir QoS 22
R
Radio LAN (RLAN) 12
RADIUS 91, 129, 218, 248, 249, 252,
260, 274, 277, 298, 307
Rapport signal/bruit (RSB) 35
rayonnement non ionisant 343
RC4 111, 227, 236, 272, 299, 324
realm 310
rassociation 88
rcepteur 49
redondance 48
rflexion 163
rglementation 4, 142
relecture 205
rptiteur 69, 117, 163
requtes de sondage 85
rseau 8
maill 82, 84
RFC 242, 253, 262, 319, 332
Rijndael 297
roaming 17, 128, 310
S/Key 253
sant 5
satellite 20, 68
secret RADIUS 322, 324, 326, 329, 332
SecurID 254
scurit 195
sensibilit 34, 154
sparateur 148
serveur
dauthentification 245, 248, 250,
307, 320
proxy 310
RADIUS 247
Session-Timeout 311
SIFS 73, 78, 79
SIM 255
SIMO 49
simulateur 182
simulation 187
SIP 140
SISO 49
Skype 141, 181
SNAT 327
sniffer 70, 87, 89, 113, 137, 203, 213,
233, 236
socket 315, 329
sonde 138
sous-porteuses 48
Space Time Coding (STC) 55
Space Time Block Coding (STBC) 55
Index
379
spectre lectromagntique 7
spoofer 213
spoofing 90, 206, 208, 265
Spread Spectrum 38
SSID 82, 83, 85, 88, 89, 111, 112, 122,
132, 176, 213, 237
SSL 227, 255
Start Frame Delimiter (SFD) 59
STP 120
supervision 212
symboles 35, 41
synchronisation 59, 85
systme de distribution 82, 89, 93, 114,
117, 284
T
Tablet PC 21
TACACS 314
TACACS+ 314
tag 123
TCP 315
Technologies de linformation et de la
communication (TIC) 8
tlphonie 140
temps de latence 9, 76
TIM 96
TKIP 218, 272, 280, 287, 297
TLS 255, 257, 259, 261, 265, 275, 321
TLV 260, 319
topologie 8, 119
TPC 68, 339
Traffic Class (TC) 77
trames 59
transparence
proxy 131
SMTP 129, 312
TSC 291
TSN 272
TTLS 259, 260, 264, 267, 269, 276
tunnel 255, 257, 259, 261, 264, 265, 267,
275, 280, 283, 284, 329
TXOP 78, 79, 81
U
UDP 315, 329
UMTS 25, 255
unicast 70, 74, 100, 225, 289
User Datagram Protocol (UDP) 315
User Request 313
User-Name 312
UWB 26
V
vecteur dinitialisation Voir IV
Vendor-Specific 311, 319, 332
VFIR 24
vidoconfrence 141, 181
Virtual Private Network (VPN) 19
VLAN 123, 199, 213, 249, 312, 331
VoIP 22, 140, 181, 283
voix sur IP 22, 262, 283
VoWIP 22
VPN 216, 329
W
W-Link 17
wardriving 201
WDS 93, 119
weak keys 236
WEP 86, 90, 221, 272, 284, 287, 296
white-list 126
Wide Area Networks (WAN) 11
WiFi Alliance 7, 68, 77, 79, 88, 91, 218,
238, 272
WiMAX 26
Wireless Ethernet Compatibility Alliance
(WECA) 7
Wireless LAN (WLAN) 12
Wireless Link (W-Link) 17
WISP 17, 124, 126
WLAN 12
WMAN 13, 18
WMM 79, 181
WMM-PS 98
WiFi Professionnel
380
X
XOR 228, 288, 324
Z
Zro Config 112, 222
ZigBee 26, 95
zones de Fresnel 171
InfoPro
type douvrage
lessentiel
se former
retours
dexprience
Aurlien Gron
Prface de Marc Taieb
WiFi Professionnel
La norme 802.11,
le dploiement, la scurit
Lobjectif de ce livre est de vous aider btir un rseau sans fil
professionnel et scuris :
La premire partie vous permettra de comprendre le WiFi et
les rouages de la norme 802.11 : des modulations radio (DSSS,
OFDM, MIMO) la gestion de la QoS (802.11e, WMM). Elle
dresse un panorama des technologies alternatives, du futur du
WiFi et des perspectives ouvertes par la voix sur IP sans fil.
La deuxime partie vous permettra de concevoir et dployer
un rseau WiFi de qualit professionnelle. Vous saurez choisir
le matriel adquat, raliser une cartographie radio, grer les
obstacles et les interfrences, et superviser votre rseau.
La troisime partie vous donnera toutes les armes pour scuriser
au mieux votre rseau sans fil. Vous connatrez les attaques
possibles, les bonnes pratiques et les technologies pour vous
protger : WEP, VPN, 802.1x, WPA et WPA2. Vous dcouvrirez
galement les serveurs dauthentification RADIUS qui sont au
cur des rseaux WiFi dentreprise.
Cette troisime dition comporte un grand nombre de mises
jour notamment sur la rglementation et la sant, les volutions
des normes (802.11e, 802.11n, 802.11s), les commutateurs
intelligents qui gagnent du terrain, et les technologies connexes
qui ont volu.
3e dition
Aurlien Gron
est cofondateur et
directeur technique
de la socit Wifirst,
premier fournisseur
daccs Internet
sans fil en France.
Il est co-auteur de
deux ouvrages parus
chez Dunod sur les
architectures Internet
et sur la programmation
C++ avance.
www.livrewifi.com
ISBN 978-2-10-054183-6
www.dunod.com