Vous êtes sur la page 1sur 87

Rapport de PFE : Scurit des rseaux sans fil

Rapport de Projet de Fin dEtude


Master Services, Scurit des Systmes et des Rseaux

La scurit dans les rseaux Wi-Fi :


Etude dtaille des attaques et
proposition dune architecture
scurise
Ralis par :
TOURHAM Kaoutar

Anne universitaire 2014/2014[Tapez ici]

Encadr par :
DARNAG Rachid
ACHAHOUD Samir

Rapport de PFE : Scurit des rseaux sans fil

Remerciement
Au terme de ce projet de fin dtudes, jadresse mes sincres
remerciements Monsieur Rachid DARNAG, mon encadrant de
lONDA, pour le soutien et le temps qui ma accord malgr toutes ses
responsabilits.
Je
tiens

remercier
galement
Monsieur
ACHAHOUD, mon professeur et encadrant de lIGA

Samir

Jexprime un sincre et spcial remerciement Mr Elkamoun


Najib, pour tous ce quil a fait pour moi
Mes remerciements sadressent galement ladministration
et aux professeurs de lIGA Marrakech et de luniversit Lorraine de
Nancy.
Je souhaite exprimer enfin ma gratitude et mes vifs
remerciements ma famille et mes amis pour leurs soutiens.
Egalement, je remercie les membres du jury qui ont accept
dvaluer mon travail. En leurs exprimant toutes mes gratitudes et
mon profond respect.
Finalement, mes vifs remerciements tous ce qui ont particip de
prs ou de loin la ralisation de ce travail

Anne universitaire 2014/2015

Rapport de PFE : Scurit des rseaux sans fil

Rsum
Lutilisation des rseaux locaux sans fil ou encore Wi-Fi connat une croissance, ils sont
devenus lune des principales solutions de connexion pour les entreprises ainsi que les
particuliers. Le dveloppement du march sans fil est si rapide mme avant que les entreprises
constatent les gains de productivit de cette technologie qui consiste faire disparaitre les
cbles.
Ce type de rseaux volue si rapidement, ce qui rend les exigences en termes de scurit
plus en plus svres. Dans le but de trouver une solution qui protge et scurise ces rseaux
contre les attaques et les dangers en provenance de lintrieur ou de lextrieur, beaucoup
defforts ont t consentis. Malgr tous les efforts et les prcautions, les vulnrabilits et les
failles persistent toujours et notamment contre le protocole WPA2 qui t considr comme
tant le plus robuste en comparaison avec ces antcdents, ce dernier fait face un problme
majeur qui son incompatibilit matrielle avec les protocoles prcdent. Ce dernier, n de la
802.11i, constitue un surcot conomique norme pour les entreprises possdant des
quipements Wi-Fi danciennes gnrations.
Lobjectif de ce rapport est de faire une tude approfondie sur les rseaux sans fil de
type Wi-Fi, et dlaborer une synthse de toutes les attaques qui ciblent ce type de rseaux, la
synthse comprend une classification des attaques par rapport aux diffrents protocoles de
scurit. Une nouvelle approche architecturale de scurisation du rseau wifi de lONDA sera
propose dans la partie pratique.
Larchitecture propose offre une grande flexibilit et un niveau de scurit renforc
par rapport aux approches traditionnelles, elle prend en compte lhtrognit des quipements
et des standards de scurit supports. La nouvelle architecture offre la granularit ncessaire
pour mieux grer le rseau et contrler laccs aux ressources, ce qui amliore la scurit du
systme dinformation de lentreprise en gnral et du rseau Wi-Fi en particulier.

Mots cls : Wi-Fi, scurit, attaque, architecture scurise.

Anne universitaire 2014/2015

Rapport de PFE : Scurit des rseaux sans fil

Table des matires


Remerciement ........................................................................................................................................... 1
Rsum ...................................................................................................................................................... 2
Liste des figures ........................................................................................................................................ 6
Liste des tableaux ..................................................................................................................................... 7
Introduction .............................................................................................................................................. 8
Prsentation de lentreprise ......................................................................................................... 9

1.

Prsentation de Loffice national des aroports .................................................................... 9

1.1.
1.1.1.

Priode de transition ............................................................................................................ 9

1.1.2.

Missions de lONDA ........................................................................................................... 10

1.1.3.

La certification ISO de lONDA ........................................................................................ 10

1.1.4.

Organigramme de lONDA ............................................................................................... 12

1.1.5.

Organigramme de laroport Mnara Marrakech.......................................................... 13


1.2 Services et missions........................................................................................................... 13

1.2.

1.2.1.

Service dexploitation ..................................................................................................... 14

1.2.2.

Service technique & schma .......................................................................................... 14

1.2.3.

Service navigation........................................................................................................... 15

1.2.4.

Service ressources humaines ......................................................................................... 15

Chapitre II : prsentation du projet et de cahier des charges ............................................................ 17


Prsentation du projet................................................................................................................ 17

1.
1.1

Intitul du projet : .................................................................................................................. 17

1.2

Dfinition :............................................................................................................................... 17

1.3

Contexte et problmatique..................................................................................................... 17

1.4

Objectif du projet ................................................................................................................... 19

1.5

La technique : ......................................................................................................................... 19

1.6

Conduite du projet ................................................................................................................. 20


Dcomposition du projet .................................................................................................... 20

1.6.1

Plan du rapport ...................................................................................................................... 22

1.7

Chapitre III : Technologie des rseaux WI-FI..................................................................................... 23


1.

Architecture WI-FI ................................................................................................................... 23


1.1

Les modes de la technologie 802.11 ................................................................................... 23

1.2

Le modle 802.11 ............................................................................................................... 25

1.2.1

Prsentation .................................................................................................................... 25

1.2.2

Les bandes de frquence ................................................................................................ 26

1.2.3

Les couches 802.11 .......................................................................................................... 27

Anne universitaire 2014/2015

Rapport de PFE : Scurit des rseaux sans fil


1.2.4
2.

Support daccs au mdia .............................................................................................. 32

Les normes associes lIEEE 802.11 ...................................................................................... 36


2.1

IEEE 802.11 e : lamlioration de la qualit de service ................................................... 36

2.2

IEEE 802.11g ou n : la modulation pour les trs hauts dbits ........................................ 38

2.3

IEEE802.11 f : les handover .............................................................................................. 38

2.4

IEEE 802.11i, ou les amliorations de la scurit ............................................................ 39

Chapitre IV : Les standards de scurit dans les rseaux sans fils .................................................... 41
1.

2.

3.

4.

Le protocole WEP ...................................................................................................................... 41


1.1

Dfinition ............................................................................................................................. 41

1.2

Le chiffrement WEP........................................................................................................... 41

1.2.1

Fonctionnement gnral ................................................................................................. 41

1.2.2

Initialisation de la cl: .................................................................................................... 42

1.2.3

Obtention du keystream................................................................................................. 44

1.2.4

Le contrle dintgrit.................................................................................................... 44

1.2.5

La constitution du message final et son encapsulation ................................................ 45

1.3

Le dchiffrement WEP....................................................................................................... 46

1.4

La distribution des cls ...................................................................................................... 47

1.5

WEP et authentification: ................................................................................................... 48

1.5.1

Processus dauthentification ouverte ............................................................................ 48

1.5.2

Processus dauthentification cl partage ................................................................. 49

Le protocole 802.1x..................................................................................................................... 49
2.1

Architecture du 802.lx ........................................................................................................ 49

2.2

Les mthodes d'authentification du 802.lx ....................................................................... 50

Le protocole WPA ...................................................................................................................... 51


3.1

Dfinition ............................................................................................................................. 51

3.2

Classification WPA............................................................................................................. 51

3.3

Le protocole TKIP .............................................................................................................. 52

3.3.1

Dfinition ......................................................................................................................... 52

3.3.2

Le processus dencapsulation TKIP ............................................................................. 52

Le protocole WPA2 .................................................................................................................... 53


3.1

Dfinition ............................................................................................................................. 53

3.2

La scurit dans le mode PSK ........................................................................................... 53

3.3

Le protocole CCMP ............................................................................................................ 54

3.3.1

Dfinition ......................................................................................................................... 54

3.3.2

Fonctionnement gnral ................................................................................................ 54

3.3.3

Authentification .............................................................................................................. 55

Anne universitaire 2014/2015

Rapport de PFE : Scurit des rseaux sans fil


3.3.4

Chiffrement ..................................................................................................................... 55

Chapitre V : Analyse des failles et des attaques dans les rseaux WI-FI au sein de lONDA ......... 57
1.

2.

1.

1.

Faiblesses et contournements des mcanismes prliminaires de scurit ............................. 57


1.1

Utilisation d'ESSID ferms ................................................................................................ 57

1.2

Filtrage par adresse MAC ................................................................................................. 58

1.3

Filtrage par protocoles ....................................................................................................... 58

Les failles du WEP : ................................................................................................................... 59


2.1

Aperu sur les failles: ......................................................................................................... 59

2.2

Les faiblesses du IV: ........................................................................................................... 60

2.2.1

Rutilisation du Keystream ........................................................................................... 60

2.2.2

Attaques FMS ................................................................................................................. 60

2.2.3

Attaque par fragmentation ............................................................................................ 62

2.3

Les problmes des cls de chiffrement: ............................................................................ 64

2.4

Lexploitation du contrle dintgrit: ............................................................................. 64

2.5

Les failles dans lauthentification: .................................................................................... 65

Approches principales de scurisation des architectures Wi-Fi............................................. 67


1.1

Approche VLAN ................................................................................................................. 68

1.2

Approche VPN .................................................................................................................... 69

1.3

Approche gestion centralise ............................................................................................. 69

1.4

Autres solutions de scurisation des architectures Wi-Fi ............................................... 70

Nouvelle approche de scurisation des architectures Wi-Fi ................................................... 71


1.1.

Objectifs et mthodologie adopte .................................................................................... 72

1.2.

Principes .............................................................................................................................. 72

1.3.

Prsentation de l'architecture ........................................................................................... 72

Conclusion et Perspectives ..................................................................................................................... 76


Glossaire .................................................................................................................................................. 77
Webographie ........................................................................................................................................... 80
Annexe 1 : dtails des diffrents champs dune trame 802.11 ................................................................. 82

Anne universitaire 2014/2015

Rapport de PFE : Scurit des rseaux sans fil

Liste des figures


Figure 1:Rseau Wi-Fi du salon VIP .......................................................................................................... 18
Figure 2 : plannification des tches sous MSproject ................................................................................ 21
Figure 3: diagramme de Gantt ................................................................................................................. 22
Figure 4: Basic Service Set ...................................................................................................................... 24
Figure 5- Extended Service Set - Ensemble de BSS ............................................................................... 24
Figure 6 independant Basic Service Set ................................................................................................... 25
Figure 7: Detection de collision ................................................................................................................ 33
Figure 8: exemple de fragmentation ........................................................................................................ 33
Figure 9:la trame est labri de toute collision contrairement une transmission sans trames RTS et
CTS. ........................................................................................................................................................... 34
Figure 10:Schma dune trame 802.11 ..................................................................................................... 35
Figure 11: le mcanisme de priorit avec des intertrames diffrentes ................................................... 36
Figure 12: le mcanisme de priorit......................................................................................................... 37
Figure 13: les chantiers de scurit de la 802.11 ..................................................................................... 40
Figure 14: chiffrement & dchiffrement .................................................................................................. 46
Figure 15: Encapsulation TKIP .................................................................................................................. 53
Figure 16: chiffrement AES ....................................................................................................................... 56
+Figure 17: diffrenciation selon le protocole ......................................................................................... 74
Figure 18: diffrenciation selon le profil utilisateur ................................................................................. 75
Figure 19:Schma du champ de contrle dune trame 802.11 ................................................................ 82
Figure 20::Utilisation des adresses dune trame 802.11 .......................................................................... 85
Figure 21: Schma du cas o To DS=0 et From DS=1 ............................................................................... 85
Figure 22: Schma du cas o To DS=1 et From DS=0 ............................................................................... 85
Figure 23: Schma du cas o To DS=1 et From DS=1 ............................................................................ 85
Figure 24: format dune trame RTS .......................................................................................................... 86
Figure 25:Format trame CTS..................................................................................................................... 86
Figure 26 : Format dune trame ACK ....................................................................................................... 86

Anne universitaire 2014/2015

Rapport de PFE : Scurit des rseaux sans fil

Liste des tableaux


Tableau 1: les principales phases du projet ............................................................................................. 20
Tableau 2: liste des diffrentes tches ..................................................................................................... 21
Tableau 3: comparaison des modles OSI et 802.11 ................................................................................ 26
Tableau 4: Allocation des bandes de frquences ISM selon les pays ...................................................... 27
Tableau 5: espacement entre les frquences .......................................................................................... 29
Tableau 6: porte d'un rseau Wi-Fi ........................................................................................................ 30
Tableau 7: comparaison dbit transmission et porte ............................................................................ 31
Tableau 8:Niveau de diffrenciation ........................................................................................................ 73
Tableau 9: Types et sous-typesdes versions des protocoles utiliss dans une trame 802.11 .................... 83
Tableau 10:Valeurs des champs To DS et From DS ................................................................................ 84

Anne universitaire 2014/2015

Rapport de PFE : Scurit des rseaux sans fil

Introduction
Un stage de fin dtude est crucial, pour dvelopper et mettre en pratique les
comptences et les connaissances acquises tout au long de ma formation et de la prparation du
master en scurit et services des systmes et rseaux.
Grce aux rseaux sans fil, leurs flexibilits et leurs simplicits ; lorganisation des
entreprises devient moins hirarchise, toutefois, cette nouvelle organisation met la scurit en
case dexigences svres. Malgr tous les efforts et les travaux qui ont tait consentis pour
aboutir des solutions de scurisation des rseaux Wi-Fi ; les vulnrabilits persistent toujours.
Ce rapport a pour objectif dapporter une meilleure comprhension des rseaux sans fil,
et une tude dtaille des failles et attaques qui peuvent tre mont sur le rseau Wi-Fi du salon
VIP. La dfinition des failles et des vulnrabilits dune architecture devra imprativement tre
suivi de la recherche des solutions qui remdient ces anomalies, et choisir lapproche la plus
optimale.

Anne universitaire 2014/2015

Rapport de PFE : Scurit des rseaux sans fil

Chapitre I : Prsentation du projet et de lentreprise


1. Prsentation de lentreprise
1.1. Prsentation de Loffice national des aroports
LOffice National Des Aroports (ONDA) est un tablissement public caractre
industriel et commercial cr en janvier 1990 par transformation de lOffice des Aroports de
Casablanca, qui tait le premier tablissement autonome de gestion aroportuaire au Maroc.
LOffice National des Aroports a pour but de conditionner le dveloppement du
transport arien au Maroc, ainsi que les secteurs conomiques qui lui sont lis. Ses missions
engagent galement la crdibilit de lEtat marocain vis vis de la communaut internationale
aronautique, en matire dcoulement du trafic arien international, de scurit arienne, de
sret aroportuaire et de la qualit des prestations dont il a la charge.
LONDA se positionne donc en tant qu'acteur de dveloppement conomique et social
au niveau national et rgional, contribuant la croissance de lconomie et du transport arien
en particulier
Auparavant les aroports et le contrle de la navigation arienne, tait grs directement
par le ministre du transport. En vue damliorer leurs performances, le Gouvernement dcida
dopter pour lautonomie de gestion, avec la cration en 1980 du premier tablissement public
de gestion aroportuaire ; lOAC (Office des Aroports de Casablanca), dont la gestion t
initialement limite aux aroports de Casablanca
LOAC a constitu la premire tape du nouveau rgime de gestion aroportuaire :
conformment la haute vision Royale de Feu le Roi Hassan II : Nous nous sommes rsolus
dvelopper, largir et moderniser le rseau des communications, multiplier les aroports
et les rehausser au niveau des aroports occidentaux les plus prestigieux Discours du trne 3
mars 1981, les autorits marocaines ont mis en place lOffice des Aroports de Casablanca,
dont la mission primordiale a t de grer la nouvelle arogare Mohammed V inaugure en
1980. Cette premire exprience, positive, dautonomie de la gestion aroportuaire a permis
dune part, d'amliorer au niveau national les ressources financires, les comptences des
effectifs employs, et dautre part, de tisser des relations internationales privilgies. Ce bilan
positif a t un facteur dterminant dans la dcision dextension de cette premire exprience
lensemble des aroports nationaux.
1.1.1. Priode de transition
Compte tenu des capacits dmontres, lOAC a t mis contribution ds 1985 au
profit dautres aroports, dont la situation exigeait des interventions urgentes. Le rsultat de ces
actions a entran dans un deuxime temps, l'largissement du champ de comptence en 1987
lexploitation de certains aroports (Fs, Marrakech, Rabat et Layoune) lOAC.
Ainsi, les prrogatives de lOAC ont t graduellement et progressivement tendues
pour couvrir finalement partir de 1990 la totalit des aroports et des services de la
Navigation Arienne. Ce renforcement par paliers des comptences de lEtablissement, procde
Anne universitaire 2014/2015

Rapport de PFE : Scurit des rseaux sans fil


dun choix dlibr, et dune vision stratgique, en vue d'assurer et de matriser avec succs
l'indpendance de gestion du secteur aronautique. En 1990, par vote unanime du parlement,
lOAC fut transform en ONDA (Office National Des Aroports). La cration de lONDA nest
autre que le fruit de la russite et de lvolution de ces paliers ncessaires sa naissance. La
dmarche de dveloppement de cet important office fut couronne par la Dcision Royale
intervenue en 1991, rattachant lensemble des services de la Navigation Arienne lONDA,
en vue de consolider le rle de ltablissement pour une action plus large en faveur du secteur
aronautique.
1.1.2. Missions de lONDA
Les missions de loffice sont principalement :
La garantie de la scurit de la navigation arienne au niveau des aroports et de
lespace arien sous juridiction nationale.
Lamnagement, lexploitation, lentretien et le dveloppement des aroports civils de
lEtat. Lembarquement, le dbarquement, le transit et lacheminement terre des voyageurs,
des marchandises et du courrier transports par air, ainsi que tout service destin la
satisfaction des besoins des usagers et du public.
La liaison avec les organismes et les aroports internationaux afin de rpondre aux
besoins du trafic arien
La formation dingnieurs de laronautique civile, de contrleurs et dlectroniciens de
la scurit arienne.
Des missions qui se dclinent donc en un certain nombre dexigences, savoir :
Lobligation de la qualit dans les prestations rendues aux compagnies et aux passagers
et ce, conformment aux normes internationales.
Lobligation de dveloppement du secteur pour rpondre aux besoins de croissance du
transport arien.
L'obligation de dvelopper continuellement les ressources ncessaires en vue de
rpondre au changement technologique permanent du secteur.

1.1.3. La certification ISO de lONDA


L'aroport Marrakech Mnara est certifi ISO 9001/2000
pour tous les services rendus aux passagers, aux compagnies
ariennes et aux autres usagers y compris les services de la
navigation arienne.

Anne universitaire 2014/2015

10

Rapport de PFE : Scurit des rseaux sans fil


Cette distinction vient rcompenser l'orientation client et le choix d'un systme de
Management de la Qualit de l'Office national des aroports, indique un communiqu de
l'ONDA.
Depuis 2005, l'ONDA a mis en place une structure ddie la qualit dont la mission
est de mettre en place un systme de management par la qualit devant assurer l'amlioration
du fonctionnement des aroports. Cette entit a mis en uvre un processus de certification des
principaux aroports du Royaume, prcise la mme source.
Aprs les aroports Agadir Al Massira, Tanger Ibn Battouta, Fs Sass, Oujda Angad et
Rabat Sal, cette dmarche se trouve aujourd'hui couronne au niveau de l'aroport Marrakech
Mnara.
La certification accorde par le groupe SGS atteste de la performance des mthodes
utilises et l'efficacit des processus mis en place, ainsi que de la mobilisation de l'ensemble
des ressources humaines.
Le personnel de l'aroport Marrakech Mnara qui a rendu possible cette distinction par
sa dtermination et son dvouement reste mobilis pour garantir un niveau de qualit sans cesse
amlior, apprci et reconnu par les clients et partenaires.
Une crmonie de remise officielle du certificat ISO sera organise mercredi prochain
l'aroport Marrakech Mnara. Elle sera l'occasion pour l'ensemble des invits (Autorits
locales, lus de la rgion, oprateurs du tourisme, presse), de visiter le Terminal 1 de cet
aroport dans sa nouvelle dimension, mis en service depuis le 22 mai 2008.
De mme, et l'instar des aroports certifis, le Directeur Gnral de l'ONDA et le
Directeur dlgu de l'aroport Marrakech Mnara procderont la signature de la Charte de
Dveloppement Durable, engageant la direction et le personnel de cet aroport dans une
logique de dveloppement durable, dont le fondement est de rpondre aux besoins du prsent et
des gnrations futures

Anne universitaire 2014/2015

11

Rapport de PFE : Scurit des rseaux sans fil


1.1.4. Organigramme de lONDA

Direction gnrale

Dpartement stratgie et
contrle

Direction des
ressources

Secrtaire gnrale

Acadmie
Internationale
Mohamed VI de
laviation civile

Direction de la
communication et
des affaires
gnrale

Direction de la
logistique et du
dveloppement
commercial
Direction de la
navigation
arienne

Direction de
la navigation
arienne

Charg de
la direction
de
laroport
Mohamed
VI

Casa
Anfa Tit
Mellil

Directeur
dlgu
Agadir

Laayoune
Tan Tan
Dakhla

Direction de
la
Maintenance

Directeur
dlgu
Marrakech

Ouarzazate
Essaouira
Safi
Beni Mellal

Direction de la
qualit sret
et scurit

Directeur
dlgu
Rabat

Directeur
dlgu
Tanger

Ttouan

Anne universitaire 2014/2015

Direction
de
lingnierie

Directeur
dlgu
Fs

Directeur
dlgu
Oujda

Nador

Al Hoceima
Errachidia
Ifrane

12

Rapport de PFE : Scurit des rseaux sans fil

1.1.5. Organigramme de laroport Mnara Marrakech

Directeur Dlgu
1.2.
Directeur Adjoint /
Reprsentant

Secrtaire de direction

Permanence

Responsable Scurit

Service
Exploitation

Service
Navigation
Arienne

Service
Technique

Fonctionnement
arogare

Bureau de
piste / BIA

Accueil et
assistance

Statistiques

Qualit

Centre de
coordination des
oprations

Gestion
des aires
cotes
piste

Responsable
Sret

Service
Ressources

Secteur
RadioNav

Secteur
Infra/Bat

Secteur
Elc.MT/B

Gestion du
personnel

Gestion
des
permis
daccs

Comptabilit

Logistique

Secteur
Ele.Aro,
Electroth,
Electrom

Anne universitaire 2014/2015

13

Rapport de PFE : Scurit des rseaux sans fil

1.2 Services et missions


1.2.1. Service dexploitation
Prsentation du service :
Dans le but dobtenir lefficacit des services de la gestion de lensemble du rseau
aroportuaire civil, lOffice est ramen mettre en place et assurer le bon fonctionnement de
lensemble des installations aroportuaires.
Par ailleurs, pour se dvelopper et satisfaire les besoins de sa clientle, ses compagnies
ariennes et passagers, par un effort constant dadaptation et de qualit des prestations, il doit
dans ce sens concilier les impratifs de confort, de qualit de service et les impratifs de suret ;
sans ignorer le dveloppement des capacits daccueil en fonction de lvolution du trafic
arien.
Les missions du service :

Assurer la gestion des sections qualit, accueil et assistance ;


Veiller au respect des mesures de suret et de scurit en vigueur ;
Recueillir linformation auprs des services concerns interne ou externe ;
Vrification des documents quotidiens ;
Relever les anomalies et faire le suivi des actions prventives et correctives ;
Recueil des rclamations mises par les utilisateurs, et dclenchement des mesures
appropris pour y remdier ;
Veiller au bon fonctionnement des installations daccueil ;
Exploiter le registre de frquentation des salons ;
1.2.2. Service technique & schma
Prsentation du service :
Ce service est une composante de sections :la section Mt Balisage, section
Electrothermique et Electromcanique ;Section Infrastructure et Balisage et la Section
Radionavigation.
Le rle de chaque section est de grer la maintenance, la prparation, la remise en
service et de la calibration des quipements lectriques ou lectrothermiques et
lectromcaniques.
Les missions du service :
Le service est charg de maintenir en tat de bon fonctionnement les quipements, les
infrastructures, les btiments et toutes les installations dans l'aroport.
Sagissant dune fonction cl de lorganisation au regard du volume des investissements
raliss dans les quipements et les infrastructures, elle devra rpondre deux conditions
essentielles : la ractivit aux vnements, lanticipation des dfaillances techniques.

Anne universitaire 2014/2015

14

Rapport de PFE : Scurit des rseaux sans fil


Schma physique :

1.2.3. Service navigation


Prsentation :
Le service Contrle Local contribue, dune part, assurer le ballet quotidien des
nombreux avions desservant la plateforme conformment au texte et lois en vigueur et, dautre
part, prserver la scurit arienne et lefficacit des mouvements au sol.
Il veille, galement, sur ltablissement des donnes fiables servant de base pour le suivi
du dveloppement du secteur touristique, et utiles pour la facturation des redevances
aronautiques.
Les missions du service :

Missions du service Contrle Local de laroport Marrakech-Menara est :


Assurer le service Bureau De Piste ;
Fournir linformation aronautique;
Grer les postes de stationnement des avions;
Veiller la scurit sur les aires ct piste;
tablir les donnes de statistiques et de Pr-facturation;
Coordonner avec lorganisme militaire...

1.2.4. Service ressources humaines


Prsentation du service :
Le Service Ressources est charg de programmer et grer des ressources humaines et
financires.
Les missions du service :

Anne universitaire 2014/2015

15

Rapport de PFE : Scurit des rseaux sans fil


Pour une gestion optimise des ressources financires, ce service dfinit et ralise une
politique comptable et financire de laroport scrupuleusement les rgles et les procdures en
matire de comptabilit et finance, ce service ralise et de faon rgulire des tudes
financires afin davoir une vision globale sur les charges, la rentabilit, et les rsultats
financiers
Pour la gestion de ressources humaines la direction a pour mission de sassurer en
permanence que lONDA dispose des capacits humaines ncessaires pour le bon droulement
de ses missions et ses activits dans les meilleures conditions, par une politique de recrutement
cohrente et de formation continue. Elle est charge notamment de Dvelopper une politique
des ressources humaines motivante, conforme la lgislation et la rglementation du travail
en vigueur ; tout en garantissant lquit de traitement entre toutes les catgories de personnel

Anne universitaire 2014/2015

16

Rapport de PFE : Scurit des rseaux sans fil

Chapitre II : prsentation du projet et de cahier des charges


1. Prsentation du projet
1.1

Intitul du projet :

La scurit dans les rseaux Wi-Fi : tude dtaille sur les attaques et proposition dune
nouvelle approche architecturale scurise
1.2

Dfinition :

Les rseaux sans fil sont faciles dployer ainsi que leurs cots sont faibles, do
provient leurs rapidit dvolution.et comme tous les autres types de rseau la scurit est
primordiale malgr sa relativit.
Puisquon ne parle jamais dune scurit absolue, il est recommand aux
administrateurs de dfinir une mthodologie de scurit
1.3

Contexte et problmatique

Nous assistons aujourd'hui un fort dveloppement de l'effectif nomade dans les


entreprises, dont l'organisation devient de moins en moins hirarchise. En effet, les employs
sont quips d'ordinateurs portables et passent plus de temps travailler au sein d'quipes
plurifonctioru1elles, trans-organisationnelles et gographiquement disperses.
De ce fait, nous avons assist ces dernires annes la monte en puissance des rseaux
locaux sans-fil ou encore Wi-Fi, qui sont en passe de devenir l'une des principales solutions de
connexion pour de nombreuses entreprises. Le march du sans-fil se dveloppe rapidement ds
lors que les entreprises constatent les gains de productivit qui dcoulent de la disparition des
cbles.
Ainsi avec cette volution rapide de ce type dmatrialis de rseaux, les exigences en
termes de scurit deviennent de plus en plus svres. En effet, pour garantir la prennit et
lessor de cette technologie, il est primordial de recourir des mthodes avances
d'authentification, de gestion et de distribution de cls entre les diffrentes entits
communicantes, ceci tout en respectant les contraintes imposes par les rseaux sans fil, telles
que la capacit de l'interface radio qui reprsente le goulot d 'tranglement du trafic pour ce
type de rseaux. Ainsi, un protocole de scurit devrait pouvoir tablir des sessions sans
altration de la performance globale du rseau, tout en fournissant les diffrents services de
scurit requis pour chaque type d'application.
Beaucoup de travaux et d'efforts ont t consentis ces dernires annes afin d'aboutir
des solutions pour scuriser les changes dans ces rseaux. Toutefois, des vulnrabilits
persistent encore dans ces solutions et il est toujours possible de monter des attaques plus ou
moins facilement. Notamment contre le dernier n des protocoles de scurit Wi-Fi, savoir le
WPA2, qui bien qu'tant plus robuste sur le plan conceptuel que les gnrations prcdentes,
fait face au problme majeur de son incompatibilit matrielle avec les prcdents protocoles.
Anne universitaire 2014/2015

17

Rapport de PFE : Scurit des rseaux sans fil


En effet, WPA2 exige de nouveaux quipements matriels, ce qui constitue un surcot
conomique norme pour les entreprises ayant dj dploy des quipements Wi-Fi d'anciennes
gnrations.
Dans ce rapport, nous nous intressons la problmatique de scurit des rseaux Wi-Fi
dans l'office national des aroports. Compte tenu des vulnrabilits des standards de scurit
Wi-Fi, et face toutes les failles de scurit et la diversit des attaques qu'il est possible de
monter contre les mcanismes de scurit dans les rseaux 802.11, quelles sont les meilleures
pratiques architecturales en matire de scurisation Wi-Fi ? Comment assurer une scurit
optimale, compte tenu de l'htrognit des quipements Wi-Fi (WEP, WPA, WPA2),
existants actuellement dans les entreprises?
Il est noter que nous nous intressons dans le cadre de ce mmoire aux rseaux Wi-Fi
en mode infrastructure. En effet, nous ne traitons pas le cas des rseaux ad-hoc et dnotons tout
au long de ce mmoire par rseaux Wi-Fi, les rseaux de la norme IEEE 802.11 ayant comme
lment central un point d'accs.
Dun point de vue ingnieur en scurit des rseaux, larchitecture actuelle du salon VIP
de loffice national des aroports -Marrakech nest pas scurise, ils utilisent des approches
considres comme traditionnelles et vulnrables.
Loffice nationale des aroports joue le rle dintermdiaire entre le fournisseur daccs
et les salons (salon VIP, Salon royal et salon dhonneur), les noms des salons nous donnent une
ide sur la sensibilit et la confidentialit des informations et des donnes qui peuvent transiter
sur ces rseaux.
Dailleurs, il utilisait comme protocole de chiffrement le WEP, qui est cass depuis des
annes, le schma qui suit nous illustre larchitecture :

Figure 1:Rseau Wi-Fi du salon VIP

Anne universitaire 2014/2015

18

Rapport de PFE : Scurit des rseaux sans fil


1.4

Objectif du projet

L'objectif de ce mmoire est dans un premier temps d'apporter une meilleure


comprhension du mode de fonctionnement des protocoles de scurit dans les rseaux WiFi.
En effet, nous analysons l'volution de la normalisation et prsentons les principales mthodes
d'authentification, ainsi que les mcanismes de chiffrement adopts par chacun des protocoles
que nous tudions. Le second objectif et non des moindres est l'tude des vulnrabilits des
diffrentes gnrations de standards de scurit Wi-Fi et la ralisation d'une synthse sur les
modes opratoires des diffrentes attaques et leur volution au fil du temps.
Enfin, nous proposons une nouvelle approche architecturale de scurisation des rseaux
802.11 dans l'entreprise qui prend en compte l'htrognit des quipements et des standards
de scurit supports. Cette nouvelle approche a le mrite d'offrir une grande flexibilit ainsi
qu'une scurit renforce par rapport aux approches traditionnelles.
Par ailleurs, la contribution originale de ce mmoire rside dans deux lments
principaux. La premire consiste en llaboration d'une synthse exhaustive de toutes les
attaques qui ciblent les rseaux Wi-Fi, leur classification par rapport aux standards de scurit
ainsi que l'illustration des dtails de leur mise en uvre. Outre le volet conceptuel et thorique,
nous abordons galement le volet pratique et montrons sa richesse. La ralisation de cette tude
n'a pas t triviale et a ncessit une documentation approfondie, ainsi que le test de divers
outils d'attaques dont la configuration n'a pas toujours t simple. De plus, plusieurs attaques ne
sont pas du tout documentes et nous avons eu les simuler 1 'aide d'outils particuliers, afin
de comprendre leur mode opratoire.
Cette premire contribution nous a permis de cerner les faiblesses des mcanismes de
scurit des rseaux Wi-Fi. D'o la seconde contribution originale et sans doute la plus
importante qui consiste en la proposition d'une nouvelle. Approche architecturale pour scuriser
les rseaux Wi-Fi dans l'entreprise, en fixant un certain nombre d'objectifs, qui parfois sont
divergents. Nous sommes parvenus cette proposition, que nous formulons dans ce mmoire,
suite un cheminement rigoureux et articul. Le plan de notre mmoire dmontre comment
nous avons abord le problme et la mthodologie adopte (au niveau duchapitre 5 et 6) pour le
rsoudre.
Ce projet vise plusieurs objectifs concernant la scurit des rseaux de lONDA, le
principal objectif est de dterminer une approche architecturale flexible et scurise. Bien
videmment aprs une tude dtaille sur les diffrentes vulnrabilits et failles des rseaux en
sujet.
La ralisation de ce projet schelonne sur une priode de 3 mois, compter du 1er
juillet 2015 jusquau le 30 septembre de la mme anne
1.5

La technique :

Sappuyer sur les expriences et les comptences acquises au cours de ma formation


ntait pas suffisant, alors il fallait contacter des personnes plus exprimentes que moi.
Internet et les forums mont beaucoup servis soi en termes de recherche et documentation, ou
pour tayers la plupart des difficults rencontres

Anne universitaire 2014/2015

19

Rapport de PFE : Scurit des rseaux sans fil


1.6

Conduite du projet

1.6.1 Dcomposition du projet


Ce projet se dcompose en quatre phases principales, partant de la documentation
jusqu lvaluation de la nouvelle approche

Phases

Contenus

Phase 1: Documentation et recherche

Phase 2 : collecte des informations du rseau

Installation de kali linux


Installation des outils de test de
vulnrabilit

Phase 3: proposition dune nouvelle architecture

Phase 4: valuation de la solution propose

Documentation sur les rseaux sans fil

Etudier lenvironnement
Collecter les informations sur le rseau
Monter des attaques sur le rseau
Identifier les failles
Identifier les approches de scurit
Proposer une architecture scurise
Rdaction des rapports

Dfinir le niveau de scurit offert par


la nouvelle architecture
Assemblage et rdaction du rapport
final

Tableau 1: les principales phases du projet

Jai utilis Microsoft office Project pour la planification, mais bien avant jai nomm
les diffrentes tches, leurs dures ainsi que leurs prcdences. Le tableau ci-aprs illustre les
dites tches,
Tches

Dsignation

Prcdences

Dures

Prparation du cahier des charges

5j

Documentation et recherche thorique

10j

Rdaction des rapports intermdiaires.

A, B

20j

Installation et familiarisation avec les outils

7j

Anne universitaire 2014/2015

20

Rapport de PFE : Scurit des rseaux sans fil

Collecte des informations sur le rseau

4j

Monter les attaques et dfinir les failles

D, E

10j

Dfinir les approches de scurit

Proposer une nouvelle architecture

Evaluation de la solution

G, H

10j

Validation et impression du rapport

C, I

9j

Tableau 2: liste des diffrentes tches

Diagramme GANNT
Le diagramme de GANNT est un outil utilis (souvent en complment d'un rseau
PERT) en ordonnancement et gestion de projet et permettant de visualiser dans le temps les
diverses tches lies composant un projet (il s'agit d'une reprsentation d'un graphe connexe). Il
permet de reprsenter graphiquement l'avancement du projet. Cet outil rpond deux objectifs :
planifier de faon optimale et communiquer sur le planning tabli et les choix qu'il impose. Le
diagramme GANNT permet :
de dterminer les dates de ralisation d'un projet
d'identifier les marges existantes sur certaines tches
de visualiser d'un seul coup d'il le retard ou l'avancement des travaux.
Le diagramme de Gantt ne rsout pas tous les problmes, en particulier si l'on doit
planifier des fabrications qui viennent en concurrence pour l'utilisation de certaines ressources
de l'entreprise. Dans ce cas, il est ncessaire de faire appel des algorithmes plus complexes
issus de la recherche oprationnelle et de la thorie de l'ordonnancement.

Figure 2 : plannification des tches sous MSproject

Anne universitaire 2014/2015

21

Rapport de PFE : Scurit des rseaux sans fil

Figure 3: diagramme de Gantt

1.7

Plan du rapport

Le prsent rapport est structur comme suit :


Dans le troisime chapitre, nous nous consacrons l'tude des technologies employes
au niveau de la couche physique et la couche liaison de donnes, ainsi qu'aux diverses
fonctionnalits offertes par la norme Wi-Fi, ou encore IEEE 802.11.
Dans le quatrime chapitre, nous focalisons sur les standards de scurit de la norme
IEEE 802.11. Nous nous concentrerons sur 1 'aspect analyse de cette volution, montrant
chaque fois, les caractristiques et les dtails de fonctionnement de chaque protocole.
Une fois les diffrentes gnrations de protocoles de scurit Wi-Fi prsentes et
analyses, nous nous concentrons dans le cinquime chapitre, sur le volet faiblesses et
vulnrabilits. En effet, ce chapitre, prsente une analyse dtaille des vulnrabilits du
protocole de scurit Wi-Fi utilis dans le salon VIP, ainsi que les dtails de fonctionnement
des principales attaques.
Dans le sixime chapitre, nous proposons une nouvelle approche architecturale de
scurisation des rseaux Wi-Fi et discutons ses caractristiques, ses approches et ce quelle
porte de mieux que son antcdente.
Finalement, ce rapport se termine par une conclusion qui fait la synthse de ce qui a t
vu tout au long de cette tude et donne un aperu sur les perspectives de travaux de recherche
futurs, ainsi que les dfis majeurs relever, en termes de scurit Wi-Fi.

Anne universitaire 2014/2015

22

Rapport de PFE : Scurit des rseaux sans fil

Chapitre III : Technologie des rseaux WI-FI


La norme IEEE 802.11 est un standard international dcrivant les caractristiques d'un
rseau local sans fil (WLAN). Son laboration et son dveloppement rapide fut un pas
important dans l'volution des rseaux locaux sans fil que ce soit en entreprise ou chez les
particuliers. Elle a ainsi permis de mettre la porte de tous un vrai systme de communication
sans fil pour la mise en place des rseaux informatiques hertziens. Ce standard a t dvelopp
pour favoriser l'interoprabilit du matriel entre les diffrents fabricants. Ceci signifie que les
clients peuvent mlanger des quipements de diffrents fabricants afin de satisfaire leurs
besoins. De plus, cette standardisation permet d'obtenir des composants bas cot, ce qui a
permis un succs commercial considrable au 802.11.
Le nom Wi-Fi dsigne un ensemble de protocoles de communication sans fil rgis par
les normes du groupe IEEE 802.11. Un rseau Wi-Fi permet de relier par des ondes radio
plusieurs appareils informatiques (ordinateur, routeur, smartphone, dcodeur Internet, etc) au
sein d'un rseau informatique afin de permettre la transmission de donnes entre eux.

1. Architecture WI-FI
Un rseau 802.11 est compos de plusieurs regroupements de terminaux, munis d'une carte
dinterface rseau 802.11. Ces regroupements sont des cellules Wi-Fi. Dans ce qui suit, nous
montrons quils peuvent tre de diffrentes topologies.

1.1 Les modes de la technologie 802.11


A la base, les rseaux sans fil 802. 11 peuvent tre vus comme un ensemble de technologies
permettant d'tablir un rseau local sans 1 'utilisation du cblage pour les liaisons entre les
ordinateurs. En effet, le cblage est remplac par des liaisons hertziennes.
Cette partie montre que la norme 802.11 dfinit deux modes opratoires. En expliquant le
fonctionnement de chacun deux.
Mode infrastructure
Le mode infrastructure se base sur une station spciale appele PA. Ce mode permet des
stations wifi de se connecter un rseau (gnralement Ethernet) via un point d'accs. Elle
permet une station wifi de se connecter une autre station wifi via leur PA commun. Une
station wifi associe un autre PA peut aussi s'interconnecter. L'ensemble des stations porte
radio du PA forme un BSS. Chaque BBS est identifi par un BSSID de 6 octets qui correspond
l'adresse MAC du PA

Anne universitaire 2014/2015

23

Rapport de PFE : Scurit des rseaux sans fil

Figure 4: Basic Service Set

Il est possible de relier plusieurs PA entre eux (ou plus exactement plusieurs BSS) par
une liaison appele DS afin de constituer un ESS Le DS peut tre aussi bien un rseau filaire,
qu'un cble entre deux points d'accs ou bien mme un rseau sans fil !

Figure 5- Extended Service Set - Ensemble de BSS

Un ESS est repr par un ESSID, cest--dire un identifiant de 32 caractres de longueur


(au format ASCII) servant de nom pour le rseau. L'ESSID, souvent abrg en SSID reprsente
le nom du rseau et reprsente en quelque sort un premier niveau de scurit dans la mesure o
la connaissance du SSID est ncessaire pour qu'une station se connecte au rseau tendu.
Lorsqu'un utilisateur nomade passe d'un BSS un autre lors de son dplacement au sein
de l'ESS, l'adaptateur rseau sans fil de sa machine est capable de changer de point d'accs
selon la qualit de rception des signaux provenant des diffrents points d'accs. Les points
d'accs communiquent entre eux grce au systme de distribution afin d'changer des
informations sur les stations et permettre le cas chant de transmettre les donnes des stations
mobiles. Cette caractristique permettant aux stations de "passer de faon transparente" d'un
point d'accs un autre est appel itinrance (en anglais roaming)

Anne universitaire 2014/2015

24

Rapport de PFE : Scurit des rseaux sans fil


Mode Ad-hoc
Le fonctionnement de ce mode est totalement distribu, il n'y a pas d'lment structurant
hirarchiquement la cellule ou permettant de transmettre les trames d'une station une autre.
Ce mode permet la communication entre deux machines sans l'aide d'une infrastructure. Les
stations se trouvant porte de radio forment un IBSS dont chaque machine joue en mme
temps le rle du client et du PA

Figure 6 independant Basic Service Set

L'ensemble form par les diffrentes stations est appel IBSS qui est un rseau sans fil
constitu au minimum de deux stations et n'utilisant pas de point d'accs. L'IBSS constitue donc
un rseau phmre permettant des personnes situes dans une mme salle d'changer des
donnes. Il est identifi par un SSID, comme l'est un ESS en mode infrastructure.
Dans un rseau ad hoc, la porte du BSS indpendant est dtermine par la porte de
chaque station. Cela signifie que si deux des stations des rseaux sont hors de porte l'une de
l'autre, elles ne pourront pas communiquer, mme si elles "voient" d'autres stations. En effet,
contrairement au mode infrastructure, le mode ad hoc ne propose pas de systme de
distribution capable de transmettre les trames d'une station une autre. Ainsi un IBSS est par
dfinition un rseau sans fil restreint.

1.2 Le modle 802.11


1.2.1 Prsentation
La norme IEEE 802.11 dfinit les deux premires couches (basses) du modle OSI,
savoir la couche physique et la couche liaison de donnes. Cette dernire est elle-mme
subdivise en deux sous-couches, la sous-couche LLC (Logical Link Control) et la couche
MAC (Medium Access Control).

Anne universitaire 2014/2015

25

Rapport de PFE : Scurit des rseaux sans fil


La figure suivante illustre l'architecture du modle propos par le groupe de travail
802.11 compare celle du modle OSI.

802.11 Logical Link Control (LLC)

la couche liaison de
donnes
802.11 Medium Access Control (MAC)
(couche 2 OSI)

La couche physique
(couche 1-OSI)

802.11
DSSS

802.11
FHSS

802.11
IR

Wi-Fi
802.11 b

Wi-Fi
802.11 g

Wi-Fi 5
802.11 a

Tableau 3: comparaison des modles OSI et 802.11

L'une des particularits de cette norme est qu'elle offre plusieurs variantes au niveau
physique, tandis que la partie liaison est unifie. Bien que la norme 802.11 d'origine n'ai dfini
que trois couches physiques, les couches FHSS, DSSS, et IR, l'ajout ultrieur de Wi-Fi, de WiFi 5 et de IEEE 802.11g n'a pas entran de changements radicaux dans la structure de la
couche MAC. On rappelle que la couche physique de la norme IEEE 802.11 est l'interface
situe entre la couche MAC et le support qui permet d'envoyer et de recevoir des trames.
Chaque couche physique 802.11/a/b/g est divise en deux sous-couches :
la sous-couche PMD (Physical Medium Dependent) qui gre l'encodage des donnes
et effectue la modulation
la sous-couche PLCP (Physical Layer Convergence Protocol) qui s'occupe de
l'coute du support et fournit un CCA (Clear Channel Assessment) la couche MAC pour lui
signaler que le canal est libre.

1.2.2 Les bandes de frquence


Les cinq couches radio du standard IEEE 802.11/a/b/g utilisent des frquences situes
dans des bandes dites sans licence. Il s'agit de bandes libres, qui ne ncessitent pas
d'autorisation de la part d'un organisme de rglementation. Les deux bandes sans licence
utilises dans 802.11/a/b/g sont :
La bande ISM : (Industrial, Scientific and Medical)
La bande ISM utilise dans 802.11/b/g correspond une bande de frquence situe
autour de 2.4 GHz, avec une largeur de bande de 83.5 MHz.
Anne universitaire 2014/2015

26

Rapport de PFE : Scurit des rseaux sans fil


Cette bande ISM est reconnue par les principaux organismes de rglementation, tels
que la FCC aux Etats-Unis, l'ETSI en Europe, l'ART en France. La largeur de bande libre
pour les RLAN varie cependant suivant les pays :

Tableau 4: Allocation des bandes de frquences ISM selon les pays

La bande U-NII (Unlicenced-National Information Infrastructure)


La bande sans licence U-NII est situe autour de 5 GHz. Elle offre une largeur de bande
de 300 MHz (plus importante que celle de la bande ISM qui est gale 83.5 MHz). Cette bande
n'est pas continue mais elle est divise en trois sous-bandes distinctes de 100 MHz. Dans
chaque sous bande la puissance d'mission autorise est diffrente. La premire et la deuxime
sous bande concernent des transmissions en intrieur. La troisime sous-bande concerne des
transmissions en extrieur. Comme pour la bande ISM, la disponibilit de ces trois bandes
dpend de la zone gographique. Les Etats-Unis utilisent la totalit des sous bandes, l'Europe
n'utilise que les deux premires et le Japon seulement la premire. Les organismes chargs de
rguler l'utilisation des frquences radio sont : l'ETSI (European Tlcommunications
Standards Institute) en Europe, la FCC (Federal Communications Commission) aux Etats-Unis,
le MKK (Kensa-kentei Kyokai) au Japon
1.2.3 Les couches 802.11
L'IEEE 802.11 implmente de nouvelles couches physiques et de nouvelles techniques
d'accs au support, au niveau de la couche de liaison de donnes. Dans ce qui suit, nous
donnons un aperu sur les nouvelles caractristiques des couches physiques et de liaison de
donnes, relatives la norme 802.11.

Anne universitaire 2014/2015

27

Rapport de PFE : Scurit des rseaux sans fil


1.2.3.1 La couche physique
1.2.3.1.1 FHSS
Par la technique des sauts de frquence (FHSS), la bande des 2,4 GHz est divise en 79
sous-canaux de 1 MHz.
Lmetteur et le rcepteur saccordent sur une squence de sauts prcise qui sera
effectue sur ces 79 sous-canaux.
La transmission de donnes se fait par lintermdiaire de sauts dun sous-canal un
autre. Sauts qui se produisent toutes les 300 ms selon un schma dfini de manire minimiser
le risque que deux expditeurs utilisent simultanment le mme sous-canal.
Lun des avantages du FHSS est de permettre le fonctionnement simultan de rseaux
dans une mme zone. Chaque rseau utilisant une des squences prdfinies sur une mme
cellule.
Lautre avantage est son immunit face aux interfrences du fait que le systme saute
toutes les 300 ms dun canal un autre sur la totalit de la bande. Si la frquence dun canal est
perturbe, le canal correspondant est inutilis temporairement.
Les techniques FHSS simplifient -- relativement -- la conception des liaisons radio,
mais elles sont limites un dbit de 2 Mbit/s, cette limitation rsultant essentiellement des
rglementations de la FCC (Federal communication Commission) qui restreignent la bande
passante des sous-canaux 1 MHz. Ces contraintes forcent les systmes FHSS staler sur
lensemble de la bande des 2,4 GHz, ce qui signifie que les sauts doivent tre frquents et
reprsentent en fin de compte une charge importante.
Le FHSS est galement utilis dans le Bluetooth mais les squences de sauts sont
diffrentes pour viter toutes interfrences entre le FHSS du Bluetooth et celui de 802.11
1.2.3.1.2 DSSS
La technique de signalisation en squence directe divise la bande des 2,4 GHz en 14
canaux de 20 MHz chacun. La transmission ne se faisant que sur un canal donn.
La largeur de la bande ISM tant de 83,5 MHz, il est impossible dy placer 14 canaux
adjacents de 20 MHz. Les canaux se recouvrent donc partiellement, seuls trois canaux sur les
14 tant entirement isols. Les donnes sont transmises intgralement sur lun de ces canaux
de 20 MHz, sans saut.
Le tableau suivant montre un espacement de 5 MHz entre les frquences crtes de
chaque canal dans un systme DSSS.
Canal
1
2
3
4

Frquence crte (en GHz)


2,412
2,417
2,422
2,427

Anne universitaire 2014/2015

28

Rapport de PFE : Scurit des rseaux sans fil


5
6
7
8
9
10
11
12
13
14

2,432
2,437
2,442
2,447
2,452
2,457
2,462
2,467
2,472
2,477

Tableau 5: espacement entre les frquences

Lutilisation dun seul canal pour la transmission rend le systme DSSS plus sensibles
aux interfrences. De plus pour permettre plusieurs rseaux dmettre sur la mme zone, il
faut allouer chacun deux des canaux qui ne se recouvrent pas.
Si la totalit de la bande ISM est utilise, alors 3 rseaux peuvent fonctionner en mme
temps sur une mme cellule.
Pour compenser le bruit gnr par un canal donn, on a recours la technique du
chipping. Chaque bit de donne de lutilisateur est converti en une srie de motifs de bits
redondants baptiss chips. La redondance inhrente chaque chip associe ltalement du
signal sur le canal de 20 MHz assure le contrle et la correction derreur : mme si une partie
du signal est endommage, il peut dans la plupart des cas tre rcupr, ce qui minimise les
demandes de retransmission.
La technique de modulation dtermine la vitesse de transmission. Pour cela deux
techniques sont employs.
*BPSK (Binary Phase Shift Keying): 1 Mbit/s
*QPSK (Quadrature Phase Shift Keying): 2 Mbit/s

1.2.3.1.3 La couche IR
La couche IR sappuie sur la lumire infrarouge dont la longueur donde est comprise
entre 850 et 959 nanomtres. La porte de linfrarouge est faible, les stations ne doivent pas
tre distantes de plus de 10 mtres
Deux dbits sont proposs pour la connexion infrarouge sont :
Le Basic Access Rate: 1 Mbits/s
Le Enhanced Access Rate: 2 Mbits/s
1.2.3.1.4 La couche Wi-Fi (802.11b)
Wi-Fi fonctionne dans la bande ISM et utilise le mme systme de canaux que le DSSS.
Le Wi-Fi emploie une meilleure technique de codage CCK (Complementary Code Keying) qui
a la principale proprit dtre plus facilement dtectable par le rcepteur.

Anne universitaire 2014/2015

29

Rapport de PFE : Scurit des rseaux sans fil


Le mcanisme de modulation QPSK permet datteindre des dbits de 5,5 11 Mbit/s.
Une des particularits de Wi-Fi est la variation dynamique du dbit (Variable Rate Shifting).
Ce mcanisme permet dajuster le dbit. En fait seules les techniques de codage et de
modulation sajustent en fonction des variations de lenvironnement radio.
Si lenvironnement est optimal, le dbit est de 11 Mbit/s. Ds que lenvironnement
commence se dgrader, pour cause dinterfrences, de rflexion, de porte matrielle,
dloignement du point daccs le dbit chute 5,5 Mbit/s, voire 2 ou mme 1 Mbit/s dans
le pire des cas. Une fois les problmes rsolus, le dbit remonte automatiquement
La porte dun rseau Wi-Fi varie selon lenvironnement, le dbit et la puissance mise
du signal.
Dbit Mbits/s
11
5
2
1

Porte lintrieur en mtre


50
75
100
150

Porte lextrieur en mtre


200
300
400
500

Tableau 6: porte d'un rseau Wi-Fi

1.2.3.1.5 La couche Wi-Fi 5(802.11a)


Wi-Fi 5 fonctionne dans la bande U-NII et nutilise pas les techniques talement de
bande mais lOFDM (Orthogonal Frequency Division Multiplexing) qui est une technique plus
performante.
LOFDM divise les deux premires sous-bandes de lU-NII en 8 canaux de 20 MHz
contenant chacun 52 sous-canaux de 300 KHz
La porte dun rseau Wi-Fi 5 varie selon lenvironnement, le dbit et la puissance
mise du signal.
1.2.3.1.6 La couche Wi-Fi 5(802.11g)
802.11g est la dernire couche physique apporte au standard 802.11.
Cette norme peut tre considre comme une extension Wi-Fi (802.11b) et Wi-Fi (802.11a).
802.11g utilise la bande ISM des 2.4GHz comme 802.11b
802.11g utilise galement la technique de transmission OFDM (dbit de 54 Mbit/s)
comme 802.11a
Dbit thorique Porte(en intrieur)
27 m
54 Mbits/s
29 m
48 Mbits/s
30 m
36 Mbits/s
42 m
24 Mbit/s
55 m
18 Mbit/s
64 m
12 Mbit/s

Porte ( l'extrieur)
75 m
100 m
120 m
140 m
180 m
250 m

Anne universitaire 2014/2015

30

Rapport de PFE : Scurit des rseaux sans fil


9 Mbit/s
6 Mbit/s

75 m
90 m

350 m
400 m

Tableau 7: comparaison dbit transmission et porte

1.2.3.2 La couche liaison de donnes


La couche de liaison de donnes de la norme
subdivise deux sous-couches :

IEEE 802.11 est essentiellement

Logical Link Control (LLC) s'occupe de la structure de la trame.


Medium Access Control (MAC) dfinit le protocole d'accs au support.
1.2.3.2.1 La sous-couche LLC
La couche LLC a t dfinie par le standard IEEE 802.2. Cette couche permet d'tablir
un lien logique entre la couche MAC et la couche de niveau 3 du modle OSI, la couche rseau.
Ce lien se fait par l'intermdiaire du Logical Service Access Point (LSAP).
La couche LLC fournit deux types de fonctionnalits :

un systme de contrle de flux;


un systme de reprise aprs erreur.

La trame LLC contient une adresse en en-tte ainsi qu'une zone de dtection d'erreur en
fin de trame: le Forward Error Correction (FEC).
Son rle principal rside dans son systme d'adressage logique, qui permet de masquer
aux couches hautes les informations provenant des couches basses. Cela permet de rendre
interoprables des rseaux compltement diffrents dans la conception de la couche physique
ou de la couche MAC possdant la couche LLC.
Il existe trois types de LLC dfinis :
LLC de type 1 : correspond un service en mode sans connexion sans acquittement de
donnes. Elle offre un service non fiable mais qui est largement rpandu actuellement.
LLC de type 2 : correspond un service en mode avec connexion avec acquittement de
donnes.
LLC de type 3 : correspond un service en mode sans connexion avec acquittement de
donnes.
La couche LLC dfinie en 802.11 utilise les mmes proprits que la couche LLC
802.2, et plus prcisment celles de la LLC de type 2. Ce qui autorise la compatibilit d'un
rseau 802.11 avec n'importe quel autre rseau IEEE 802 (comme Ethernet).

Anne universitaire 2014/2015

31

Rapport de PFE : Scurit des rseaux sans fil


1.2.3.2.2 La sous couche MAC
La sous-couche MAC ressemble beaucoup celle de la norme Ethernet (IEEE 802.3)
puisqu'elle assure la gestion d'accs de plusieurs stations un support partag dans lequel
chaque station coute le support avant d'mettre.
La norme IEEE 802.11 utilisant un support radio, sa couche MAC intgre la fois
d'anciennes fonctionnalits inhrentes la couche MAC, voire d'autres couches hautes du
modle OSI, mme si de nouvelles fonctionnalits ont t ajoutes.
La couche MAC fournit les fonctionnalits suivantes :

contrle d'accs au support;


adressage et formatage des trames;
contrle d'erreur permettant de contrler l'intgrit de la trame partir d'un (CRC);
fragmentation et rassemblage;
Qualit de service (QoS - Quality of Service);
gestion de l'nergie;
gestion de la mobilit;
scurit

1.2.4 Support daccs au mdia


Laccs au mdia est une partie dlicate de la gestion de protocoles de
tlcommunications et en particulier pour un rseau normalis 802.11. En effet, cette
normalisation impose des contraintes telles que la non-fiabilit dun mdia radio, les
interfrences lectromagntiques ou encore le fait que le rseau soit asynchrone. Cest donc la
couche liaison (couche 2 du modle OSI) de grer ces contraintes.
Gestion des collisions :
Contrairement un rseau cbl o il est ais de dtecter les collisions, il nexiste pas de
moyen de mesurer le mdia de transport lors dune connexion sans fil. Il nest donc pas
matriellement possible de se rendre compte dune collision dans un rseau non cbl.
La solution thorique ce problme est dutiliser la mthode daccs CSMA/CA.
CSMA signifie "Carrier Sense Multiple Access", cest dire "Accs un rseau multipoint
avec dtection de porteuse" et le sigle CA signifie "Collision Avoidance", ce qui donne en
franais "Evitement de Collision". Un rseau Ethernet utilise la mthode daccs CSMA/CD o
CSMA la mme signification que prcdemment et CD veut dire "Dtection de Collision". En
dautres termes, comme il nest pas possible de dtecter une collision sur un rseau sans fil
(contrairement un rseau Ethernet), il faut tre capable de lviter.
Donc la solution mise en place dans la norme 802.11 consiste rserver le mdia un
certain temps, puis dmettre les paquets. La station mettrice considre que les paquets ont
bien t reus seulement lorsque le destinataire renvoie un acquittement. Pour se faire deux
mcanismes sont donc mis en place. Le premier est lacquittement des trames de donnes par
une trame "ACK". Et le second est lutilisation du NAV, "Network Allocation Vector", qui
rserve le mdia temporellement pour lmission de lACK.
Anne universitaire 2014/2015

32

Rapport de PFE : Scurit des rseaux sans fil


En effet, lmetteur envoie les donnes sur le mdia et ensuite le vecteur dallocation
(NAV) rserve le rseau pour permettre au destinataire denvoyer le ACK. Chaque trame ACK
reue permet lautorisation de lenvoi dun nouveau message. Dans le cas o lmetteur du
message ne recevrait pas de trame ACK dans un dlai acceptable, il considre quune erreur est
survenue et renvoie le message.
Pour illustrer ce fonctionnement (voir schma ci-dessous), prenons lexemple de deux
stations A et B, A tant lmetteur et B le rcepteur. La station A envoie le trame, puis la fin
de cette trame le vecteur dallocation (NAV) rserve le mdia pour permettre la station B
denvoyer le ACK. Quand la trame ACK est totalement envoye le vecteur dallocation (NAV)
libre le mdia et ainsi indique aux autres stations que le rseau est "libre".

Figure 7: Detection de collision

Cette solution permet dacheminer la trame ACK sans encombre mais ne garantit rien
pour les trames de donnes.
Gestion du mdia :
Nous exposerons ici trois techniques utilises pour les transmissions de donnes sous la
norme 802.11. La premire de ses techniques est la fragmentation.
La fragmentation de trames
Cette technique nest presque plus utilise dans les rseaux Ethernet. Mais dans le cas de
rseaux 802.11, cette technique permet daugmenter la fiabilit des transmissions. En effet, le
fait de fragmenter une trame en plusieurs petites trames amliore lefficacit du rseau car une
petite trame moins de chances dtre endommage lors de la transmission quune trame plus
longue. La fragmentation est dautant plus utile lorsque lenvironnement radio est charg
dinterfrence. Cest pour cela que cette technique est paramtrable sur la plupart des
quipements WiFi.

Figure 8: exemple de fragmentation

Anne universitaire 2014/2015

33

Rapport de PFE : Scurit des rseaux sans fil


Le transport en dbit variable
La deuxime technique que nous allons aborder est celle du transport en dbit variable.
En effet, les quipements WiFi peuvent dialoguer sur des bases de dbits diffrents. Le dbit
est fonction de la qualit du signal radio reu et dtermin par des paramtres tels que la
distance avec le point daccs et les obstacles. Il existe donc une fonctionnalit de la norme
802.11 qui permet de transmettre malgr la modification de dbit.
Gestion des collisions de donnes
Et enfin, la troisime technique de gestion du mdia est une autre mthode permettant
dviter les collisions de donnes. Cette fonctionnalit est disponible sur les quipements
802.11 et rend une transmission radio plus sre mais rduit considrablement les performances.
Ci-dessous la description de cette mthode suivie dun schma :
Tout dabord, la station mettrice coute le rseau et vrifie sil est encombr. Si le
rseau est "libre", la station mettrice envoie un message RTS la station destinatrice (un autre
ordinateur ou un point daccs), sinon elle diffre la transmission. RTS signifie "Ready To
Send", ce message contient des informations sur les donnes envoyer (taille du message,
vitesse de transmission).
La station destinatrice rpond par un message CTS, "Clear To Send", qui donne
lautorisation lastation mettrice denvoyer ses donnes
Ensuite, lmetteur envoie donc les donnes. Pendant un temps estim grce la taille
des donnes et la vitesse de transmission, le vecteur dallocation rserve le mdia et empche
les autres stations dmettre.
Et enfin, le destinataire renvoie un "ACK" lmetteur pour le prvenir que la
transmission sest bien passe.
Pour illustrer cette technique, reprenons lexemple de deux stations, A tant metteur et B
rcepteur :

Figure 9:la trame est labri de toute collision contrairement une transmission sans trames RTS et CTS.

Les trames utilises


Le format des trames de la norme 802.11 se rapproche beaucoup du format de celles de
lEthernet (802.3). Nous allons voir ici comment est construite une trame pour un rseau WiFi.

Anne universitaire 2014/2015

34

Rapport de PFE : Scurit des rseaux sans fil


Format gnral dune trame 802.11
La trame dun rseau 802.11 est compose de trois champs principaux. Le premier est len-tte,
il contient des donnes telles que la destination ou le type de trame. Ensuite, il y a le corps de la
trame dpendant du type de la trame (prcis dans len-tte). Et enfin, la dernire partie de la
trame est une somme de contrle.

Figure 10:Schma dune trame 802.11


Dtails des champs
Vous trouvez le dtail des diffrents champs de la trame 802.11 dans les annexes
(Annexe 1)
Notons bien que les champs suivants sont optionnels :
adresse 3, 4
squence de contrle (Sequence Control)
Contenu de la trame (Frame Body)

Anne universitaire 2014/2015

35

Rapport de PFE : Scurit des rseaux sans fil

2. Les normes associes lIEEE 802.11


Plusieurs groupes visent lamlioration de la 802.11, dans ce rapport nous citrons 4
groupes sont :
2.1 IEEE 802.11 e : lamlioration de la qualit de service
Les amliorations apportes la qualit de service de la norme IEEE 802.11 concernent
la fois le mode daccs dcentralis DCF (Distributed Coordination Function) et le mode
daccs sans contention PCF (Point Coordination Function).
Dans le mode daccs dcentralis, les travaux techniques portent sur la mise en place
de diffrentes priorits daccs MAC, le mcanisme de base de laccs dcentralis, ou DCF,
tant nanmoins conserv.
Un nouveau mode daccs sans contention est ltude. Le mcanisme de base du
polling par le point daccs des stations associes est conserv, mais de nouveaux mcanismes
sont introduits. Un systme permet, par exemple, au point daccs dapporter une station
interroge par une trame CF-Poll un crneau de transmission protg des transmissions dune
dure maximale prdtermine. Lextension 802.11e envisage en outre un systme de
rservation permettant aux stations de rserver des crneaux de transmission auprs de leur
point daccs.
Lintroduction de ces mcanismes de qualit de service doit conduire de profondes
modifications du standard 802.11. Nous ne discutons pas ici toutes ces modifications, qui sont
encore ltat de propositions techniques, mais dcrivons les principes qui semblent tre
retenus pour apporter les nouvelles fonctionnalits de qualit de service.
Il est envisag de construire ces niveaux de priorit en utilisant des intertrames
variables. Plus lintertrame est courte, plus la priorit du paquet est forte. Nous aurons donc
plusieurs intertrames : AIFS [0] AIFS[1] AIFS[7].
La figure 10 illustre les diffrentes intertrames pressenties pour ce nouvel accs avec
priorit.

Figure 11: le mcanisme de priorit avec des intertrames diffrentes

Anne universitaire 2014/2015

36

Rapport de PFE : Scurit des rseaux sans fil


Pour quun paquet de priorit i puisse tre transmis, il est ncessaire quaprs la fin de
porteuse le mdium soit libre durant une priode correspondant lintertrame AIFS[ i ]. Aprs
cette intertrame, suivant un mcanisme similaire celui de laccs dcentralis de la norme
IEEE 802.11, une dure de back-off est dcrmente durant les priodes dinactivit du canal.
Laccs sans contention
Cet accs tant une variation du mcanisme PCF (Point Coordination Function) dIEEE
802.11, il peut tre utile pour comprendre les deux mcanismes ci_dessous
*Le mcanisme de priorit
Le groupe de travail IEEE 802.11e propose une nouvelle approche pour laccs sans
contention. Le point daccs doit pouvoir envoyer des trames de type CF-Poll la fois dans la
priode daccs sans contention et dans la priode daccs avec contention . Ces trames
fournissent la station interroge un crneau de transmission TxOp (Transmission
Opportunity). Dans ce crneau de transmission, la station peut envoyer des messages ayant des
contraintes de qualit de service.
Le crneau de transmission est accord pour une dure dtermine, prcise dans la
trame CF-Poll. La station interroge peut envoyer, dans la limite de temps indiqu par la trame
CF-Poll, un ou plusieurs de ses messages ayant des contraintes de qualit de service.

SIFS

PIFS

Crneau de transmission
donne par le CF-Poll
Fin de
CF-Poll
Transmission

DIFS

Temps
Dure maximale du crneau de

Figure 12: le mcanisme de priorit

La trame CF-Poll permet, grce au mcanisme du vecteur dallocation, dinterdire la


transmission durant le crneau de transmission. Dans le cas o tout le crneau de transmission
ne serait pas utilis par la station interroge, cette dernire peut annuler leffet du vecteur
dallocation en utilisant une trame CF-End.
* Le mcanisme de rservation
Lextension IEEE 802.11e envisage un mcanisme particulier pour quune station
puisse requrir son point daccs des crneaux de transmission, sans pour autant passer par le
mode daccs distribu DCF.
Le point daccs envoie une trame de contrle de contention CC (Contention Control).
La trame CC dfinit la position des trames de requte de rservation RR (Reservation Request),
spares entre elles par une intertrame courte IFS dans une trame virtuelle qui suit la trame CC.
Ces trames de requte de rservation peuvent tre utilises par les stations associes au point
daccs pour effectuer une requte de rservation. Pour une station souhaitant effectuer une
rservation, le choix de la position de sa trame de requte dans la trame virtuelle dfinie par la
trame CC est opr de faon probabiliste. Nous avons donc un type daccs qui sapparente
un systme de type aloha.

Anne universitaire 2014/2015

37

Rapport de PFE : Scurit des rseaux sans fil


Comme dans les mcanismes de contrle daccs que nous avons dj rencontrs, le
vecteur dallocation protge des collisions lintervalle ddi la transmission des trames de
requte de rservation.
2.2 IEEE 802.11g ou n : la modulation pour les trs hauts dbits
La norme 802.11g est adopte en 2003, elle permet datteindre des dbits thoriques de
lordre de 54Mbits/s. Ceci grce lutilisation du codage OFDM (Orthogonal Frequency
Division Multiplexing) plus performant que celui de la norme 802.11b. Lmission des donnes
se fait sur plusieurs frquences la fois. Il suffit alors que le signal dune des frquences
atteigne le rcepteur pour que la communication soit valide. Lune des limites du 802.11 b est
donc supprime .
Lavantage de cette norme hormis son dbit est le fait quelle utilise les mmes
frquences que la norme 802.11b (bande des 2,4Ghz). De ce fait la majorit des cartes
construites aujourdhui, propose une compatibilit avec la norme 802.11b. Mais attention la
compatibilit sur des cartes Wi-Fi (802.11b) a 11Mbits/s ne permet bien videmment pas un
dbit de 54Mbits/s.
Aprs quelques annes dattente, la norme 802.11n a t dfinitivement certifie. Les
dploiements de rseaux Wi-Fi en 802.11n (draft 2.0) version provisoire de la norme
commenaient devenir de plus en plus nombreux et de plus en plus ambitieux.
Le 802.11n ou la norme haut dbit ratifie en septembre 2009, permet datteindre un
dbit thorique allant jusqu 450 mbps. Cette norme repousse les limites en matire de
performances de ses prdcesseurs, 802.11bg et 802.11a limits 54 Mbit/s chacun. Le Wi-Fi
802.11n utilise uniquement les plages de frquences 2.4 GHz et 5 GHz. Ainsi, une borne WiFi 802.11n fonctionnant sur ces deux plages de frquences offre une bande passante potentielle
double c'est--dire 2 X 300 Mbit/s.
Les amliorations apportes par le 802.11n ne se limitent pas au dbit. La couverture
radio est galement plus soutenue grce une technique assurant une meilleure propagation du
signal.
Avec de telles performances, les ambitions dentreprises de faire disparaitre les fils dans
des immeubles entiers peuvent se concrtiser. Mais noublions pas deux points cruciaux. Le
premier est que pour profiter pleinement de ces nouvelles performances, les postes mobiles
doivent supporter la norme 802.11n (ou la 802.11n draft 2.0). Le second, le Wi-Fi prend toute
sa valeur dans le cadre dune alternative aux technologies filaires lorsque celles-ci sont mal
adaptes, typiquement dans le cas dapplications mobiles
2.3 IEEE802.11 f : les handover
Pour restituer la chronologie, le Wifi existe depuis 1999 et les premiers travaux sur la
norme 802.11f ont t commencs en fvrier 2003. Dans l'intervalle, les problmes lis au
roaming Wifi ont t reconnus, et comme souvent les solutions propritaires ont prcd
l'instauration de la norme.
L'IEEE a encadr de manire formelle la mise en uvre du roaming dans le Wifi pour la
norme 802.11f. Cette norme rpond un cahier des charges qui dfinit un certain nombre de
Anne universitaire 2014/2015

38

Rapport de PFE : Scurit des rseaux sans fil


contraintes techniques, un environnement matriel prcis, ainsi que deux prrequis logiciels
pour la ralisation du roaming.
Premirement, les contraintes sont les suivantes :
o Ouverture : Du fait de sa publication par l'IEEE, cette norme est ouverte,
librement consultable et librement implmentable.
o Interoprabilit multiconstructeurs : Un des buts de cette ouverture est de
pouvoir mlanger diffrents matriels et quipements et de permettre leurs totales cooprations,
c'est dire l'interoprabilit.
o Absence de point central : Il n'y a aucun management centralis. Il n'a pas t
choisi d'"lire" un AP pour le ddier un rle particulier comme fdrateur, ou centralisateur
d'informations comme cela peut-tre vu dans d'autres protocoles comme l'OSPF. Tous les AP
sont gaux en fonctions et possibilits.
o Indpendance du contenu : La norme dfinit un protocole de mise en forme
des donnes sur le lien physique, c'est dire au niveau de la couche liaison de donnes du
modle OSI. En tant que tel, le type de donnes transportes par 802.11f n'importe peu. Ainsi
peut circuler n'importe quel protocole de couche suprieure tels que IP, Appletalk, ou autre.
o Neutralit des stations : La norme 802.11f ne concerne que les points d'accs.
Sa mise en uvre suppose que les stations ne doivent subir aucune modification, ni logicielle,
ni matrielle.
Deuximement la norme 802.11f a t dfinie sur la base d'un rseau compos d'un ou
plusieurs points d'accs (AP), relis par un systme de distribution (DS) (gnralement Ethernet
ou Wifi), et des stations clientes. La norme permet aussi d'ajouter un ou plusieurs serveurs
RADIUS, qui permettent la fois de dtecter l'intrusion de "faux" point d'accs et d'assurer la
confidentialit des changes entre les points d'accs.
Troisimement, pour le bon fonctionnement de 802.11f il est ncessaire que les deux
conditions suivantes soient remplies:

D'une part 802.11f se base sur le fait qu'une station envoie une trame de rassociation
plutt que d'association lors de la connexion sur un nouvel AP. 802.11f ne travaillant
qu'au niveau AP, il lui faut savoir si la station se connecte sur le rseau pour la premire
fois ou s'il s'agit d'une station qui se dplace.
D'autre part, les AP doivent surveiller en permanence l'accs au systme de distribution.
En cas de perte de connectivit, ils doivent stopper globalement toute activit rseau en
attente du retour de la connectivite

2.4 IEEE 802.11i, ou les amliorations de la scurit


Le rle du groupe 802.11i est de dfinir des mcanismes supplmentaires pour
amliorer la scurit dun systme 802.11. Le chapitre 7 donne une analyse dtaille des
dfauts de la norme IEEE 802.11 concernant la scurit.
Pour remdier ces dfauts, le groupe IEEE 802.11i travaille dans les quatre directions
suivantes :
intgration du standard IEEE 802.1x, permettant de grer lauthentification et lchange de
cls dans un rseau IEEE 802.11 ;
gestion et cration de cls dynamiques partir dune cl initiale ;

Anne universitaire 2014/2015

39

Rapport de PFE : Scurit des rseaux sans fil


complmentation du WEP (Wired Equivalent Privacy) pour amliorer le contrle dintgrit
de chaque paquet et lutter contre les cls faibles de RC4 ;
utilisation dans la norme IEEE 802.11 du nouveau standard de cryptage AES(Advanced
Encryption Standard)
Lintgration du standard IEEE 802.1x 802.11 va permettre de profiter de mcanismes
dauthentification et de distribution de cls.
Le standard IEEE 802.11 de 1997 utilise des cls statiques. Lobtention dun bon niveau
de scurit passe par la gestion de cls dynamiques. Le groupe IEEE 802.11i propose donc des
mcanismes pour gnrer ces cls de faon intelligente.
Le groupe 802.11i travaille sur un nouveau protocole, TKIP, qui devrait fournir une
meilleure protection. Nanmoins, le groupe IEEE 802.11i semble considrer que TKIP nest
pas une solution compltement sre mais quelle permet de conserver larchitecture actuelle de
scurit dIEEE 802.11, tout en y apportant une amlioration. Lavantage de cette solution est
quon peut limplanter sur le matriel existant en changeant uniquement le logiciel de la carte
802.11 et du point daccs.
Pour offrir un trs bon niveau de scurit, le groupe IEEE 802.11i propose une variante
du systme de chiffrement AES (voir rfrence [AES]). Ce systme offre un chiffrement
beaucoup plus solide que le RC4 du WEP, ainsi quun systme de contrle dintgrit bien
suprieur.
La figure 13 illustre les diffrents chantiers concernant la scurit de la norme IEEE
802.11.

Figure 13: les chantiers de scurit de la 802.11

Anne universitaire 2014/2015

40

Rapport de PFE : Scurit des rseaux sans fil

Chapitre IV : Les standards de scurit dans les rseaux sans fils

1. Le protocole WEP
1.1 Dfinition
Le protocole WEP (Wired Equivalent Privacy) fait partie de la norme internationale
IEEE 802.11 ratifie en septembre 1999. Il est trs rpandu et implment dans un grand
nombre de cartes rseaux sans fil. Les rseaux sans fil diffusant les messages changs par
ondes radiolectriques, sont particulirement sensibles aux coutes clandestines
Le WEP prtend offrir une confidentialit comparable celle dun rseau local filaire
classique, cependant des faiblesses graves ont t identifies par les cryptologues ; do
provient le surnom Weak Encryption protocole
Malgr ses faiblesses, le WEP offre un niveau de scurit qui peut tre dcourageant
pour les attaquants moins expriments.
1.2 Le chiffrement WEP
1.2.1 Fonctionnement gnral
Le WEP est un protocole qui permet en thorie dviter le eavesdropping (coute
clandestine) en chiffrant les communications. Il peut tre utilis pendant la phase
dauthentification ou encore pour chacune des trames de donnes. Il repose sur lalgorithme
cl symtrique RC4. Le mcanisme de distribution des cls nest pas prcis. Elles doivent dont
tre saisis m nullement sur les stations et les AP.
Cest dans le champ de contrle FC (Frame Control) des trames de donnes et
dauthentification quest prcise lutilisation du chiffrement WEP. Le bit positionn
1signifie que le corps de la trame est chiffr en WEP.
Le chiffrement se dcompose en plusieurs phases :

La cration de la graine
La cration du keystream
Le calcul ICV
La constitution du message final et son enannuellement sur les stations et les AP.

a) Le vecteur dinitialisation:
Le vecteur dinitialisation (IV) est une squence de bits qui change rgulirement (
chaque trame envoye si limplmentation est bonne). Combin la cl statique, il introduit
une notion alatoire au chiffrement. Ainsi, deux messages identiques ne donneront pas le mme
contenu chiffr, puisque lIV est dynamique.
Anne universitaire 2014/2015

41

Rapport de PFE : Scurit des rseaux sans fil


La longueur du IV est de 24 bits, soit 224 valeurs possibles. Cela laisse penser que
lIV ne sera pas rutilis plusieurs fois.
Comme la cl, le IV doit tre connu la fois de lmetteur et du rcepteur. La solution
dun mcanisme de gnration automatique qui devrait tre prsent sur tous les quipements
na pas t retenue car elle est difficile mettre en place. Le IV est donc transport en clair
dans les trames.
NB : Certains systmes sophistiqus offrent des mcanismes de synchronisation qui drivent
des cls de faon automatique et sre.
b) Lalgorithme RC4 dans WEP:
En 1987, Ronald Rivest a dvelopp un algorithme de chiffrement par flux cl
symetrique appel RC4, il utilise diffrente taille de cl, il est la proprit de la RSA Security,
le RC4 est utilis dans de nombreuse applications, la plus connue est SSL(Secure Socket
Layer)
RC4 est extrmement rapide environ dix fois plus que le DES- et ne ncessite pas trop
de puissance de calcul, il est considr comme fiable mais une mauvaise implmentation peut
entrainer des failles. Cet algorithme reprend le principe du masque jetable (OTP One Time
Pad ). En effet, on gnre un flux de donnes de taille identique au flux de donnes claires et
on fait un XOR entre les deux, le dchiffrement se fait par XOR entre le chiffr et le mme flux
pseudo-alatoire.
Le procd mathmatique est n dun vide technique laiss par dautres procds de
chiffrement extrmement efficaces mais trs gourmands en puissance de calcul. Le gros
avantage de RC4 est quil fournit un niveau de scurit assez lev, tout en tant implantable de
faon logicielle, donc faible cot. RC4 est lun des protocoles de chiffrement les plus utiliss
dans le monde.
Deux tapes sont ncessaires pour lopration de chiffrement :
Linitialisation de la cl
La ralisation du cryptogramme (texte chiffr ou cyphertext)
1.2.2 Initialisation de la cl:
Sur les quipements wifi deux longueurs de cl WEP sont disponibles :
40 bits, soit 5 octets
104 bits, soit 13 octets
Parfois, les constructeurs misent en place des tailles de cl suprieures, et puisque ces
tailles ne sont pas normalises il est indispensable de veiller linteroprabilit des
quipements
La cl K est concatne lIV en position de poids faible gnralement. On trouve
parfois linverse. On notera par la suite : || loprateur de concatnation. On obtient alors une
cl de 64 bits (8 octets) ou 128 bits (16 octets) que lon appelle graine, germe, plaintext ou
encore seed : IV || K
Anne universitaire 2014/2015

42

Rapport de PFE : Scurit des rseaux sans fil


NB : Les constructeurs parlent souvent de cls de 64 bits ou de 128 bits. En ralit, la
taille effective de la cl est, comme nous lavons vu, de 40 bits ou 104 bits. Un mcanisme
utilisant des cls WEP de 232 bits est parfois disponible.
Cl dorigine :
Vecteur dinitialisation IV

Cl saisie manuellement

3 octets (24 bits)

5 ou 13 octets (40 ou 104 bits)

Une table de 256 octets est gnralement forme. Elle est initialise en reportant la
graine autant de fois que ncessaire. A partir de la mme cl, on obtient donc la mme table
lissue de la phase dinitialisation. On appellera ce tableau S (comme seed) par la suite.
Table initialise :

Cl dorigine

Cl dorigine

Cl dorigine

256 octets (2048 bits)


Par permutation et autres manipulations, les cellules sont ensuite mlanges. On
initialise une table dtats T (qui sera le masque appliqu sur le texte clair) avec T[i]=i pour
0ilongueur(T)-1. Ce procd porte le nom de Key Scheduling Algorithm (KSA) ou encore
module de mise la cl. A son issue, tous les lments de la table auront t permuts.
Lalgorithme KSA, pour une cl WEP K de taille t est : KSA(K,t)
/* S est dfini comme vu prcdemment.
S et T contiennent des nombres entre 0 et t (une fois convertis en base 10).
Les additions se font modulo t.
On va prendre ici t=256 (taille usuelle) : */
Pour i de 0 255 faire
T[i]=i
fin pour
y 0
pour x de 0 255 faire
y y + T[x] + S[x] (modulo 255)
T x] T[y]
Fin pour

Lentropie (mesure de lala) de cette technique est assez importante puisque lun des
indices ( savoir y ) est dduit de la valeur contenue dans la table qui est elle-mme en cours
de modification.

Anne universitaire 2014/2015

43

Rapport de PFE : Scurit des rseaux sans fil

Table alatoire rsultante:

256 octets (2048 bits)


Une fois la table T est mlange, on peut fabriquer des PRNs ou Pseudo Random
Numbers laide dun gnrateur PRGA ou Pseudo Random Generator Algorithm qui
fonctionne sur le mme principe que le module KSA mais sans faire appel la cl K.
La cl de chiffrement utilise est une squence de bits extraite de cette table partir du
PRGA. On appelle cette squence pseudo alatoire, suites-cl, masque ou encore keystream.
1.2.3 Obtention du keystream
Comme le temps de gnration de celle-ci est trs court, elle peut voluer en cours de
chiffrement, par exemple en utilisant un autre IV. Ainsi la cryptanalyse en recherche de cl
devient plus ardue.
1.2.4 Le contrle dintgrit
Un contrle de redondance cyclique (CRC Cyclic Redundancy Check) dans le cas d'un
code des trames MAC est prvu pour pallier les erreurs de transmission par ajout de
redondance. La redondance ajoute, communment appele somme de contrle
La Checksum, est obtenue par un type de hachage sur l'ensemble des donnes. Les
proprits du CRC sont telles que le niveau de scurit atteint est trs faible. Un pirate pourrait
en effet modifier le contenu de la trame et insrer le CRC correspondant.
En ralit le CRC a t initialement conu pour la dtection derreurs et non des tests
dintgrit. Ces derniers reposent sur des fonctions de hachage cryptographiques. Elles sont
construites pour rcuprer et satisfaire certaines proprits, par exemple : impossibilit de
reconstruire le hach lorsquon modifie le message. Pour cela, les fonctions sont gnralement
non linaires, ce qui nest pas le cas du CRC.
Le WEP prvoit un mcanisme nomm Integrity Check Value (ICV), destin contrler
lintgrit des trames WEP. Pour cela, un code quivalent au CRC32 est calcul. Il rsulte du
message en clair M et non du contenu chiffr. Le CRC32 correspond en fait au reste dans la
division en binaire du message par un diviseur fix lavance.
NB : Le CRC32 est parfois dsign sous lappellation de FCS (Frame Check Sequence).
Le rsultat du calcul dintgrit: ICV(M) est ensuite concatn au payload M :
M||ICV(M), puis chiffr avec la cl. La cl WEP est donc indispensable pour
linterprter.
La modification de la trame chiffre semble inconcevable sans la cl puisque le
rsultat de lICV changerait.

Anne universitaire 2014/2015

44

Rapport de PFE : Scurit des rseaux sans fil


1.2.5 La constitution du message final et son encapsulation
Il a t mathmatiquement dmontr par Claude Shannon dans les annes 40, quun
chiffrement nest fiable que si la longueur de la cl est au moins gale celle du message
chiffrer.
Dans le chiffrement RC4, chaque bit du texte clair est chiffr, en flux continu, par un bit
de la table. On ralise un XOR (OU exclusif ou addition modulo 2) bit bit entre lune des cls
alatoires, gnres prcdemment et le payload. Cette opration produit une suite alatoire non
exploitable par lattaquant.
NB : On oppose le chiffrement par flux au chiffrement par blocs (DES, AES,
Blowfish). Le chiffrement par flux permet de traiter des donnes de nimporte quelle
longueur sans rien dcouper.
Loprateur XOR est adquat pour employer le mcanisme de cl symtrique. La cl
pour chiffrer est ainsi la mme que celle pour dchiffrer puisquen lappliquant deux fois de
suite, on retrouve la valeur initiale.
Encapsulation dune trame chiffre
Vecteur
dinitialisation IV
(en clair)

3 octets (24 bits)

N de cl :
6 bits
rservs, 2
bits pour le
KeyID
1 octet

Donnes Chiffres

jusqu 2304 octets

ICV Chiffr

4 octets (32 bits)

La trame envoye contient un en-tte qui contient la nature de la trame et les adresses de
source et de destination, elle contient galement lIV en clair, lidentifiant de la cl(KeyID), le
message chiffr et lICV chiffr aussi.
.

Oprations de chiffrement et de dchiffrement (schma simplifi):

plaintext

cyphertext

XOR

XOR

keystream

Keystream

--------------------------

---------------------------

cyphertext

plaintext

Anne universitaire 2014/2015

45

Rapport de PFE : Scurit des rseaux sans fil

1.3 Le dchiffrement WEP


Dans une trame on a deux informations en clair : le KeyID et lIV. On rcupre la
graine en concatnant la cl WEP indique par le Key ID avec lIV qui se trouve en clair dans
la trame. On peut retrouver alors le keystream utilis pour le chiffrement.
On opre un XOR entre le cryptogramme et le keystream et on rcupre ainsi le payload
et le CRC. Prenons un message chiffr C, un plaintext P et une graine G, on a :
C + RC4(G) = (P + RC4(G)) + RC4(G) = P
On applique alors lalgorithme de contrle dintgrit et on peut ds lors comparer les
rsultats. Si les rsultats concident, la trame est accepte, sinon elle est rejete et supprime.
La probabilit quun contrle dintgrit se rvle positif alors que la cl utilise serait invalide
est considre comme nulle.
Oprations de chiffrement et de dchiffrement (schma complet):

Figure 14: chiffrement & dchiffrement

Anne universitaire 2014/2015

46

Rapport de PFE : Scurit des rseaux sans fil


1.4 La distribution des cls
La cl WEP utilise par le point daccs et tous ses clients est gnralement la mme sur
un WLAN donn. On parle de cl partage. Elle est statique contrairement lIV qui est
incrment de manire rgulire. Elle peut tre saisie sous forme hexadcimale ou sous forme
de caractres ASCII.
NB : Un caractre hexadcimal est cod sur 4 bits. Un caractre ASCII est cod sur un
octet.
Certains PA permettent de saisir une passphrase qui initialisera un gnrateur avec une
graine de 32 bits. A partir de l, le programme gnrera une ou plusieurs cls WEP en
hexadcimal. Dans ce cas, il faut conserver une copie de la cl fabrique puisque les procds
de gnration de cl dune marque lautre diffrent. Toutefois, ces gnrateurs sont biaiss
puisque la passphrase est compos uniquement de caractres taps au clavier, cest dire de
caractres ASCII dont le bit de poids fort sera toujours nul. Ainsi chaque octet de la graine
appartient lensemble {0x00, , 0x7F} et non {0x00, , 0xFF}. Lespace dcrivant la
graine du gnrateur alatoire va donc de 00 :00 :00 :00 7F :7F :7F :7F . En fonction du
gnrateur, dautres attaques sont possibles.
Lutilisation dune cl WEP de 104 bits est donc vivement recommande. Sa gnration
repose toujours sur une passphrase, mais cette fois, la fonction MD5 (Message Digest #5) est
utilise et seuls les 104 premiers bits de la sortie sont conservs
La cl WEP se stocke sur un quipement mobile, la raison pour laquelle il est
recommand de la changer rgulirement. En effet, celle-ci peut tre retrouve ou divulgue.
Cela ncessite la ressaisie des informations sur toutes les entits qui communiquent en chiffr
sur le WLAN. On spcifie alors dans la trame, le numro de la cl utilise. Ces manipulations
sont contraignantes quand le rseau est de grande taille.
Certains constructeurs proposent dintroduire plusieurs cls en indiquant simplement
lidentifiant de la cl actuellement utilise pour faciliter la gestion. Autrement dit,
ladministrateur peut configurer les diffrents nuds du rseau avec un ensemble de plusieurs
cls en indiquant la cl en cours dutilisation. C'est un complment de protection que ne vaut
que si la cl active est souvent change, et de faon alatoire, autant que possible. Mais cette
procdure de changement de cl active reste manuelle et doit tre excute sur tous les nuds
du rseau.
Il existe deux types de cl WEP. Une cl dite commune et qui sert pour lensemble des
communications au sein de linfrastructure ; et une cl individuelle qui permet de minimiser
lemploi de premire dans les communications de type unicast depuis les stations vers les PA
Un quipement permet de stocker plusieurs cls. Une seule cl (par station) sert pour le
chiffrement, on lappelle la cl active. Les autres servent au dchiffrement des trames reues.
LAP doit connatre toutes les cls actives si les stations nemploient pas les mmes.
Les trafics de type multicast ou broadcast sont gnralement mis par les AP. Une cl
commune doit dont tre connue sur tous les quipements.

Anne universitaire 2014/2015

47

Rapport de PFE : Scurit des rseaux sans fil


1.5 WEP et authentification:
Le WEP intervient dans deux solutions dauthentification offertes par la norme 802.11.
La premire sappelle Open System Authentification. Elle est utilise par dfaut et se
droule en deux tapes. Un des parties envoie une trame dite de gestion, de sous-type
authentification prcisant le n dalgorithme souhait (ici ce sera 0). En retour, il lui est fourni
une rponse positive ou ngative dans une trame de mme type. Cette mthode ne ncessite
aucun pr-requis et peut-tre considre comme une authentification nulle. Elle est utilise pour
mettre en place des points daccs publics
Si le WEP est utilis, le corps de la trame est chiffr. Il est alors ncessaire que la cl
utilise par lAP et le client soit la mme.

1.5.1 Processus dauthentification ouverte


Requte dauthentification
Squence n1 Algorithme 0 Open System

Rponse dauthentification
Squence n2 Algorithme 0 Open System

La seconde sintitule Shared Key Authentification. Elle ncessite la possession dune


cl de chiffrement partage par les 2 entits. Lobjectif est de vrifier que lautre entit dispose
la mme cl de chiffrement. Aucun change de cl na lieu durant le processus. Un programme
nomm WEP Pseudo-Random umber Generation (PRG) produit une suite de 128 octets
alatoires qui constitue ce que lon appelle un texte de dfi ou challenge .On sassure alors que
la station est capable de chiffrer la squence de probation qui lui est soumise. On se retrouve en
fait dans ce que lon appelle en cryptographie une situation de preuve divulgation nulle de
connaissance (ZKIP pour Zero Knowledge Interactive proof).
Le processus dauthentification (entre des entits A et B) se droule alors en 4 tapes o
4 trames sont changes. La 1re trame indique le mode dauthentification souhait par A.
Dans le cas o B ne serait pas configur pour ce mode, le processus sarrte. Sinon B met une
seconde trame dans lequel se trouve le challenge en clair. A doit alors rpondre en chiffrant le
challenge avec sa cl WEP. B dchiffre la trame envoye par A et compare le rsultat avec le
challenge. Sils sont identiques, B confirme A lauthentification dans une dernire trame.

Anne universitaire 2014/2015

48

Rapport de PFE : Scurit des rseaux sans fil


1.5.2 Processus dauthentification cl partage
Squence 1, Algorithme 1, Shared Key
Demande dauthentification
Squence 2, Algorithme 1, Shared Key
Envoi dun challenge en clair

Squence 3, Algorithme 1, Shared Key


Renvoi du challenge chiffr

Squence 4, Algorithme 1, Shared Key


Validation ou non de lauthentification

2. Le protocole 802.1x
Afin de pallier au manque de scurit du standard 802.11, l'IEEE propose le standard
802.1 x comme base pour le contrle d'accs, l'authentification et la gestion de cls. La mission
du 802.1x est de bloquer le flux de donnes d'un utilisateur non authentifi, c'est- dire de
permettre une authentification lors de l'accs au rseau et donc un contrle d'accs aux
ressources.
2.1 Architecture du 802.lx
Le standard 802.lx utilise un modle qui s'appuie sur trois entits fonctionnelles :
Le systme authentifier : c'est un client demandant un accs au rseau. Dans le
contexte des rseaux Wi-Fi, le systme authentifier n'est autre que le client 802.11.
Le certificateur : c'est l'unit qui contrle et fournit la connexion au rseau. Un port
contrl par cette unit peut avoir deux tats : non autoris ou autoris. Lorsque le client n'est
pas authentifi, le port est dans l'tat non autoris et seulement le trafic ncessaire
1'authentification est permis entre le terminal et le certificateur. Le certificateur transmet la
requte d'authentification au serveur d'authentification en utilisant le protocole EAP. Les autres
paquets sont bloqus lorsque le port se trouve dans l'tat non autoris. la fin de ces changes,
le certificateur analyse le message notifiant l'chec ou le succs de la procdure et filtre les
trames de la station Wi-Fi en fonction du rsultat. Dans les rseaux Wi-Fi, c'est le point d'accs
qui joue le rle de certificateur.
Le serveur d'authentification : il ralise la procdure d'authentification avec le
certificateur, et valide ou rejette la demande d'accs. Durant cette phase, le certificateur (le
Anne universitaire 2014/2015

49

Rapport de PFE : Scurit des rseaux sans fil


point d'accs) n'interprte pas le dialogue entre le serveur et le terminal. Il agit comme un
simple relais passif. Si la requte d'accs est valide par le serveur, le port est commut dans
l'tat autoris et le client est autoris avoir un accs complet au rseau. Gnralement, le
serveur d'authentification utilis dans les rseaux Wi-Fi est un serveur RADIUS.
2.2 Les mthodes d'authentification du 802.lx
Le protocole EAP n'est pas un protocole d'authentification en soit, mais constitue une
enveloppe gnrique pour l'encapsulation de plusieurs mthodes d'authentification. Notons
quEAP offre deux avantages majeurs par rapport la scurit 802.11 de base avec WEP :
Le premier est la gestion et la distribution centralises des cls de cryptage. Mme si la
mise en oeuvre WEP de RC4 tait sans faille, la distribution des cls statiques tous les points
d'accs et tous les clients du rseau constituerait encore une srieuse pnalit administrative.
Le second avantage est la possib ilit de dfinir un contrle centralis des politiques
d'accs avec des dlais d'expiration de session entranant une nouvelle authentification et la
gnration de nouvelles cls.
Le protocole EAP est utilis avec 802.IX d'une manire transparente entre la station
sans fil et le serveur d'authentification au travers du point d'accs. Cependant, 802.IX ncessite
la coopration entre un serveur d'authentification et une mthode d'authentification.
La mthode d'authentification est une couche situe au-dessus d'EAP qui dfinit des
mcanismes de scurit et de distribution de cls. Nanmoins, 802.11 n'a pas prcis la faon
d'implmenter EAP avec 802.1X [7]. Pour cette raison, nous retrouvons une profusion de
mthodes d'authentification et plusieurs couches sont dfinies au-dessus dEAP. Parmi les
mthodes d'authentification les plus fiables, nous trouvons EAP-TLS, EAP-TTLS, LEAP et
PEAP. Chacune de ces mthodes d'authentification prsente des avantages et des inconvnients
et diffre des autres par divers aspects. Pour laborer une tude comparative, nous avons tenu
compte des critres suivants :

Authentification mutuelle;
Utilisation de certificats;
Distribution dynamique de cls;
Risques de scurit.

Toutes les mthodes tudies assurent une authentification mutuelle entre le client et le
serveur (bien que parfois optionnelle), ainsi qu'une distribution dynamique des cls. Toutefois,
elles prsentent des diffrences de fonctionnement. En effet, certaines mthodes font appel
des certificats et d'autres pas. De plus, 1 'authentification du serveur par le client est optionnelle
dans certaines mthodes.
Il est vrai que les mthodes d'authentification utilisant les certificats prsentent de
meilleures garanties de scurit, sauf que cet avantage s'accompagne d'un inconvnient qui
consiste en la lourdeur d'un tel mcanisme, surtout dans un contexte de rseau Wi-Fi, o le
support est partag. Les mthodes d'authentification faisant appel des certificats exigent le
dploiement d'une infrastructure cl publique. Cette infrastructure ne peut pas tre dploye
dans plusieurs types d'entreprises. En effet, elle ncessite la distribution des certificats aux

Anne universitaire 2014/2015

50

Rapport de PFE : Scurit des rseaux sans fil


clients et la rvocation de ceux qui ne sont plus valides. En plus, elle entrane un surplus
important en terme de gestion et de ressources machines et humaines.
Par ailleurs, comme nous pouvons le remarquer, toutes les mthodes d'authentification
sont sensibles des attaques plus ou moins grave. Ceci pourrait nous amener admettre que
l'on ne pourrait pas se contenter d'une mthode d'authentification pour assurer la scurit des
changes entre le client et le serveur d'authentification dans un rseau sans fil, mais qu'il
faudrait ajouter d'autres mcanismes pour pallier ces faiblesses .

3. Le protocole WPA
3.1 Dfinition
Le protocole Wi-Fi Protected Access est une mthode de cryptage pour les rseaux
locaux sans fil, il est choisi par les fabricants du matriels dans le but de protger les
utilisateurs contre les risques de piratage sans fil, il a substitu le WEP qui est jug insuffisant.
Le WPA a t considr comme une solution provisoire en attendant ladoption de la nouvelle
norme de scurit 802.11i tout en respectant la majorit de ses normes, il est conu pour
fonctionner aprs la mise jour de ses micro-logiciel avec toutes les cartes rseau mais pas
forcment les premires gnrations.
NB : WPA fonctionne avec toutes les normes Wi-Fi actuelles : 802.11a, 802.11b, 802.11g et
802.11i.
Ce mcanisme fournis une bonne scurit, si on respecte deux points importants :
Lutilisateur doit encore souvent faire le choix explicite d'activer WPA ou
WPA2 pour remplacer le WEP, qui est habituellement le choix de chiffrement par dfaut sur
la plupart des quipements ;
lorsque le mode WPA personnel est utilis, ce qui est le choix le plus
probable pour les individuels et les PME, une phrase secrte plus longue que les classiques
mots de passe de 6 8 caractres utiliss par les utilisateurs est ncessaire pour assurer une
scurit complte.
3.2 Classification WPA
On peut classer les technologies WPA selon trois axes : la version (dans l'ordre
chronologique), le groupe d'utilisateurs viss (en termes de simplicit de la distribution de la cl
d'authentification), ou le protocole de chiffrement (des donnes elles-mmes) utilis :
Selon la version :
WPA : la version initiale de WPA, qui amliore la scurit offerte par l'ancien
protocole WEP.
WPA : utilise en gnral le protocole de chiffrement TKIP
WPA2 : galement connu sous le nom IEEE 802.11i-2004, ce successeur de WPA
remplace le chiffrement TKIP par CCMP pour plus de scurit. La compatibilit
WPA2 est obligatoire pour les quipements certifis Wi-Fi depuis 2006.

Anne universitaire 2014/2015

51

Rapport de PFE : Scurit des rseaux sans fil


selon l'utilisateur vis :
WPA personnel (WPA-Personal) : connu galement sous le nom de mode secret
partag ou WPA-PSK (Pre-shared key), WPA personnel est conu pour les rseaux personnels
ou de petites entreprises, car il n'y a pas besoin d'utiliser un serveur d'authentification. Chaque
quipement du rseau sans fil s'authentifie auprs du point d'accs en utilisant la mme cl sur
256 bits.
WPA entreprise (WPA-Enterprise) : connu galement sous le nom de mode WPA802.1X ou WPA-EAP, WPA entreprise est conu pour les rseaux d'entreprise et demande ce
que l'on installe un serveur d'authentification RADIUS. C'est plus compliqu mettre en place,
mais offre plus de scurit, car cette mthode ne repose pas sur des phrases secrtes,
vulnrables aux attaques par dictionnaire. Le protocole EAP (Extensible Authentication
Protocol) est utilis pour l'authentification. EAP existe en plusieurs variantes, dont EAP-TLS,
EAP-TTLS et EAP-SIM.
selon le protocole de chiffrement :

TKIP (Temporal Key Integrity Protocol) : une cl de 128 bits est utilise pour chaque
paquet. On gnre une nouvelle cl pour chaque paquet. TKIP est utilis par WPA.
CCMP : un mcanisme de chiffrement qui s'appuie sur AES et qui est plus fort que
TKIP. On fait parfois rfrence cette mthode de chiffrement sous le nom d'AES
plutt que sous le nom de CCMP. CCMP est utilis par WPA2.

NB : Le WPA (dans sa premire mouture) ne supporte que les rseaux en mode infrastructure,
ce qui signifie qu'il ne permet pas de scuriser des rseaux sans fil d'gal gal (mode ad hoc)
3.3 Le protocole TKIP
3.3.1 Dfinition
Temporal Key Integrity Protocol (TKIP) est un protocole de scurit du rseau sans fil
de l'Institut des ingnieurs lectriciens et lectroniciens (IEEE) 802.11. Chiffrement TKIP est
plus robuste que Wired Equivalent Privacy (WEP), qui tait le premier protocole de scurit
Wi-Fi.
3.3.2 Le processus dencapsulation TKIP
Avec TKIP, l'objectif principal est de rsoudre les problmes avec WEP et de travailler
avec un matriel hrit; par consquent, le mcanisme de cryptage de base est encore RC4, le
mme que WEP.
TKIP est une suite de chiffrement qui inclut des algorithmes de mlange cls et un
compteur de paquets pour protger les cls. Il comprend galement l'algorithme Michael
Message Integrity Check (MIC) qui, avec le compteur de paquets, peuvent empcher la
modification de paquets et de l'insertion. Figure 4-6 illustre le processus d'encapsulation de
TKIP

Anne universitaire 2014/2015

52

Rapport de PFE : Scurit des rseaux sans fil

Figure 15: Encapsulation TKIP

4. Le protocole WPA2
3.1 Dfinition
WPA2 est la version de la norme IEEE 802.11i certifie par la Wi-Fi Alliance. WPA2
inclut tous les lments obligatoires de la norme 802.11i. En particulier, la norme WPA2
impose le support d'un chiffrement bas sur AES. Ce protocole, CCMP, est considr comme
compltement scuris : en mai 2004, le NIST (National Institute of Standards and
Technology) l'a approuv.
3.2 La scurit dans le mode PSK
Le mode pre-shared key (PSK, aussi connu comme Personal mode) a t conu pour les
rseaux individuels ou de PME qui ne peuvent se permettre le cot et la complexit d'une
solution utilisant un serveur d'identification 802.1X. Chaque utilisateur doit saisir une phrase
secrte pour accder au rseau. La phrase secrte peut contenir de 8 63 caractres ASCII ou
64 symboles hexadcimaux (256 bits). Si une phrase secrte sous forme de caractres ASCII
est utilise, elle sera au pralable convertie vers une cl de 256 bits que l'on nomme Pairwise
Master Key ou PMK en appliquant une fonction de drivation de cl PBKDF2 qui utilise le
SSID comme sel et 4096 itrations de HMAC- SHA1.
Utiliser une suite alatoire de caractres hexadcimaux reste plus sr (en effet, une
passphrase reste, toutes proportions gardes, sujette une attaque par dictionnaire), mais la cl
est alors plus difficile crire et retenir. La plupart des systmes d'exploitation permettent
l'utilisateur de stocker la phrase secrte sur l'ordinateur (en rgle gnrale sous forme de PMK)
afin de ne pas avoir la saisir nouveau. La phrase secrte doit rester stocke dans le point
d'accs Wi-Fi.
Cependant, les phrases secrtes que les utilisateurs ont l'habitude d'utiliser rendent le
systme vulnrable aux attaques par force brute sur les mots de passe. Des programmes
ralisant ce type d'attaque sur des systmes WPA-PSK ou WPA2-PSK sont disponibles sur
Internet, c'est le cas de WPA Cracker. De plus, le temps ncessaire pour raliser une attaque
peut tre rduit par un facteur 20 et plus grce l'utilisation de technologies telles que CUDA

Anne universitaire 2014/2015

53

Rapport de PFE : Scurit des rseaux sans fil


ou OpenCL tirant partie de la puissance de traitement massivement parallle des cartes
graphiques actuelles, en utilisant par exemple l'outil pyrit.
Ces attaques peuvent tre contrecarres en utilisant conjointement WPA et WPA2
un secret d'au moins 5 mots gnrs par la mthode Diceware ou 14 caractres compltement
alatoires. Pour une scurit maximum, 8 mots gnrs par la mthode Diceware ou 22
caractres alatoires devraient tre utiliss. Les phrases secrtes devraient, de plus, tre
changes ds qu'une personne ayant un accs au rseau n'est plus autorise l'utiliser ou bien
ds qu'un quipement connect au rseau est perdu ou compromis.
Certains constructeurs ont tent d'viter l'emploi par les utilisateurs de phrases secrtes
faibles en fournissant une procdure permettant de gnrer et de distribuer des cls robustes.
Cette procdure est accessible par le biais d'une interface logicielle ou matrielle utilisant un
mcanisme externe pour ajouter un adaptateur Wi-Fi un rseau. Ces mcanismes incluent la
pression d'un bouton (pour Broadcom Secure EasySetup et Buffalo AirStation One-Touch
Secure Setup) et la saisie logicielle d'un challenge (pour Atheros JumpStart)
3.3 Le protocole CCMP
3.3.1

Dfinition

Dans 802.11i, le chiffrement est pris en charge par des algorithmes bass sur AES.
Associ aux algorithmes de contrle d'intgrit, cet ensemble porte le nom de CCMP.
Contrairement ce qui se passait avant, la somme d'intgrit est calcule la vole, en mme
temps que la trame est crypte par AES. AES est un algorithme itratif de chiffrement de type
symtrique. AES a comme avantages d'tre la fois simple et rapide calculer tout en
ncessitant des ressources faibles, et flexible au niveau de son implmentation. Ce chiffrement
pourra rsister aux attaques par cryptanalyse ainsi qu' celles par dictionnaire
Counter-Mode/CBC-Mac protocol a substitu le TKIP qui est utilis dans le WPA.
Jusquau 2010 ce protocole est considr comme sr puisque aucune faille nest dcouverte.
3.3.2

Fonctionnement gnral

Le protocole utilise le chiffrement par bloc AES dans un mode d'opration de type
"compteur" coupl code d'authentification MAC (CBC-MAC). Le compteur sert assurer un
chiffrement sr en vitant d'avoir un vecteur d'initialisation identique pour chaque message
alors que le code d'authentification permet de vrifier que le message n'a pas t altr.
La spcification de CCM prvoit un chiffrement utilisant des blocs de 128 bits. Deux
paramtres doivent tre dfinis :
M, soit la taille du champ destin recevoir le code d'authentification. Des multiples de
2 octets (entre 4 et 16 octets) sont les valeurs autorises. Le choix de la longueur dpend de la
rsistance dsire contre les attaques et la longueur du message final.
L, la longueur du champ destin recevoir la taille du message. La valeur est comprise
entre 2 et 8 octets et doit tre adapte en fonction de M.

Anne universitaire 2014/2015

54

Rapport de PFE : Scurit des rseaux sans fil


Le compteur (Packet number) passe 48 bits, soit le double des 24 bits prsents dans le
WEP. L'espace du vecteur d'initialisation est donc considrablement augment. Des cls
temporaires de 128 bits sont extraites automatiquement de la cl principale et d'autres valeurs.
3.3.3

Authentification

La premire tape consiste gnrer un code d'authentification pour le paquet 802.11.


Ce code, le MIC (message integrity code) est produit avec les tapes suivantes qui hachent le
message selon une cl d'authentification :
1. chiffrer un premier bloc de donnes de 128 bits avec AES grce une cl
d'authentification
2. faire un XOR entre ce rsultat et les 128 bits suivants de donnes
3. chiffrer ce nouveau rsultat avec AES (toujours avec la mme cl d'authentification)
4. faire un XOR entre ce rsultat et les 128 bits suivants de donnes
3.3.4

Chiffrement

L'en-tte du paquet CCMP contient la valeur initiale du compteur (128 bits) utilis pour
le mode d'opration. Le chiffrement se fait bloc par bloc selon la procdure suivante :
1. chiffrer la valeur initiale du compteur avec AES et la cl de chiffrement
2. procder un XOR entre ce compteur chiffr et les 128 bits de donnes, on obtient le
premier bloc chiffr
3. incrmenter le compteur et le chiffrer avec AES (toujours avec la mme cl)
4. procder un XOR entre ce compteur chiffr et les 128 bits suivants de donnes, on
obtient un autre bloc chiffr
On continue avec les deux dernires tapes jusqu' avoir trait tous les blocs. Pour le
dernier bloc, on conserve le rsultat d'un XOR entre le compteur et les derniers bits de donnes
AES se sert pour le chiffrement de la cl de session PTK de faon rtroactive. Le calcul
de la PPK qui tait effectu dans WPA n'est plus ncessaire car AES fonctionne par
chiffrements de blocs en gardant la mme cl tout au long de la session. Le chiffrement par
AES se fait en suivant une squence de n oprations partir de la PTK. La valeur de n sera le
nombre de blocs chiffrer. Le schma de la page qui suit explique le chiffrement AES.

Anne universitaire 2014/2015

55

Rapport de PFE : Scurit des rseaux sans fil

Figure 16: chiffrement AES

Pour la dtection d'erreur, on utilise CCM6.4. CBC-MAC6.5 est utilis pour calculer le
MIC sur l'en-tte du texte clair, le prfixe de longueur du texte clair et le champ de donnes.
CCMP utilise CCM pour encrypter les donnes et protger les champs choisis de l'en-tte
contre toute modification.
Le MIC utilise toujours AEC CBC-MAC, initialis par l'E-IV (de 48 bits) sur la totalit
de la trame en se servant de la mme cl que pour le chiffrement. Les 64 bits issus du calcul du
MIC sont concatns aux donnes; le tout est alors chiffr par AES (cf. FIG. ). Ainsi, le
dernier bloc chiffr sera le MIC.

Anne universitaire 2014/2015

56

Rapport de PFE : Scurit des rseaux sans fil

Chapitre V : Analyse des failles et des attaques dans les


rseaux WI-FI au sein de lONDA
Dans ce chapitre, nous prsentons une tude dtaille des vulnrabilits des protocoles
de scurit que nous avons passs en revue au chapitre prcdent. Ainsi, ce chapitre se
concentre sur les faiblesses de chaque protocole et les types d'attaques qu'il est possible de
monter en tirant profit de ces vulnrabilits.
Nous dtaillons les attaques relatives chaque protocole de scurit Wi-Fi. Nous
prsentons galement un ventail d'outils d'attaques disponibles avec leurs diverses
fonctionnalits et exposons les dmarches adoptes afin de mettre en uvre ces attaques. Ce
chapitre constitue notre premire contribution en avanant une vue d'ensemble originale des
attaques contre les rseaux Wi-Fi.

1. Faiblesses et contournements des mcanismes prliminaires de


scurit
Avant d'aborder les failles de scurit des protocoles que nous avons prsents au
chapitre 3 (WEP, 802. l x, ...), nous prsentons dans cette section la premire ligne de dfense
prliminaire des rseaux Wi-Fi, tel que lutilisation d'ESSID ferms, le filtrage par adresse
MAC, ainsi que le filtrage par protocoles.
1.1 Utilisation d'ESSID ferms
Afin d'accder tout rseau Wi-Fi, il est ncessaire de connatre son identifiant, c'est
dire son ESSID. Au dbut du dveloppement des rseaux Wi-Fi, l'ESSID tait transmis en clair
priodiquement par le point d'accs dans des trames balises (beacon frames). De cette faon, il
tait trs facile de s'associer avec n'importe quel rseau Wi-Fi, en rcuprant I'ESSID l'aide
d'un renifleur (sniffer) qui permet de rcuprer tout le trafic rseau quicircule. De nombreux
outils de surveillance et d'analyse de trafic pour les rseaux sontdisponibles sur Internet. Parmi
les plus clbres, citons Kismet, AirTraf, Mogne etWifiScanner .
Afin de parer cette faiblesse, une nouvelle fonctionnalit a t mise en place. Elle
permet d' viter que I'ESSID ne soit transmis en clair sur le rseau. Ce mcanisme, appel
Closed Network, ou rseau ferm, interdit la transmission de I'ESSID par l'intermdiaire de
trames balises [6] . Ainsi, pour s'associer un rseau Wi-Fi implmentant un ESSID ferm, il
est indispensable d'entrer I'ESSID la main. Toutefois, mme avec la mise en place d'un tel
mcanisme, I'ESSID est transmis quand mme en clair durant la phase d'association d'un client
lgitime son point d' accs. Ainsi, pour contourner ce mcanisme de dfense prliminaire, il
suffit d'couter le trafic rseau durant la phase d'association d' un client lgitime et de rcuprer
I'ESSID en clair.
Outre cette vulnrabilit, I'ESSID est prconfigur par dfaut sur les quipements parles
constructeurs de matriels. Par exemple, l'ESSID par dfaut est WLAN pour les quipements
Dlink, Linksys pour les points d'accs Linksys, Tsunami pour les quipements Cisco, etc.

Anne universitaire 2014/2015

57

Rapport de PFE : Scurit des rseaux sans fil


Cet ESSID par dfaut est trs rarement modifi par les utilisateurs. Ainsi, il suffit de
connatre la marque du point d'accs pour accder au rseau en utilisant I'ESSID par dfaut.
Pour trouver la marque du point d'accs, il suffit de lire les trois premiers octets de l' adresse
MAC du point d'accs cible (les trois premiers octets de toute adresse MAC sont toujours
rservs la marque de l'quipement).
1.2 Filtrage par adresse MAC
Outre l'utilisation de I'ESSID ferm, les points d'accs permettent d'tablir un filtrage
par adresse MAC, ou encore des listes de contrle d'accs (ACL). Ainsi, le point d'accs
autorise uniquement les stations ayant une adresse MAC qui figure dans la liste ACL.
La premire vulnrabilit de ce filtrage est qu'il s'agit d'un mcanisme optionnel,
rarement activ dans les faits. Outre cette vulnrabilit, le filtrage par adresse MAC peut tre
facilement contourn, en usurpant l'adresse MAC d'un hte lgitime du rseau cible. En effet, il
suffit un attaquant d'couter le trafic du rseau cible et d'identifier les adresses MAC des
htes lgitimes, car elles transitent en clair. Une fois qu'un client cible est identifi par
l'attaquant, il suffit alors d'usurper son adresse MAC (quasiment toutes les cartes sans fil
permettent le changement d'adresses MAC) et de s'associer au point d'accs.
Avant de pouvoir s'associer au point d'accs, il faut soit attendre que le client lgitime se
dconnecte du rseau, soit l'obliger le quitter. Pour obliger un client lgitime se dsassocier
du rseau auquel il est rattach, il suffit d'usurper l'adresse MAC du point d'accs et inonder le
client victime de trames de dsassociation. Une fois le client lgitime dsassoci, il est possible
de s'associer au rseau sa place sans problmes.
Pour raliser en pratique cette attaque, l'attaquant doit de se doter de deux cartes rseaux
sans fil. La premire servira maintenir l'attaque DoS sur le client lgitime en le bombardant
de trames de dsassociation, la seconde interface permet d'usurper l'adresse MAC du client
lgitime et de s'associer avec le point d'accs. Pour raliser l'attaque DoS sur le client cible,
l'attaquant peut utiliser des outils tels que Wlan_jack ou File2air sous Linux.
1.3 Filtrage par protocoles
Outre le mcanisme d'ESSID ferms et le filtrage par adresse MAC, le filtrage par
protocoles constitue un des lments de la premire ligne de dfense prliminaire des rseaux
Wi-Fi. En effet, ce mcanisme consiste n'autoriser qu'un ensemble bien dfini de protocoles
sur le rseau.
Certes, il est vrai que le contournement de ce type de filtrage est plus difficile raliser
que les filtrages prcdents. Toutefois, trs peu d'quipements sur le march permettent la
mise en uvre d'un tel mcanisme de filtrage. En fait, il s'agit d'quipements haut de gamme
trs coteux, destins un usage trs spcifique dans lesquels 1 'activit de l'utilisateur est
limite un ensemble d'oprations bien dfinies l'avance tel que la navigation via HTTPS sur
un site d'entreprise ou l'envoi de courriels, avec une application de courriel bien particulire.
Bref, trs peu d'quipements permettant la mise en oeuvre d'un tel mcanisme de filtrage sont
effectivement dploys.
Les attaques contre les rseaux implmentant ce mcanisme de filtrage sont diriges
contre le protocole de scurit autoris lui-mme. En effet, si les concepteurs du rseau ont opt

Anne universitaire 2014/2015

58

Rapport de PFE : Scurit des rseaux sans fil


pour HTIPS et SSH26 comme protocoles autoriss, les attaquants pourraient monter des
attaques contre ces protocoles, en s'aidant des outils tel que sshow pour dcouvrir la longueur
des mots de passe ainsi que les commandes utilises avec le trafic SSHvl et SSHv2, ou encore
les utilitaires sshmitm et Webmitm, qui permettent de mettre en place des attaques de type
homme au milieu pour du trafic SSH et HTIPS.
Les attaquants peuvent galement avoir recours des attaques DoS contre SSH,
moyennant des outils tels que guess-who, ssh-crack, ssh-brute, etc.
Nous n'entrerons pas plus dans les dtails des attaques sur le mcanisme de filtrage par
protocoles, tant donn que c'est un mcanisme qui n'est pas trs rpandu et est rserv un
usage trs spcifique et limit. De plus, les attaques contre ce type de filtrage dpendent
troitement des protocoles autoriss, qui peuvent tre assez nombreux.

2. Les failles du WEP :


Dans le but daborder les failles WEP, plusieurs mthodes existent ; mais ici on a tent
de privilgier une approche historique et technique la fois
2.1 Aperu sur les failles:
Un intrus qui dispose du SSID (identifiant rseau) et qui usurpe une des adresses MAC
autorises, ne pourra pas se connecter au rseau tant qu'il ne disposera pas de la cl WEP. Le
pirate pourra la rcuprer soit par Ingnierie Sociale (Social-Engineering) soit par cryptanalyse.
LIngnierie Sociale consiste obtenir l'information par un membre quelconque de
l'organisation, qui partage le secret. Elle peut galement tre vole. Dans ce rapport Nous ne
nous talerons pas davantage sur le sujet. Ce qui nous intresse dans le cadre de ce travail, ce
sont les faiblesses du point de vue cryptographique du protocole WEP.
Autrefois le protocole WEP t considr comme sr, mais La diffusion dans le
domaine public de lalgorithme RC4 a compltement modifi la donne. en 1995, Wagner met
en vidence les vulnrabilits du protocole RC4, il fallait 10 millions de paquets pour trouver
la cl (bien videmment cela mettait beaucoup de temps lpoque). En 2000, plusieurs
publications dmontrent la faiblesse des cls WEP)
En 2005, une quipe du FBI des tats-Unis d'Amrique dmontr qu'il est possible de
pntrer un rseau protg par du WEP en 3 minutes en utilisant des outils disponibles
publiquement.
Depuis le 1er avril 2007, elles peuvent tre retrouves en une minute. Leur utilisation en
entreprise est donc formellement dconseille.
Le fait que le WLAN ne soit pas born gographiquement rend ais lintrusion dune
station. On appelle intrusion, linsertion dun nud non autoris au sein dun rseau.
Les principales failles du WEP sont essentiellement les suivantes :

Les algorithmes de vrification dintgrit et dauthentification sont trs facilement


contournables.

Anne universitaire 2014/2015

59

Rapport de PFE : Scurit des rseaux sans fil

Possibilit de construire des dictionnaires fournissant en fonction dun IV, le


keystream.
Lalgorithme de chiffrement RC4 prsente des cls faibles et lespace disponible
pour les IV est trop petit.
Une mme cl est utilise pour tout le rseau et les cls de chiffrement sont
statiques.
Cls courtes 40 bits (5 caractres !!!) ou 104 bits et/ou trop simples (attaque par
dictionnaire)
Gestion des cls
2.2 Les faiblesses du IV:
2.2.1

Rutilisation du Keystream

En 2001, Borisov, Goldberg et Wagner (Intercepting Mobile Communications : the


insecurity of 802.11) ont montr que les utilisateurs se servent parfois des mmes keystreams
du fait que la cl est statique.
Un IV est sens de fournir une information alatoire qui rend une cl unique dans le
temps; mais la longueur de 24 bits est insuffisante puisquelle ne donne que moins 17
millions combinaisons ; donc une forte probabilit de trouver dans un nombre raisonnable de
trames cryptes 2 trames cryptes ayant le mme IV.
Le principe employ afin de trouver la cl WEP, est bas sur lanalyse des trames
chiffres. Une coute passive des communications permet de capturer les trames. On peut
utiliser pour cela le logiciel KISMET (on appelle ce type de logiciel : un analyseur de
protocoles) ou encore ETHEREAL, WIRESHARK. Lorsquon sniffe (coute) le rseau, on doit
mettre la carte Wi-Fi en mode monitor, dans ce mode, la carte ne se comporte plus comme une
interface rseau normal mais capture tout le trafic dans le voisinage. La phase dcoute doit
donc nous permettre de rcuprer un nombre important de trames cryptes avec la mme cl.
Lorsquune collision survient, on obtient de linformation sur la diffrence entre les clairs. La
connaissance de cette attaque permet des attaques statistiques qui donnent accs au clair.
2.2.2

Attaques FMS

En 2001 Scott FLURHER, Istik MATIN et Adi SHAMIR ont publis une attaque
passive sur les IVs, cette attaque exploite les faiblesses des IVs de RC4, qui permettent avec
une probabilit raisonnable de nombreux bits dans la table dtat S. cette attaque est connue
sous le nom de invariance weekeness
Le groupe FMS a publi une deuxime attaque nomme known IV attack , elle
consiste connatre lIV puisquil circule en clair sur le rseau, et connatre aussi le premier
octet du message, cette information est gnralement dduite de lIV puisquil porte des
informations sur le premier octet
La validit de cette attaque thorique navait pas t teste par ses auteurs mais par un
tudiant amricain en association avec deux spcialistes de la scurit, la principale difficult a
t de deviner le premier octet, malgr les diffrents types de protocoles utiliss il sest avr
que 802.11 rajoute une couche supplmentaire en encapsulant tous ses paquets. Alors tous les
paquets capturs commenaient par le mme octet 0xAA. Peu de temps aprs, des
Anne universitaire 2014/2015

60

Rapport de PFE : Scurit des rseaux sans fil


dveloppeurs ont mis disposition sur Internet les logiciels WEPCRACK et AIRSNORT
capables de casser une cl WEP selon la technique FMS.
Optimisation de FMS:
Le temps de rcupration de lchantillon reprsentatif dpend principalement du trafic
gnr sur le rseau. Dans un rseau qui est peu utilis, lopration peut durer plusieurs
semaines. les expriences ont montr quune seule attaque necessite la captutre dentre 5 et 6
millions de trames pour retrouver la cl ; mais en 2002 David HULTON a rduit ce nombre
1 million.
Afin dacclrer la recherche, des outils apparaissent, permettant la rinjection des
paquets capturs, pour augmenter artificiellement le trafic et ainsi diminuer le temps pour
casser la cl WEP. Lattaque devient alors active puisquon modifie le trafic sur le WLAN. Elle
devient donc aussi plus facilement reprable pour ladministrateur.
Les constructeurs ont alors pens intgrer directement sur leurs nouveaux firmwares
des mcanismes pour dtecter les cls faibles et ne pas les utiliser. Airsnort devint ds lors
inutilisable.
Le 8 aot 2004, le hacker Korek a diffus sur le forum Netstumbler loutil CHOPPER
qui permet de casser la cl WEP en capturant un nombre rduit dIVs faibles ou non .pour
retrouver une cl de 64 bits il suffit 150000 trames et pour une cl de 128 bits 500000 trames ;
on parle ici dune attaque par cryptanalyse statique des donnes chiffres
Des dveloppeurs ont continu le travail de Korek et donn naissance la suite
AIRCRACK qui combine lattaque FMS et celle de Korek, ctait la premire longue srie de
logiciels qui dmontre les failles dues aux collisions des IVs et retrouve la cl WEP en une
dizaine de minutes. La suite des outils AIRCRACK est constitue de trois outils principaux :

Airodump :(quivalent de Kismet) qui collecte les trames sur le WLAN.


Aircrack : qui casse les cls WEP.
Aireplay : qui gnre du trafic artificiel afin de diminuer le temps de collecte des
trames chiffres avec un mme IV.

Aireplay excute une attaque, en essayant didentifier les requtes ARP et le renvoyer
tels quils sont sur le rseau. Les autres clients vont rpondre en gnrant aussi du trafic ; une
fois les trames sont collectes, la cl WEP est identifie en quelques secondes. Le paramtre
crucial est le FUDGE FACTOR qui dtermine lespace de recherche des cls.
Aircrack permet un autre type dattaque appele CHOPCHOP qui est une autre cration
de Korek, elle permet de dcrypter un paquet chiffr avec le protocole WEP sans avoir
connaitre la cl. Le contrle dintgrit implment dans le protocole WEP permet un
attaquant de modifier la fois le contenu chiffr du paquet ainsi que le CRC ;De plus,
l'utilisation de l'oprateur XOR au sein du protocole WEP implique qu'un octet dans le message
chiffr dpend toujours du mme octet du texte en clair. En coupant le message chiffr de son
dernier octet, le message devient corrompu mais il est possible de faire un choix sur la valeur
de l'octet correspondant du texte en clair et de corriger le texte chiffr

Anne universitaire 2014/2015

61

Rapport de PFE : Scurit des rseaux sans fil


NB : l'incrmentation de l'IV n'est pas obligatoire dans le protocole WEP, il est donc possible
de rutiliser le keystream pour forger d'autres paquets (en r-utilisant le mme IV).

2.2.3

Attaque par fragmentation

En 2004, un article intitul The Final Nail in WEPs Coffin Le clou final au cercueil
du WEP est publi, il sarticule sur une nouvelle attaque nomme attaque par fragmentation.
Cette attaque se base sur la rutilisation du keystream, elle a t implment sur le
logiciel Wesside disponible lorigine uniquement sur lOS FreeBSD en comparaison avec
lattaque cl apparente celle-ci permet de fragmenter une trame en 16 fragments au plus,
chiffrs indpendamment les uns des autres.
Afin daugmenter la porte du keystream, Prenons un keystream de 22 octets. On
chiffre 16 fragments avec ces 22 octets. A chaque fois, 4 octets sont rservs pour le CRC32,
on chiffre donc de manire effective (22-4)*16=288 octets de donnes avec seulement 22 octets
de keystream. Mieux encore, lorsquun PA reoit une trame 802.11 fragmente quil doit
relayer, il la dfragmente (il dchiffre chaque fragment et rassemble tout en une trame). On se
retrouve alors en situation de clair connu et on peut de cette manire rcuprer un keystream
plus long.
En itrant ce processus, on rcupre un keystream qui permet de chiffrer nimporte
quelle trame (et de dchiffrer toutes celles associs au IV). On appelle cette phase : le
bootstrap , elle dure environ 30 secondes. De manire gnrale, si on dispose dun keystream
de N octets de X fragments, on obtient un keystream de longueur L=(N-4)*X+4.
Dans le schma qui suit, on a pris un exemple simplifi o partir de 8 octets de
keystream et 4 fragments, on rcupre un keystream de 20 octets.

Anne universitaire 2014/2015

62

Rapport de PFE : Scurit des rseaux sans fil

Augmentation du keystream par fragmentation :

Il existe plusieurs faons dexploiter cette attaque :


On peut dans un premier temps faire du mapping (dresser une carte du plan
dadressage et ladresse de passerelle) du rseau. Pour cela, il nous suffit dmettre des requtes
ARP, cela prend environ 5 minutes. On pourra alors mettre des requtes vers Internet et faire
de lIP Forwarding (vu prcdemment).
On peut gnrer du trafic avec nimporte quel paquet IP (contrairement
Aireplay qui ncessite des paquets ARP) et le fournir Aircrack. Cette mthode est
implmente dans Aircrack-ng.
On peut constituer une table IV/Keystream (la cl tant statique) qui permettra
de chiffrer de dchiffrer nimporte quel message. La taille de cette table de keystream devrait
tre de 25 Gigaoctets . Cela prend 17 heures alors quAircrack permet de casser la cl WEP en
Anne universitaire 2014/2015

63

Rapport de PFE : Scurit des rseaux sans fil


quelques minutes. Lattaque par fragmentation nest donc pas une rvolution mais une nouvelle
faiblesse WEP.
Une autre mthode pour lattaquant de constituer une table de dcryptage est
denvoyer un message de type ping en clair, lattaquant peut voir comment celui est chiffr.
En confrontant les 2 versions, il obtient le keystream. Il suffit alors dassocier chaque
keystream avec chaque IV.
2.3 Les problmes des cls de chiffrement:
La premire des faiblesses de la cl WEP reste son caractre statique. Il est trs facile de
la compromettre, puisquelle est prsente sur de nombreux postes de travail ainsi que sur tous
les points daccs. De plus, il savre souvent que de nombreux utilisateurs la connaissent.
Certaines cls choisies sont trs simples. Les attaques par dictionnaire peuvent retrouver
linformation. Des outils comme WepLab et WepAttack proposent ce type dattaque. WepLab
propose une attaque par dictionnaire fonde sur les techniques courantes de hash MD5
employes par les AP pour passer dune passphrase une cl WEP hexadcimale. WepAttack se
base quant lui sur les cls WEP ASCII. On peut les combiner un outil appel John The
Ripper qui augmentera la taille du dictionnaire.
La connaissance dune trame crypte C avec une graine G et de sa version en clair M
(attaque texte clair connu) permet de construire le keystream pour un IV donn.
M + C = M + (M + RC4(G)) = RC4(G)
Il est alors possible dinjecter dans le trafic un nouveau message valide (utilisant le
mme IV) sans avoir dinformation sur la cl K. Mieux encore, dans le WEP, on peut
galement retrouver la cl K initiale partir du . Il est donc facile de dduire le keystream pour
un autre IV en exploitant les identits suivantes : On notera la cl WEP K, les vecteurs
dinitialisation IV1 et IV2, loprateur OU exclusif + et loprateur de concatnation ||.
X = IV1||K
Y = IV2||K
RC4(Y) = RC4(X) + X + Y
La connaissance dun keystream permet, on le voit, de retrouver aisment le keystream
pour un autre IV sans pour autant avoir connatre/calculer la cl K. En effet K+K sannule.

2.4 Lexploitation du contrle dintgrit:


Le calcul du type CRC, utilis par Integrity Check Value (ICV) ne devrait servir qu
vrifier si la trame reue na pas t altre lors de la communication. Une telle technique est
en fait facile contourner du fait des proprits du CRC.
Lalgorithme de contrle dintgrit ICV est linaire. Supposons que nous disposions
par eavesdropping dune trame chiffre valide RC4(K) + X||CRC(X), le payload tant not X et
la cl K. Si nous modifions une partie de cette trame (appelons cette modification Y), il nous
suffit (du fait des proprits du CRC) de calculer le champ ICV correspondant aux
modifications : CRC (Y) et de lajouter au champ ICV initiale pour obtenir une trame forge
valide. On peut donc modifier le contenu dune trame capture puis la rinjecter dans le trafic,
de manire transparente. La modification de certains bits sappelle le bit flipping. On peut ainsi
faire une attaque par mascarade ou spoofing (usurpation didentit).
Anne universitaire 2014/2015

64

Rapport de PFE : Scurit des rseaux sans fil


cette attaque ne ncessite mme pas la connaissance du payload (i.e. du message en
clair, rappelons-le) correspondant la trame capture mais seulement de la modification
apporte. Les paquets tant chiffrs, on peut penser que cette attaque ne sert rien. On verra en
fait que lon peut se servir de cette faille lors de lauthentification.
Il existe une autre faille pour peu que lon puisse couter le trafic sur le rseau Ethernet
derrire le AP, on a vu quil tait facile de tromper le mcanisme de contrle dintgrit.
Lorsque des trames forges sont envoyes un AP, ce dernier relaye ces trames dchiffres sur
le rseau Ethernet cbl. Il est alors facile de lancer une attaque de type texte clair connu,
puisque la version chiffre dun paquet et sa version en clair, espionnes sur le rseau Ethernet
sont connues.
2.5 Les failles dans lauthentification:
La mthode Shared Key Authentification peut tre considre comme moins scurise
que l Open System Authentification contrairement ce que lon pourrait penser.
Ce processus ne protge pas dune attaque Man In the Middle (MiM).Lauthentification
tant unilatrale, la station n'a aucun moyen d'authentifier l'AP auquel elle s'associe. Si la
station pirate est configure comme AP (on parle dAPs malicieux, de points daccs voyous ou
encore Rogue APs) avec le mme SSID (identifiant du rseau) que lentreprise, elle peut
intercepter le challenge. Celle-ci est ensuite prolonge jusqu la borne de lentreprise qui
authentifie le pirate. Le processus initial avec la station est interrompue, on parle de
dsassociation. La station reprendra une recherche dAP ce qui conduit lenvoi dun nouveau
challenge et tout cela se passe de manire transparente pour lutilisateur. Il est donc
recommand dutiliser des mthodes dauthentifications plus solides. Un AP malicieux pourrait
en outre transformer un client en oracle en lui fournissant des messages chiffrer sous forme de
challenge.
De plus, si l'on connat la cl de chiffrement ou un dictionnaire des keystreams associs
cette cl lauthentification est immdiate obtenir. Il y a l un dfaut grossier de conception,
authentification et chiffrement reposant sur la mme protection.
Mais surtout, le transit du mme message en clair et chiffr facilite le travail du
cryptanalyste pour dcouvrir la cl WEP. On avait dit plus haut que le CRC interviendrait dans
une faille lors de lauthentification. Il est temps den parler. Supposons que lon dispose dun
message en clair X et de son cryptogramme RC4(X) + X||CRC(X) on se trouve donc dans une
situation dattaque texte clair connu. On rcupre aisment le keystream :
RC4(X) = (RC4(X) + X||CRC(X)) + X||CRC(X)

On fait alors une demande dauthentification auprs de lAP, celui ci envoie le


challenge Y. Il est noter que les rponses dauthentification sont toutes de mmes longueur
(celles du keystream calcul). On peut donc ds lors chiffrer le challenge sans pour disposer de
la cl K.On procde comme suit :
Y chiffr= RC4(K)+ Y||CRC(Y)
= RC4(K)+ Y||CRC(Y) + X||CRC(X) + X||CRC(X)

Anne universitaire 2014/2015

65

Rapport de PFE : Scurit des rseaux sans fil


= (RC4(K) + X||CRC(X)) + Y||CRC(Y) +
X||CRC(X)
= X en chiffr + challenge Y + X
en clair
Cela fonctionne pour 2 raisons: le CRC ne dpend pas de la cl et surtout le fait que
lAP nous permet de choisir lIV. On prend videmment le mme IV (qui circule en clair) que
celui de la trame capture.
En revanche, lattaquant ne peut pas communiquer sur le WLAN puisquil ne dispose
pas de la cl WEP, il est seulement authentifi et associ sur ce WLAN.
Cependant, cette faille ne s'arrte pas l. La sortie RC4(IV||K) qu'il rcupre est en effet
longue de 140 octets, ce qui est largement suffisant pour chiffrer quelques requtes, comme un
requte ARP ou HTTP par exemple. L'attaquant est donc en mesure, partir de l'observation
d'une authentification, d'injecter des paquets cohrents dans le rseau. Il sera galement en
mesure de dchiffrer les 144 premiers octets de tout paquet chiffr avec l'IV en question.
Il apparat donc que WEP prsentent plusieurs vulnrabilits, dont certaines sont
structurelles. S'il est par exemple simple de modifier le gnrateur d'IV pour supprimer les cls
faibles, les problmes du mcanisme d'authentification, de l'utilisation du CRC32 ou encore les
possibilits de rejeu/injection ne peuvent pas tre corriges sans modifier le protocole luimme.

Anne universitaire 2014/2015

66

Rapport de PFE : Scurit des rseaux sans fil

Chapitre VI : Nouvelle architecture Wi-Fi scurise et


flexible
Le chapitre prcdent met en vidence le manque de scurit dans les rseaux Wi-Fi, la
profusion des attaques qu'il est possible de monter et leur relative simplicit de mise en uvre.
Toutefois, ce manque de scurit ne devrait pas constituer un obstacle la mise en place et au
dploiement de rseaux Wi-Fi dans l'entreprise. En effet, dans de nombreux cas nouveau
btiment non cbl, installation temporaire, etc.), il est conomiquement plus intressant de
mettre en place un rseau local sans fil qu'un rseau local filaire. Un rseau Wi-Fi est beaucoup
plus flexible qu'un rseau filaire et peut tre dsinstall facilement. Il peut galement complter
ou remplacer un rseau local filaire lors d'un contexte de mobilit.
Ce chapitre vient rpondre aux questions suivantes : face toutes les failles de scurit
et la diversit des attaques possibles contre les mcanismes de scurit dans les rseaux WiFi, quelles sont les meilleures pratiques en matire de scurit Wi-Fi ? Faut-il abandonner
compltement le protocole WEP? Comment assurer une scurit optimale, compte tenu de
lhtrognit des quipements / standards Wi-Fi existants actuellement dans les entreprises?
Cette dernire question, plus particulirement, est l'objet d'tude principal de ce
chapitre. En effet, nous proposons une nouvelle approche de scurisation de l'architecture WiFi de l'entreprise qui prend en considration lhtrognit des quipements et des standards
de scurit supports.
Le panorama actuel des parcs informatiques dans les entreprises se caractrise par la
diversit des quipements Wi-Fi avec diffrents standards supports, qui ne sont pas toujours
compatibles. Cette situation a cr un besoin urgent d'une approche architecturale qui permette
d'assurer une scurit optimale tout en tenant compte de l'htrognit de l'environnement WiFi existant.
Ce chapitre se compose de deux sections principales : la premire s'intresse aux
principales approches de scurisation d'un rseau Wi-Fi. Cette section nous permettra de
prendre conscience de l'tendue et envergure des travaux raliss jusqu'alors dans ce domaine.
La seconde section prsente les objectifs et la mthodologie adopte pour aboutir
l'architecture que nous proposons, ainsi que ses principes fondateurs.

1. Approches principales de scurisation des architectures Wi-Fi


Le manque de scurit des rseaux Wi-Fi et l'absence dun standards de scurit
802.11robuste a oblig les entreprises faire appel d'autres technologies afin de renforcer la
scurit de l'extension Wi-Fi de leurs systmes d' information.
Les technologies employes visaient principalement deux objectifs. D'abord, isoler le
trafic Wi-Fi du trafic filaire, ce qui peut tre ralis par le biais des rseaux locaux virtuels
(VLAN). Ensuite, scuriser les liens radio tablis entre les clients Wi-Fi et le serveur
d'authentification, ce qui peut se mettre en place en utilisant la technologie des rseaux virtuels
privs (VPN).

Anne universitaire 2014/2015

67

Rapport de PFE : Scurit des rseaux sans fil


Dans ce qui suit, nous abordons les caractristiques de ces deux approches de
scurisation des architectures Wi-Fi dans l'entreprise. Mais bien avant, nous allons citer des
rgles connaitre obligatoirement par tout administrateur rseau :

Rgle 1 : Ne diffusez jamais le SSID

Chaque routeur est identifi par un SSID, qui le diffuse par dfaut sur toute sa zone de
couverture. Alors il est forcment recommand de dsactiver la diffusion, et non pas de rendre
le SSID invisible car ceci peut attirer lattention que le rseau contient des informations
sensibles.

Rgle 2 : Activez le filtrage par adresse MAC

Le filtrage par adresse permet de designer les ordinateurs qui peuvent se connecter au
rseau, mais dans notre cas, une telle mthode ne peut jamais marcher puisque les clients ne
sont que des passagers.

Rgle 3 : Limiter la plage dadressage du routeur

Et puisque chaque quipement du rseau doit tre identifi par un adresse IP unique, le
routeur utilise un serveur DHCP pour lattribution des adresses, condition quil utilise des
petites plages dadresse, dans le but de faciliter le contrle des quipements connects.

Rgle 4 : Dsactiver le serveur DHCP du routeur

Cette rgle utilise une logique dite errone, il consiste scuriser le rseau en
dsactivant le serveur DHCP et en attribuant manuellement des adresses IP chaque
quipement comme on faisait avec le filtrage par adresse MAC, a aussi ne pourra jamais tre
utile dans notre cas
1.1 Approche VLAN
Cette approche consiste mettre en place un VLAN pour tous les clients 802.11 qui se
connectent au rseau de l'entreprise. dfaut de scuriser les liens radio des rseaux Wi-Fi, on
a opt pour l'isolation du trafic non scuris du reste du trafic qui transite dans le systme
d'information, ceci afin de minimiser les risques lis l'inscurit des rseaux Wi-Fi.
Rappelons quun VLAN est un rseau local regroupant un ensemble de machines de
faon logique et non physique. En effet dans un rseau local, la communication entre les
diffrentes machines est rgie par l'architecture physique. Grce aux rseaux locaux virtuels, il
est possible de s'affranchir des limitations de l'architecture physique (contraintes
gographiques, contraintes d'adressage, etc.) en dfinissant une segmentation logique
(logicielle) base sur un regroupement de machines grce des critres logiques (adresses
MAC, numros de port, protocole, etc.).
Ainsi, lallocation d'un VLAN particulier aux clients Wi-Fi permet de dfinir un
nouveau rseau au-dessus du rseau physique, ce qui offre les avantages suivants :
plus de souplesse pour l'administration et les modifications du rseau car toute
l'architecture peut tre modifie par simple paramtrage des commutateurs;
gain en scurit car les informations sont isoles logiquement du reste du trafic
et peuvent ventuellement tre analyses;
rduction de la diffusion du trafic sur le rseau.
Anne universitaire 2014/2015

68

Rapport de PFE : Scurit des rseaux sans fil


Tenons compte de l'htrognit des quipements et standards Wi-Fi utiliss et de la
variance des profils des utilisateurs 802.11 qui se connectent au systme dinformation de
lentreprise, cette solution n'est pas flexible et ne s'adapte pas vraiment aux besoins spcifiques
de scurit. En effet, les utilisateurs Wi-Fi qui se connectent au systme dinformation n'ont pas
tous le mme profil et n'ont pas tous les mmes privilges d'accsaux ressources du systme
d'information. De plus, l'isolation des clients Wi-Fi travers unVLAN ne garantit pas l'absence
d'attaques radio qui pourrait avoir comme incidence d'empcher les clients Wi-Fi lgitimes
d'avoir accs aux ressources du systme d'information.
1.2

Approche VPN

La seconde approche de scurisation des rseaux Wi-Fi consiste dployer des rseaux
virtuels privs entre les clients 802.11 et le rseau filaire de l'entreprise. En effet, afin de faire
face au manque de scurit des liens radios des rseaux Wi-Fi, les responsables de scurit ont
opt pour la mise en place de tunnels scuriss pour protger le flux d'information qui transite
du client sans fil vers le systme d'information de l'entreprise. Dans la majorit des cas, cette
mise en place de VPN se fait grce au protocole de tunnelisation IPSec.
Cette solution a le mrite de renforcer la scurit des liens radio et de pallier ainsi aux
faiblesses des standards de scurit, notamment le protocole WEP. Ceci d'autant que le
protocole IPSec a fait ses preuves et peut tre considr comme tant le meilleur protocole de
tunnelisation, en offrant simultanment scurit et flexibilit. Toutefois, il ne faut pas ngliger
l'importance de la charge qu'ajoutent les VPN chaque paquet envoy et qui a pour incidence
de gaspiller les ressources des liens radio. Ceci est particulirement vrai dans le cas d'IPSec. En
effet, ce dernier bien qu'offrant de bonnes garanties de scurit, prsente l'inconvnient
d'alourdir chaque paquet en ajoutant plusieurs enttes supplmentaires, ce quia pour effet de
surcharger et d'affecter sensiblement les performances globales du rseau Wi-Fi.
Outre l'aspect de surcharge des liens radio du rseau Wi-Fi, l'approche de scurisation
par VPN prsente l'inconvnient de centraliser l'accs des clients sans fils au systme
d'information de l'entreprise. En effet, tous les clients Wi-Fi devront passer par un
concentrateur VPN pour avoir accs aux ressources du systme d'information, ce qui aura pour
incidence de crer un goulot d'tranglement ce niveau.
De plus, dans le contexte actuel avec un rseau Wi-Fi qui se caractrise par la diversit
des quipements et des standards, le recours systmatique une tunnelisation VPN n'est pas
toujours justifi. En effet, dans le cas des quipements supportant les standards WPA/WPA2, il
n'est nullement ncessaire de mettre en place une connexion VPN. En effet, WPA/WPA2
permet de scuriser les liens radio et ajouter un VPN cela, ne ferait qu'encombrer les liens
radio et diminuer sensiblement les performances du rseau.
1.3

Approche gestion centralise

Cette troisime approche vise optimiser et centraliser la gestion des utilisateurs, ainsi
que leur authentification. Pour mettre en uvre ces trois concepts (AAA) on a besoin du
protocole Radius. Ce protocole avait tout dabord pour objet de rpondre aux problmes
dauthentification pour des accs distants, par liaison tlphonique, vers les rseaux des
fournisseurs daccs ou des entreprises. Cest de l quil tient son nom qui signifie Remote
Access Dial In User Service. Au fil du temps, il a t enrichi et on peut envisager aujourdhui

Anne universitaire 2014/2015

69

Rapport de PFE : Scurit des rseaux sans fil


de lutiliser pour authentifier les postes de travail sur les rseaux locaux, quils soient filaires ou
sans fil. Radius est un protocole qui rpond au modle AAA (Authentication, Authorization,
Accounting).
Rappelons que ce protocole repose sur un serveur Radius reli une base
didentification (base de donnes, AD), et qui fonctionne sur trois phases :
Lauthentification : consiste vrifier lidentit des processus communicants.
Lautorisation : Cette phase agit une fois que lutilisateur sest authentifi. Cest dans
cette phase quon donne ou non accs la ressource demande, en fonction de la politique de
contrle daccs
Traabilit : aprs avoir authentifi et eu les droits daccs, il est crucial davoir La
traabilit afin dassurer une bonne scurit et une intervention rapide en cas de problmes
1.4

Autres solutions de scurisation des architectures Wi-Fi

Il est signaler qu'il n'existe pas un grand nombre de travaux sur la problmatique que
nous traitons. Ceci n'est pas d au manque dintrt de celle-ci mais c'est surtout cause du
facteur d'instabilit des standards du monde Wi-Fi et la sortie rapide de nouveaux protocoles de
scurit. Parmi les travaux que nous commentons ci-dessous, aucun ne prend vraiment en
considration le facteur d'htrognit des quipements et standards existants. En effet, la
plupart des travaux ont tendance se focaliser sur un seul standard de scurit (WPA2 et WPA)
et dnigrer WEP.
La compagnie Cisco a normment travaill sur cette problmatique architecturale afin
de rpondre au mieux aux besoins des entreprises. En effet, nous trouvons une documentation
trs riche sur les solutions proposes par Cisco pour rsoudre la problmatique de scurisation
de l'extension Wi-Fi des systmes d'information dans l'entreprise. Ainsi, plusieurs architectures
et approches de scurisation ont t proposes selon la taille et la nature du rseau protger.
Pour chacun de ces cas, Cisco propose une solution qui s'adapte aux exigences de
scurit. Toutefois, trois critiques majeures peuvent tre faites vis--vis les solutions Cisco.
Toutes les approches proposes se basent sur des plates-formes propritaires Cisco qui
implmentent des protocoles de scurit version maison, qui ne sont pas toujours compatibles
avec les standards. En effet, les diffrentes solutions proposes se basent sur une version
amliore de WEP qui n'est pas compatible avec le standard, ainsi que Cisco TKIP pour les
architectures avec WPA et surtout Cisco LEAP en guise dune mthode d'authentification.
La seconde critique quon peut exprimer vis--vis les solutions Cisco est sa focalisation
sur la technologie VPN. En effet, Cisco base toute la scurit du WLAN sur la mise en place de
VPN logiciels ou matriels tout en tenant compte de la taille et la nature du rseau protger,
ceci s'accompagnant toujours d'une plate-forme d'administration et un paramtrage trs prcis
suivre scrupuleusement. Finalement, dans les solutions de Cisco peu d'gard a t fait au
facteur d'htrognit des quipements et des standards des clients qui se connectent au
WLAN de l'entreprise, ainsi que des quipements Wi-Fi existants dans l'entreprise. En effet,
une tendance homogniser les clients et les quipements utiliss est trs prsente dans les
architectures scurises proposes par Cisco.

Anne universitaire 2014/2015

70

Rapport de PFE : Scurit des rseaux sans fil


Outre les architectures Cisco, nous trouvons la solution d'Ucopia, qui est une solution
trs complte et assez robuste. Contrairement aux solutions Cisco, Ucopia s'appuie sur les
standards existants, donc pas de problme dincompatibilit. Toutefois, l'architecture Ucopia se
distingue par sa complexit et sa difficult de mise en place dans l'entreprise. En effet, plusieurs
bases de donnes doivent tre mises en place pour la gestion des clients Wi-Fi qui se
connectent au WLAN de l'entreprise, ceci en plus d'une plate-forme d'administration dont le
paramtrage est fastidieux. De plus, tout comme les solutions Cisco, l'approche Ucopia se base
sur les VPN et ne ralise pas une diffrenciation des clients Wi-Fi qui se connectent au WLAN
de l'entreprise, selon leurs quipements et les standards de scurit supports.
Une autre approche rigoureuse de scurisation des rseaux Wi-Fi est propose. Cette
dernire se base sur la diffrenciation des clients Wi-Fi selon deux catgories principales,
savoir les permanents et les visiteurs. Pour chacun de ces profils un VLAN particulier est
attribu. Ainsi, une segmentation logique des clients est opre au-dessus du mme rseau
physique. Il est crucial de faire attention aux clients Wi-Fi qui ne peuvent compter que sur le
protocole WEP comme mcanisme de scurit. De plus, nous trouvons que la diffrenciation
ralise n'est pas suffisante et ne couvre que partiellement la ralit des besoins actuels en
termes d'administration et de scurit. Toutefois, l'usage des VLAN pour tablir une
diffrenciation est un lment important sur lequel nous nous sommes d'ailleurs bass pour
laborer notre nouvelle approche.
Au final, nous pouvons dire qu'aucune des solutions proposes ci-dessus ne permet,
elle seule de rpondre aux exigences de nombreux administrateurs et responsables de scurit
Wi-Fi qui souhaitent avoir une diffrenciation logique d'une part entre l'extension Wi-Fi et le
rseau de l'entreprise, ainsi qu'entre les clients Wi-Fi selon leurs profils et les spcificits de
leurs quipements. Dans la suite, nous prsentons l'approche architecturale de scurisation
Wi-Fi retenue et qui rpond aux besoins actuels en termes de scurit et d'administration.

1. Nouvelle approche de scurisation des architectures Wi-Fi


Actuellement le march connait une profusion de solutions propritaires de scurisation
Wi-Fi, caractrises par leurs robustesses et la bonne garantie de scurit quelles offrent.
Toutefois, dans un contexte technologique en perptuelle mouvance et des sorties de standards
en chane, les solutions propritaires devraient tre vites, en raison du manque, voire
l'absence, dinteroprabilit entre les diverses solutions proposes sur le march et surtout avec
les standards
De plus, la dmarche de scurisation de l'architecture doit s'intgrer et utiliser au
maximum le parc matriel existant de l'entreprise et non pas ajouter d'autres contraintes lies
aux quipements et aux standards de scurit supports. L'approche de scurisation que nous
proposons intgre toutes les contraintes et limitations du systme dinformation de loffice
national des aroports et tire profit de l'htrognit des souches d'quipements/standards
(WEP, WPA, WPA2).
Dans ce qui suit, nous prsentons les objectifs de l'approche de scurisation
architecturale que nous proposons dans le contexte des rseaux Wi-Fi. Ensuite, nous prsentons

Anne universitaire 2014/2015

71

Rapport de PFE : Scurit des rseaux sans fil


la dmarche suivie et passons en revue les principes sur lesquels nous avons conu cette
nouvelle architecture scurise et flexible. Enfin, nous illustrons notre solution en mettant en
vidence ses caractristiques.
1.1. Objectifs et mthodologie adopte
En laborant cette architecture, nous visons plusieurs objectifs, le plus urgent tant
d'assurer une scurit optimale compte tenu de la vulnrabilit des standards de scurit Wi-Fi
et des menaces qui planent au-dessus de tout rseau 802.11. Notre second objectif est de mettre
en place une architecture flexible qui s'adapte au mieux aux besoins spcifiques de scurit.
Pour cela, nous introduisons une sparation logique entre les diffrentes catgories de
trafic qui transitent sur le systme dinformation et au sein de la mme architecture physique.
Notre mthodologie consistait une analyse approfondie des diffrentes approches existantes, en
cernant les besoins de scurit et l'htrognit des quipements et des standards existants, la
diffrenciation des trafics moyennant des VLAN nous semble un impratif.
Toutefois, nous faisons un usage plus labor des VLAN que celui des approches
dcrites prcdemment. Une fois cette segmentation tablie, nous pouvons adapter les
mcanismes de scurit en fonction des spcificits de chaque segment ou niveau de
diffrenciation. Ainsi, nous nous sommes inspirs des diffrentes approches existantes et
proposons une approche architecturale qui englobe la plupart des problmatiques souleves.
Dans ce qui suit nous dcrivons sur quels principes notre approche a t labore.
1.2. Principes
Pour laborer notre solution de scurisation Wi-Fi, nous avons fait appel aux approches
traditionnelles mais que nous employons de faon plus labore, afin de satisfaire au mieux les
besoins spcifiques de scurit. En effet, nous nous sommes bass sur le principe de
diffrenciation entre les diffrentes catgories de trafics qui passent sur le rseau de l'entreprise.
Pour matrialiser cette diffrenciation, nous avons fait appel aux rseaux locaux virtuels afin
d'tablir trois niveaux de sparation logique. Le premier niveau est relatif aux types
d'quipements utiliss par les utilisateurs qui se connectent au rseau 802.11 et aux standards
de scurit Wi-Fi supports (par exemple: WEP, WPA avec TKIP, WPA2 avec AES). Ainsi,
nous oprons une premire diffrenciation des utilisateurs selon la catgorie de leurs
quipements/standards. Cette diffrenciation permet d'adapter les mcanismes de scurit et
dauthentification en fonction des vulnrabilits des standards implants sur le matriel.
Ensuite, nous oprons un second niveau de diffrenciation qui vient la suite de
l'authentification des clients 802.11. Ce second niveau de diffrenciation vient tablir un VLAN
par profil d'utilisateur. Finalement, nous mettons en place un troisime niveau de
diffrenciation relatif au trafic de gestion et d'administration du systme d'information.
1.3. Prsentation de l'architecture
Comme dcrit plus haut, l'approche que nous proposons repose sur la migration vers le
protocole WPA2, te l'utilisation des rseaux locaux virtuels (VLAN) avec deux niveaux de
diffrenciation. En effet, en tudiant de prs les besoins de lentreprise en termes de
connectivit Wi-Fi, nous avons choisi d'tablir deux niveaux de diffrenciation matrialiss par
des rseaux locaux virtuels. Ces niveaux de diffrenciation sont les suivants :

Anne universitaire 2014/2015

72

Rapport de PFE : Scurit des rseaux sans fil


Premier niveau: diffrenciation selon le profil de l'utilisateur de lextension Wi-Fi du
rseau de l'entreprise.
Second niveau: permet disoler le trafic relatif la gestion et l'administration du
systme d'information.
Pour le premier niveau de diffrenciation qui se base sur le profil de lutilisateur, nous avons
suppos lexistence de deux types d'utilisateurs du systme d'information de l'entreprise. Ces
deux types d'utilisateurs sont les suivants :
Les permanents : ce sont les employs de 1office qui ont un accs total au systme
d'information et qui doivent bnficier d'une authentification forte pour assurer la scurit de
leur accs aux ressources du systme dinformation.
Les visiteurs : il s'agit des visiteurs du salon et qui ont un accs simplifi mais
contrl 1' internet.
Le second niveau permet de sparer le trafic d'administration et d'authentification du
reste des trafics. Ceci convient aux administrateurs rseaux en facilitant la gestion du systme
d'information et en permettant d'avoir un meilleur contrle des accs aux diverses ressources.
Dans le tableau ci-dessous, nous rcapitulons les diffrents VLAN associs chaque niveau de
diffrentiation.
Niveau de
diffrenciation

Profil utilisateur

Nature du trafic

Permanents
Vlan de gestion et

Vlan associ
Visiteurs

dauthentification
Tableau 8:Niveau de diffrenciation

Outre cette diffrenciation, nous avons choisi dutiliser le protocole Radius, pour
scuriser les connexions WPA2. Cette approche nous permettra une meilleure gestion des
utilisateurs, le choix de limplmentation des concepts AAA, est dans le but de faciliter le
travail de ladministrateur rseau en lui assurant une gestion centralise sur le serveur radius.
Ainsi que pour grer les flux en provenance des clients Wi-Fi en commenant par
lauthentification jusqu la traabilit.

Anne universitaire 2014/2015

73

Rapport de PFE : Scurit des rseaux sans fil

+Figure 17: diffrenciation selon le protocole

Comme illustr dans la figure 15, nous avons choisi de placer le serveur RADIUS pour
1'authentification des clients de la communaut WPA2. Il est en communication avec le
service dannuaire de l'entreprise qui comporte les profils de tous les utilisateurs autoriss
avoir accs aux ressources du systme d'information. En effet, dans la grande majorit des cas,
les entreprises utilisent LDAP ou Active Directory afin de stocker les profils avec les droits
d'accs des utilisateurs. De plus, pour pouvoir authentifier les utilisateurs de la communaut
WPA/WPA2, il est impratif d'utiliser un serveur RADIUS et pas n'importe lequel : il doit tre
compatible EAP-RADIUS, ce qui n'est pas le cas de tous les produits de commerce. Il est
ensuite ncessaire de grer les connecteurs vers 1'annuaire LDAP ou Active Directory de
l'entreprise. Ainsi, il faut savoir adapter le mappage RADIUS/LDAP, qui n'est pas une mince
affaire.
Nous avons galement choisi de mettre en place un serveur DHCP pour l'attribution
d'adresses IP aux clients 802.11. Ce serveur DHCP permettra de mettre en place un adressage
IP dynamique et priv, selon des rgles d'adressage par VLAN, de faon permettre
l'identification de chaque client 802.11 par la classe de son adresse IP.
En laborant cette approche de scurisation Wi-Fi, nous avions comme objectif de
pouvoir supporter plusieurs architectures logiques, sur la mme architecture physique. Cela a
pu tre possible grce au dploiement de plusieurs VLAN. En observant ces diffrents niveaux
de diffrenciation, on pourrait se poser les questions suivantes : comment grer la
diffrenciation ? Comment dfinir l'appartenance un groupe de manire automatique ? La
rponse ces questions est trs simple : tout est gr au niveau des commutateurs.
En effet, on a dfini que tous les utilisateurs du rseau Wi-Fi du salon VIP doivent
imprativement utiliser le protocole WPA2, on raison de sa robustesse en terme de scurit.
Un client Wi-Fi se connecte un point d'accs avec un SSID particulier se trouvera
automatiquement membre d'un VLAN particulier. Il est rappeler que la majorit des points
d'accs supportent les SSID multiples et la correspondance SSID/VLAN. Un point d'accs peut
comporter plusieurs SSID, chacun associ un VLAN particulier.
Ainsi, un client 802.11 associ un point d'accs doit forcment se connecter via le
protocole WPA2. En sauthentifiant, le client sera automatiquement affect un vlan
spcifique, et par consquent avoir des droits aussi spcifiques.

Anne universitaire 2014/2015

74

Rapport de PFE : Scurit des rseaux sans fil

Figure 18: diffrenciation selon le profil utilisateur

La diffrenciation du premier niveau selon le profil utilisateur sert raliser une


sparation logique entre les diffrents utilisateurs (visiteurs ou permanents) afin de leur
appliquer le niveau de scurit adquat. Une fois authentifis, les clients 802.11 seront
raffects aux VLAN du second niveau de diffrenciation. Ainsi, au fur et mesure que les
clients 802.11 sont authentifis, il y aura de moins en moins de clients appartenant aux VLAN
du premier niveau de diffrenciation, au profit des VLAN du second niveau de diffrenciation.
Il est noter que tout le trafic relatif l'authentification des clients, la gestion et les flux
entre les diffrents serveurs (DHCP, AD, RADIUS), est isol du reste du trafic en utilisant un
VLAN spcifique ces fonctions.
Ce dcoupage en plusieurs VLAN rpond aux exigences de ladministrateur rseau de
lONDA qui souhaitent bnficier dinfrastructures logiques diffrentes afin de pouvoir
exercer une meilleure gestion ainsi qu'un un meilleur contrle des diffrents flux qui transitent
envers et partir du systme d'information filaire de l'entreprise.

Anne universitaire 2014/2015

75

Rapport de PFE : Scurit des rseaux sans fil

Conclusion et Perspectives
Dans cette tude, nous avons prsent une synthse de l'tat de l'art des rseaux Wi-Fi.
Ensuite, nous sommes passs au volet des standards de scurit qui a fait l'objet du troisime
chapitre. Ainsi, nous avons montr l'volution de la normalisation en termes de standards de
scurit 802.11. Nous avons galement prsent une tude dtaille sur les vulnrabilits des
standards de scurit et les modes opratoires des diffrentes attaques qui exploitent ces
faiblesses. Cette tude nous a permis de prendre conscience de l'tendue des dgts qu'il est
possible de provoquer sur un rseau Wi-Fi. Finalement, nous avons propos une nouvelle
approche architecturale qui permet d'avoir une scurit renforce, flexibilit et optimisation de
1'utilisation des ressources du rseau.
Notre proposition a le mrite de favoriser principalement la flexibilit et de rpondre
aux besoins spcifiques exprims aujourd'hui par les administrateurs des rseaux Wi-Fi. Ceci
en plus de la prise en compte de l'htrognit des quipements Wi-Fi et des standards de
scurit supports. L'architecture Wi-Fi scurise que nous proposons se base sur une
diffrenciation plusieurs niveaux. En effet, nous tablissons un premier niveau de
diffrenciation relatif au standard de scurit employ (WEP, WPA, WPA2). Le second niveau
de diffrenciation permet de distinguer les diffrentes profils d'utilisateurs (visiteurs, et
permanents), dont l'accs aux ressources et les niveaux de scurit appliquer sont diffrents
d'une communaut une autre.
Il est utile de signaler que notre proposition sinscrit pleinement dans le contexte actuel
qui se caractrise par l'instabilit des standards de scurit Wi-Fi et la rapidit de leur
obsolescence. Cette mouvance rapide entre les diffrents standards et les diverses technologies
inhrentes la scurit Wi-Fi, a cr une mfiance vis--vis de cette technologie malgr son
grand potentiel. Notre solution vient intgrer toutes ces problmatiques et propose une nouvelle
approche de scurisation de la technologie Wi-Fi dans le salon VIP.
En guise de conclusion, nous pouvons affirmer que les rseaux Wi-Fi prsentent de
grands potentiels. Toutefois, les services fournis par ces rseaux sont confronts de graves
problmes de scurit, au point de mettre en pril leur dveloppement. Ces risques de scurit
ont tendance s'attnuer, surtout avec le standard WPA2 qui semble rpondre la majorit des
exigences actuelles de scurit dans les rseaux Wi-Fi. Mis part cet aspect de scurit, les
rseaux Wi-Fi font face d'autres dfis, parmi lesquels on peut citer la qualit de service et la
mobilit Wi-Fi.
En effet, le service de confidentialit assur par le WEP fait perdre en moyenne 25% de
performances, en induisant de graves failles de scurit. Quant TKIP et WPA, tant plus
scuritaires que WEP, ils induisent 30% de baisses de performances. WPA2, amliore un peu
les performances mais engendre une perte de 25% de bande passante. De ce fait, il est
primordial de trouver un compromis entre les exigences de scurit et ceux de la qualit de
service.

Anne universitaire 2014/2015

76

Rapport de PFE : Scurit des rseaux sans fil

Glossaire
AAA: Authentication, Authorization, Accounting
ACL: Access Control List
AES: Advanced Encryption Standard

BBS: Basic Service Set


BPSK: Binary Phase Shift Keying
BSSID: Basic Service Set Identifier

CCA: Clear Channel Assessment


CCK: Complementary Code Keying
CRC: Cyclic Redundancy Check
CSMA/CA: Carrier Sense Multiple Access/Collision Avoidance
CSMA/CD: Carrier Sense Multiple Access/Collision Detection
CTS: Clear To Send

DCF: Distributed Coordination Function


DHCP: Dynamic Host Configuration Protocol
DSSS: Direct Sequence Spread Spectrum

EAP: Extensible Authentication Protocol


ESS: Extended Service Set
ESSID: Extended Service Set Identifier
ETSI: European Telecommunications Standards Institute

FEC: Forward Error Correction


Anne universitaire 2014/2015

77

Rapport de PFE : Scurit des rseaux sans fil

FHSS: Frequency Hopping Spread Spectrum

HTTPS: HyperText Transfer Protocol Secure

IBSS: Independant Basic Service Set


IEEE: Institute of Electrical and Electronics Engineers
ISM: Industrial, Scientific and Medical

KSA: Key Scheduling Algorithm

LDAP : Lightweight Directory Access Protocol


LLC : Logical Link Control

LSAP : Logical Service Access Point

MAC : Media Access Control


MD5 : Message Digest #5
MIC : Message Integrity Code

NAV : Network Allocation Vector


NIST : National Institute of Standards and Technology

OAC : Office des Aroports de Casablanca


OFDM : Orthogonal Frequency Division Multiplexing
ONDA : office nationale des aroports
OSI : Open Systems Interconnection

PCF : Point Coordination Function


PLCP : Physical Layer Convergence Protocol

Anne universitaire 2014/2015

78

Rapport de PFE : Scurit des rseaux sans fil

PMD : Physical Medium Dependent


PRGA : Pseudo Random Generator Algorithm
PSK : Pre-shared Key

QoS : Quality of Service


QPSK : Quadrature Phase Shift Keying

RTS : Ready To Send

SSH : Secure Shell


SSID : Service Set Identifier
SSL : Secure Socket Layer

TKIP : Temporal Key Integrity Protocol

VLAN : Virtual Local Area Network


VPN : Virtual Private Network

WEP : Wired Equivalent Privacy


Wi-Fi : Wireless Fidelity
WLAN : Wireless Local Area Network
WPA2 : Wi-Fi Protected Access 2

Anne universitaire 2014/2015

79

Rapport de PFE : Scurit des rseaux sans fil

Webographie
o http://cisco.goffinet.org/wireless/wifi-vlan#.ViSm836KHIW
o http://www.memoireonline.com/07/09/2324/m_Les-technologies-sans-fil-Le-Wi-Fi-et-laSecurite1.html
o http://ahmed.bour.free.fr/wifi.htm
o https://learningnetwork.cisco.com/thread/11207
o http://www.professormesser.com/security-plus/sy0-401/tkip-and-ccmp/
o http://www.howtogeek.com/204697/wi-fi-security-should-you-use-wpa2-aes-wpa2-tkip-orboth/
o www.tech-faq.com/tkip-temporal-key-integrity-protocol.html
o searchnetworking.techtarget.com/tip/Wireless-security-protocols-How-WPA-and-WPA2-work
o http://www.juniper.net/techpubs/en_US/network-director1.1/topics/concept/wireless-wpapsk-authentication.html
o http://www.techrepublic.com/article/what-the-tkip-protocol-is-all-about/
o http://www.pcastuces.com/pratique/astuces/2633.htm
o https://www.cairn.info
o http://www.zdnet.fr/chiffres-cles.htm
o http://www.ucopia.com/fr/
o http://www.pcworld.com/article/2052158/5-wi-fi-security-myths-you-must-abandonnow.html
o http://www.networkworld.com/article/2325772/network-security/explaining-tkip.html
o http://www.creativeo.net/xiii-comprendre-le-fonctionnement-du-wpa/

Anne universitaire 2014/2015

80

Rapport de PFE : Scurit des rseaux sans fil

Annexes

Anne universitaire 2014/2015

81

Rapport de PFE : Scurit des rseaux sans fil

Annexe 1 : dtails des diffrents champs dune trame 802.11

Champ de contrle de la trame (Frame Control) ; qui est son rle divis en plusieurs

Figure 19:Schma du champ de contrle dune trame 802.11

Les 2 bits du champ Protocol Version donnent la version du protocole utilis, dans le cas du 802.11
cette valeur est fixe 0.
Les 6 bits daprs servent dfinir le type et le sous-type. Il existe trois types de trames : Trame
de contrle, de donnes ou dadministration. Chaque type est complt par un sous-type. Ci-dessous les
valeurs possibles de ces deux champs.

Valeur
type

00

du Description
type

Gestion

du Valeur du sousDescription du sous-type


type (b7 b6 b5 b4)
0000

Requte d'association

0001

Rponse d'association

0010

Requte de r-association

0011

Rponse de r-association

0100

Demande d'enqute

0101

Rponse d'enqute

0110-0111

Rservs

1000

Balise

1001

ATIM

1010

Dsassociation

1011

Authentification

Anne universitaire 2014/2015

82

Rapport de PFE : Scurit des rseaux sans fil

01

10

11

Contrle

Donnes

1100

Dsauthentification

1101-1111

Rservs

0000-1001

Rservs

1010

PS-Poll

1011

RTS

1100

CTS

1101

ACK

1110

CF End

1111

CF End et CF-ACK

0000

Donnes

0001

Donnes et CF-ACK

0010

Donnes et CF-Poll

0011

Donnes, CF-ACK et CF-Poll

0100

Fonction nulle (sans donnes)

0101

CF-ACK (sans donnes)

0110

CF-Poll (sans donnes)

0111

CF-ACK
donnes)

1000-1111

Rservs

0000-1111

Rservs

0001

Donnes et CF-ACK

et

CF-Poll

(sans

Rserv

Tableau 9: Types et sous-typesdes versions des protocoles utiliss dans une trame 802.11

Anne universitaire 2014/2015

83

Rapport de PFE : Scurit des rseaux sans fil

Les champs To DS et From DS : sont utiliss pour dfinir le sens de la trame. Ces deux valeurs
sont importantes car elles permettent de savoir dans quel type de rseau on se situe et donc dinterprter
les informations contenues dans les quatre champs dadresses SA, DA, TA et RA.

To DS

From DS

Signification

Trame entre deux stations d'un rseau ad-hoc ou trame de contrle entre un
point d'accs et une station.

Trame issue d'une station sans fil et destination d'une autre station. Cette
trame transitant via un point d'accs, c'est l'adresse du point d'accs qui est
utilise comme destination suivante.

Trame issue d'un point d'accs et destination d'une station sans fil, la source
pouvant tre filaire ou sans fil.

Trame issue d'un point d'accs et destination d'un autre point d'accs, utilis
pour l'interconnexion de rseaux locaux par un pont sans fil.

Tableau 10:Valeurs des champs To DS et From DS

Le champ More Fragment est positionn 1 lorsque dautres fragments de la trame sont
suivre.
Le champ Retry (rmmision) est 1 lorsque la trame a dj t envoye prcdemment.
le champ Power Management (gestion d nergie) est 1, la station passe en mode veille la fin
de la trame. Ce champ est toujours positionn 0 lorsque la trame vient dun point daccs.
Le champ More Data (autres donnes) est un champ positionn 1 lorsque dautres trames
restent transfrer depuis un point daccs vers une station dans un mode dconomie
dnergie.
Le bit suivant est positionn 1 si le contenu de la trame est crypte par le mcanisme de cl
WEP. Ceci ne sapplique quaux trames de donnes et dauthentification (trame
dadministration).
Enfin, le bit Order (ordre) est 1 lorsque les trames sont transfres en utilisant le mode
strictement ordonn (fonctionnalit demande par les couches suprieures ne grant par
lordonnancement).

Le champ Duration : Temps de rservation ou AID : Ce champ sert, entre autre, la mise en
place du vecteur dallocation (NAV). La valeur sur 2 octets est soit la mise jour du NAV (en s), dans
ce cas la valeur est infrieure 32767, soit la valeur de lAID (dans le cas du mode dconomie
dnergie). LAID est lidentification dune station par rapport au point daccs (dtermin au moment
de lassociation).
Adresses SA, DA, TA, RA Dans un rseau 802.11, les adresses source et destination ne
suffisent pas pour dterminer le cheminement dune trame. Cest pour cela quil peut y avoir jusqu 4
adresses ncessaires pour dfinir le cheminement de la trame. Ce sont des adresses MAC (donc codes
sur 6 octets). Ladresse SA est ladresse source. Elle peut se rfrer une station filaire ou sans fil, cest
ladresse MAC de la station qui envoie le message. Elle peut tre ladresse du point daccs (BSSID).

Anne universitaire 2014/2015

84

Rapport de PFE : Scurit des rseaux sans fil


Ensuite ladresse DA est ladresse destination. Comme ladresse SA, cest une adresse MAC qui peut
tre sur un rseau sans fil ou pas ou une adresse de point daccs. Cest la station qui est destine le
message.Ladresse TA est ladresse qui se rfre la station ayant mis le message sur le rseau sans fil.
Et enfin ladresse RA est ladresse qui se rfre la station recevant le message du rseau sans fil.

Comme dit prcdemment, les bits To DS et From DS dfinissent le type de rseau dans lequel la trame
est achemine. Le tableau et les illustrations suivantes rsument lutilisation des 4 adresses dune trame
et des bits To DS et From DS.

Figure 20::Utilisation des adresses dune trame 802.11

Figure 21: Schma du cas o To DS=0 et From DS=1

Figure 22: Schma du cas o To DS=1 et From DS=0

Figure 23: Schma du cas o To DS=1 et From DS=1

Squence de contrle (Sequence Control) : La valeur de ce champ est utilise dans le cas
denvoi de trames fragmentes et est code sur 16 bits. Cette valeur comprend la squence (sur 12 bits),
cest dire le numro de la trame envoy, et le numro du fragment (sur 4 bits). La squence est un
compteur modulo 4096.
Contenu de la trame (Frame body)Il sagit du message, il peut faire de 0 2312 octets.

Anne universitaire 2014/2015

85

Rapport de PFE : Scurit des rseaux sans fil


La zone de contrle (FCS) : Ce champ est un champ de contrle de 32 bits dont la valeur est
calcule suivant une formule polynomiale. Une station qui reoit une trame recalcule le FCS pour vrifier
quil ny a pas eu de problme durant la transmission.

Trames spcifiques
Il y a beaucoup de trames spcifiques (voir tableau des types et sous-types de trames), mais nous ne
dcrirons ici que trois dentre-elles :
La trame RTS : Comme nous lavons vu un peu plus tt, les trames RTS sont utilises dans le
cas ou la fonctionnalit RTS/CTS est active et sont utiles pour viter les collisions.

Figure 24: format dune trame RTS

Dans cette trame on positionne ladresse de la station sans fil qui recevra la trame et qui participe au
processus
du
RTS/CTS
(adresse
RA)
dans
ladresse
1.
Et dans ladresse 2, on positionne ladresse de la station du rseau sans fil qui met la trame (adresse
TA).
La trame CTS : Comme pour la trame RTS, cette trame est utilise dans le processus RTS/CTS.

Figure 25:Format trame CTS

Ladresse 1 prend pour valeur ladresse de la station sans fil qui recevra la trame (adresse RA), cest la
mme adresse que ladresse 2 de la trame RTS.
La trame ACKCest la trame qui acquitte une transmission de donnes qui cest bien passe.

Figure 26 : Format dune trame ACK

Ladresse 1 prend la valeur de ladresse qui recevra cette trame (adresse RA).

Anne universitaire 2014/2015

86