Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Aurélien Cabezon (SecurityVibes)
Published on Tuesday 11 November 2003
0 comment(s) | Subnetwork France

A l'heure ou les associations et les organismes comme l'ART ou la CNIL tentent de sensibiliser les particuliers et entreprises sur les dangers liés aux problèmes de sécurité liés à l'utilisation de réseaux en 802.11b et notamment dans le mécanisme de protection WEP, un expert en sécurité informatique de la société TrueSecure publie sur Internet un document mettant déjà en exergue certaines failles des réseaux 802.11i dans lesquels le WPA est utilisé en natif.

Le WPA a été développé et intégré par les constructeurs de matériels pour remplacer le WEP et ses défauts. Robert Moskowitz, auteur du document, explique que sous certaines conditions, le WPA n'offrirait pas plus de sécurité que le WEP. Mauvaise nouvelle donc pour les constructeurs et éditeurs de solutions WIFI.

Le mécanisme PSK mis en cause

Robert Moskowitz aurait réussi à mettre au point une méthode permettant de deviner la clé utilisée par le système PSK (Pre-Shared Keys) qui sert à authentifier une session utilisateur sur un réseau utilisant le WPA. L'expert prétend que seule la capture de quatre paquets spécifiques sur le réseau lui permettrait de reconstituer la clé PSK alors qu'il en fallait plusieurs milliers pour reconstituer une clé WEP d'une taille de 64 bits. Cette clé PSK, générée de manière aléatoire lors de l'initialisation de la connexion d'un utilisateur sur le réseau, lui permettrait alors d'accéder aux ressources comme un utilisateur authentifié. Cependant, cette faille ne s'applique qu'aux architectures utilisant la méthode des PSK et elle est inefficace sur les architectures utilisant un serveur d'authentification indépendant (802.11x).