📡 WiFi — normes et WPA2-PSK

🌟 Introduction

En octobre 2017, la vulnérabilité connue sous le nom de KRACK (CVE-2017-13077) a montré qu'une faiblesse de la mise en œuvre du protocole WPA2 permettait la réinstallation de clés lors du 4-way handshake, rendant temporairement certains flux chiffrés interceptables sur des clients non patchés. Cette attaque n'était pas due à la faiblesse d'AES/CCMP, mais à la gestion des compteurs et des réinstallations de clés dans les piles Wi‑Fi clientes ; le correctif a dû être appliqué sur tous les clients et points d'accès.

Dans le contexte d'InnovatTech, imaginer un poste d'ingénieur non mis à jour qui se reconnecte à un AP malveillant suffit à comprendre l'impact opérationnel et réglementaire.

🎯 Objectifs de la séance

• Expliquer les différences techniques et les débits théoriques des variantes 802.11 (a/b/g/n/ac/ax) et leurs conséquences en PME.
• Concevoir un plan de canaux Wi‑Fi (2,4 GHz / 5 GHz) qui minimise interférences et conflits de fréquences.
• Configurer un SSID sécurisé en WPA2‑PSK sur un contrôleur Ubiquiti UniFi et capturer/analyser un 4-way handshake avec Wireshark.

1. Normes 802.11 et caractéristiques (50 min)

La famille 802.11 a évolué en privilégiant tour à tour portée, débit et densité de clients. En synthèse :

MIMO et bonding de canaux

MIMO (Multiple Input Multiple Output) exploite plusieurs antennes pour augmenter le débit ou la robustesse via le multiplexage spatial. Le bonding (40/80/160 MHz) élargit la bande passante utile mais aussi la zone d'interférence :

• Sur 2,4 GHz : éviter le bonding (peu de canaux disponibles, congestion assurée).
• Sur 5 GHz : envisageable si le plan de canaux le permet.

Exemple InnovatTech

Deux AP Ubiquiti AC‑Pro couvrent les bureaux. Stratégie recommandée : 5 GHz pour postes fixes (haut débit) et 2,4 GHz pour imprimantes/IoT. VLAN 20 (Users) et VLAN 40 (Guests).

             Internet
                │
             [pfSense]
            /    |    \
   VLAN10 Admin  |   VLAN20 Users
    win-srv01    |    ├─[AP UniFi AC-Pro]──(WiFi InnovatTech-Employees)
                 |    └─[AP UniFi AC-Pro]──(WiFi InnovatTech-Guests)
                 |
               Switch

2. Canaux radio, interférences et sécurité (70 min)

Plan de canaux 2,4 GHz

Les canaux sont espacés de 5 MHz mais la largeur utile est environ 20 MHz. Pour éviter le chevauchement on retient les canaux 1 / 6 / 11 (règle pratique et stable pour des canaux 20 MHz). La bande 2,4 GHz offre une meilleure pénétration mais souffre de congestion (Bluetooth, micro‑ondes, IoT).

Plan de canaux 5 GHz

La bande 5 GHz propose 20+ canaux utilisables (36–64, 100–144, 149–165 selon pays) en 20/40/80/160 MHz. Certains canaux sont soumis à DFS (Dynamic Frequency Selection) : l'AP doit détecter la présence de radars et changer de canal si nécessaire.

Stratégie de déploiement :

1. Prioriser 5 GHz pour la capacité.
2. Planifier des canaux non‑adjacents pour limiter l'ACI.
3. Réduire la puissance TX lorsque les APs sont proches.
4. Activer DFS quand nécessaire (attention aux discontinuités).

Sécurité WPA2-PSK : mécanismes techniques

WPA2‑PSK repose sur un mot de passe partagé (la passphrase) converti en PMK (Pairwise Master Key) via PBKDF2 (salt = SSID). Le contrôle d'accès utilise un 4-way handshake pour dériver la PTK (Pairwise Transient Key) et distribuer la GTK (Group Temporal Key) pour le trafic multicast/broadcast.

Le 4-way handshake WPA2

Le chiffrement moderne est CCMP (AES‑CCM) qui fournit confidentialité et intégrité des trames. WEP et TKIP sont obsolètes et doivent être désactivés.

Attaques à connaître

3. Commandes et outils (10 min)

Commandes courantes sous Linux pour la gestion du Wi‑Fi :

# Affiche les interfaces wireless (legacy iwconfig)
$ iwconfig eth0
eth0      no wireless extensions.
# "no wireless extensions" → interface sans capacité radio

# Scanner les réseaux à portée (iw — outil moderne recommandé)
$ sudo iw dev wlan0 scan | head -n 20
BSS 00:11:22:33:44:55 (on wlan0)
    SSID: InnovatTech-Employees
    freq: 5180
    signal: -42.00 dBm
    RSN: WPA2 CCMP
    SSID: InnovatTech-Guests

# NetworkManager CLI — listage simple
$ nmcli device wifi list
IN-USE  SSID                    MODE   CHAN  RATE        SIGNAL  BARS  SECURITY
        InnovatTech-Employees   Infra  36    130 Mbit/s  78      ▂▄▆_  WPA2
        InnovatTech-Guests      Infra  6     54 Mbit/s   62      ▂▄▆_  WPA2

# Windows — informations détaillées sur les interfaces WiFi
C:\> netsh wlan show all
Interface name : Wi-Fi
    SSID 1 : InnovatTech-Employees
        Network type            : Infrastructure
        Authentication          : WPA2-PSK
        Cipher                  : CCMP
        BSSID 1                 : 00:11:22:33:44:55
        Channel                 : 36

🔧 Travaux Pratiques (90 min)

Objectifs du TP

• Configurer via le contrôleur UniFi : InnovatTech-Employees (WPA2-PSK) et InnovatTech-Guests (VLAN 40, isolation inter-clients).
• Produire une capture Wireshark montrant le 4-way handshake et rédiger un court rapport expliquant les 4 messages.

Prérequis techniques

• Accès au contrôleur UniFi (adresse, compte admin) ; AP UniFi adoptés et en ligne (ex : 192.168.10.50/51).
• Poste Linux avec interface sans fil supportant le mode monitor et Wireshark installé.

Étapes

1. Créer le réseau VLAN Invités (VLAN ID 40) dans UniFi Controller → Settings → Networks.
2. Créer le SSID employé :
   • Name : InnovatTech-Employees
   • Security : WPA2-Personal (WPA2-PSK)
   • Encryption : AES (CCMP) uniquement
   • Passphrase : forte (ex : S3cur3P@ssw0rd!)
3. Créer le SSID invité :
   • Name : InnovatTech-Guests
   • Associer au VLAN 40
   • Activer Client Isolation / Block LAN to WLAN
4. Provisionner les AP et vérifier via iw dev wlan0 scan.
5. Capturer le 4-way handshake sur le poste Linux :

   # Activer le mode monitor
   sudo ip link set wlan0 down
   sudo iw dev wlan0 set monitor control
   sudo ip link set wlan0 up
   
   # Capturer le trafic EAPOL (protocole du 4-way handshake)
   sudo tshark -i wlan0 -f "ether proto 0x888e" -w seance1-handshake.pcap
   # ou avec tcpdump :
   sudo tcpdump -i wlan0 -w seance1-handshake.pcap ether proto 0x888e

6. Connecter un client légitime au SSID InnovatTech-Employees pour générer le handshake (déconnecter/réassocier si déjà connecté).
7. Analyser dans Wireshark : filtre eapol — identifier les 4 trames EAPOL Key :

   Frame 124: EAPOL Key (Message 1 of 4)  — ANonce
   Frame 125: EAPOL Key (Message 2 of 4)  — SNonce + MIC
   Frame 126: EAPOL Key (Message 3 of 4)  — GTK Encrypted + Install flag
   Frame 127: EAPOL Key (Message 4 of 4)  — ACK

8. Rédiger un rapport d'une page expliquant pour chaque trame : quel nonce est utilisé, où se trouve le MIC, et pourquoi l'échange garantit que le client et l'AP partagent la même PMK.

Livrables attendus

• Export PDF du screenshot UniFi montrant la configuration des deux SSID et la définition du VLAN 40.
• Fichier pcap seance1-handshake.pcap contenant le 4-way handshake.
• Rapport d'analyse (1 page) expliquant chaque message du handshake.

Critères de réussite

• ☐ Le SSID InnovatTech-Employees est actif et utilise WPA2-PSK avec AES/CCMP.
• ☐ Le SSID InnovatTech-Guests est mappé au VLAN 40 et les clients invités sont isolés du LAN et entre eux.
• ☐ Le pcap contient les 4 messages EAPOL clairement identifiables et le rapport explique le rôle de chacun.

📌 Synthèse de séance (10 min)

Cette séance a posé les fondations techniques : les différentes générations 802.11, leur compromis entre portée et débit, l'importance d'un plan de canaux adapté et la fragilité d'une sécurité basée uniquement sur une clé partagée (PSK). Le 4-way handshake est le cœur de WPA2 : il dérive des clés temporaires à partir d'un PMK mais nécessite des implémentations clientes et AP à jour (KRACK).

📝 QCM — Testez vos connaissances