S’assurer que les utilisateurs du réseau sont en mesure de s’authentifier en toute sécurité au réseau sans fil est primordial pour la sûreté et la sécurité globales de votre organisation. Les protocoles de réseau sans fil les plus utilisés aujourd’hui sont les protocoles d’authentification extensible (EAP) utilisés dans WPA2-Enterprise. L’utilisation d’une méthode d’authentification EAP garantit que les informations des utilisateurs sont envoyées par voie hertzienne à l’aide d’un cryptage et évite toute interception.

Deux des méthodes EAP les plus courantes, EAP-TLS et PEAP-MSCHAPv2, sont couramment utilisées et acceptées comme méthodes d’authentification sécurisées, mais comment fonctionnent-elles ? Et comment diffèrent-elles pour assurer la sécurité ?

Configuration de la méthode EAP sécurisée

Bien que le processus de configuration pour EAP-TLS et PEAP-MSCHAPv2 soit différent, ils ont une chose en commun ; vous ne devriez pas permettre aux utilisateurs de configurer manuellement leurs appareils pour l’accès au réseau. Lorsqu’il est laissé à lui-même, l’utilisateur moyen du réseau a de nombreuses occasions de mal configurer son appareil, le laissant ouvert aux attaques MITM et Evil Twin.

Le processus pour EAP-TLS implique l’inscription pour et l’installation d’un certificat numérique, et les deux protocoles nécessitent une configuration de validation du certificat du serveur afin de rester efficace contre les attaques de vol de créance over-the-air. Et ceci couvre à peine toutes les étapes impliquées. Pour l’utilisateur moyen du réseau, le processus est compliqué pour les deux et la configuration manuelle doit être évitée à tout prix.

Pour contourner les tickets de support et les risques de sécurité de la configuration manuelle, il est recommandé de déployer un logiciel d’onboarding pour configurer automatiquement les nouveaux utilisateurs. La solution d’onboarding JoinNow de SecureW2 configure les utilisateurs avec précision en quelques étapes. Il leur suffit de s’identifier et, une fois leur demande approuvée, leurs appareils sont configurés en toute sécurité pour accéder au réseau à l’aide de l’authentification EAP-TLS ou PEAP-MSCHAPv2. Le processus est rapide, simple et permet de s’assurer que tous les utilisateurs sont correctement configurés.

Authentification avec EAP-TLS et PEAP-MSCHAPv2

Les deux protocoles sont considérés comme des méthodes EAP, ils envoient donc chacun des informations d’identification à travers le tunnel EAP crypté. Ce tunnel crypté empêche tout utilisateur extérieur de lire les informations envoyées par voie hertzienne.

Cependant, le processus pour l’utilisateur final diffère considérablement entre les deux protocoles. Avec PEAP-MSCHAPv2, l’utilisateur doit saisir ses informations d’identification qui seront envoyées au serveur RADIUS qui vérifie les informations d’identification et les authentifie pour l’accès au réseau. EAP-TLS utilise l’authentification par certificat. Plutôt que d’envoyer des informations d’identification au serveur RADIUS par voie hertzienne, les informations d’identification sont utilisées pour l’inscription d’un certificat unique, et le certificat est envoyé au serveur RADIUS pour l’authentification. Au cours de la vie de l’utilisateur au sein de l’organisation, le fait de pouvoir s’auto-authentifier sans avoir à mémoriser un mot de passe ou à le mettre à jour en raison d’une politique de changement de mot de passe est un énorme avantage pour l’expérience utilisateur.

Bien que les informations échangées entre le dispositif client, le point d’accès (AP) et le serveur RADIUS puissent être différentes entre EAP-TLS et PEAP-MSCHAPv2, elles subissent toutes deux un Handshake TLS. Il s’agit du processus de communication au cours duquel le serveur et le client échangent des informations d’identification. Les deux parties vérifient l’identité de l’autre, établissent des algorithmes de cryptage et conviennent de clés de session pour s’authentifier en toute sécurité sur le réseau. Vous trouverez ci-dessous des images du guide d’étude Certified Wireless Security Professional détaillant le processus des deux protocoles d’authentification.

La principale différence à souligner entre les processus d’authentification ci-dessus est le nombre d’étapes impliquées. Le processus EAP-TLS a presque la moitié des étapes pour s’authentifier.

Sur une base d’authentification individuelle, c’est une différence de temps extrêmement courte. Pour un seul utilisateur qui s’authentifie, la différence est presque imperceptible. Là où cette différence d’étapes entre en jeu, c’est lors d’un événement d’authentification important.

S’il y a une situation où un grand nombre d’utilisateurs tentent de s’authentifier en même temps, le processus raccourci devient un avantage significatif. Il y a beaucoup moins de chances qu’un ralentissement de l’authentification se produise. En outre, si votre RADIUS est surchargé de demandes d’authentification et ne dispose pas de mesures de redondance, votre réseau peut être confronté à des refus de demandes et à des retards fastidieux. Pour le bien de la productivité, un processus plus court peut faire une grande différence.

Dans quels domaines les méthodes d’authentification sont-elles à risque ?

La comparaison des risques de sécurité de l’authentification basée sur les certificats et de l’authentification basée sur les informations d’identification révèle que les certificats sont beaucoup plus sûrs que les informations d’identification. Du point de vue de l’identité, les justificatifs d’identité ne sont pas fiables. Les certificats ne peuvent pas être transférés ou volés parce qu’ils sont liés à l’identité du dispositif et de l’utilisateur ; en attendant, les justificatifs volés peuvent être utilisés sans méthode pour identifier si l’utilisateur authentifié est réellement celui qu’il prétend être.

Au delà des problèmes d’identité, il existe plusieurs méthodes d’attaque pour voler des justificatifs valides. Une attaque de type man-in-the-middle peut être utilisée pour exploiter les informations d’identification d’utilisateurs s’authentifiant sur le mauvais réseau. Une attaque par dictionnaire peut être réalisée à distance en envoyant d’innombrables demandes d’authentification jusqu’à ce que le bon mot de passe soit envoyé. Enfin, le hameçonnage est une méthode d’attaque psychologique extrêmement courante pour inciter les utilisateurs à donner leurs mots de passe. Dans l’ensemble, des mots de passe faibles et des attaques de piratage simples peuvent menacer l’intégrité d’un réseau sécurisé.

En revanche, les certificats ne peuvent pas être volés par voie hertzienne ou utilisés par un acteur extérieur. Ils sont protégés par un chiffrement à clé privée et ne peuvent pas être utilisés par un autre appareil. Le seul exploit légitime pour contourner la sécurité des certificats est un processus alambiqué dans lequel le pirate se fait passer pour un employé et trompe un fournisseur PKI pour qu’il lui distribue un certificat valide. Le processus est extrêmement difficile et peut être évité en éventant votre fournisseur et en vous assurant qu’il utilise les meilleures pratiques de sécurité de base.

Bien que les deux méthodes EAP protègent les données envoyées par voie hertzienne, elles diffèrent en termes de sécurité globale, d’efficacité et d’expérience utilisateur. EAP-TLS avec authentification par certificat est tout simplement plus sûr et offre une expérience utilisateur supérieure avec des avantages en termes d’efficacité et de protection. Si vous recherchez l’étalon-or de l’authentification, SecureW2 propose une solution EAP-TLS clé en main qui comprend un logiciel d’intégration des appareils, des services PKI gérés et un serveur RADIUS en nuage. Consultez notre page de tarification pour savoir si les solutions de SecureW2 sont adaptées à votre organisation.

The post EAP-TLS vs. PEAP-MSCHAPv2 : Quel protocole d’authentification est supérieur ? est apparu en premier sur SecureW2.

*** Il s’agit d’un blog du Security Bloggers Network syndiqué par SecureW2 et rédigé par Jake Ludin. Lire l’article original à l’adresse suivante : https://www.securew2.com/blog/eap-tls-vs-peap-mschapv2-which-authentication-protocol-is-superior/