1
00:00:04,760 --> 00:00:10,100
 Bonjour et bienvenue dans cette vidéo intitulée «
 Introduction à la transmission simultanée SAE ».

2
00:00:10,100 --> 00:00:13,420
 Authentification des égaux.

3
00:00:13,420 --> 00:00:19,500
 Dans cette vidéo, nous allons donc commencer
 à aborder les détails de la manière dont…

4
00:00:19,500 --> 00:00:26,320
 WPA3 génère des valeurs uniques d'une
 manière différente de WPA2.

5
00:00:26,320 --> 00:00:29,980
 Passons maintenant rapidement en
 revue quelques concepts clés.

6
00:00:29,980 --> 00:00:33,980
 Tout d'abord, rappelez-vous qu'un PMK signifie « pairwise
 master key » (clé maîtresse par paire).

7
00:00:33,980 --> 00:00:39,080
 Rappelons que le Wi-Fi sécurisé repose sur une
 architecture réseau de sécurité robuste.

8
00:00:39,080 --> 00:00:44,900
 La norme 802.11i nécessite l'utilisation
 de plusieurs clés.

9
00:00:44,900 --> 00:00:48,900
 La clé maîtresse par paire étant une clé de base
 fondamentale que vous utilisez généralement

10
00:00:48,900 --> 00:00:54,120
 Pour commencer. Ensuite, d'autres clés de chiffrement
 et d'intégrité, telles que la clé.

11
00:00:54,120 --> 00:01:00,660
 La clé de chiffrement et la clé temporelle
 sont finalement dérivées de la PMK.

12
00:01:00,660 --> 00:01:04,360
 avec une étape intermédiaire.

13
00:01:04,360 --> 00:01:09,260
 Alors, comment obtenir cette
 clé maîtresse par paire ?

14
00:01:09,260 --> 00:01:12,440
 Eh bien, nous en avons parlé dans certaines vidéos
 précédentes, cela peut provenir de l'un des

15
00:01:12,440 --> 00:01:19,040
 deux endroits. Si vous effectuez un échange
 802.1x complet avec WPA Enterprise,

16
00:01:19,040 --> 00:01:23,560
 Le serveur d'authentification RADIUS
 vous fournira alors un long maître

17
00:01:23,560 --> 00:01:29,260
 clé de session. Vous la diviserez en deux
 et vous renommerez la première moitié.

18
00:01:29,260 --> 00:01:32,520
 ou réutiliser comme clé
 maîtresse par paire.

19
00:01:32,520 --> 00:01:38,440
 Si vous utilisez WPA personnel, nous allons
 utiliser votre phrase de passe WPA.

20
00:01:38,440 --> 00:01:42,240
 ou la clé pré-partagée de votre
 réseau local sans fil.

21
00:01:42,240 --> 00:01:45,020
 Et nous allons traiter cela à l'aide
 d'une formule qui permettra de

22
00:01:45,020 --> 00:01:47,840
 puis dériver la clé maîtresse par paire.

23
00:01:47,840 --> 00:01:52,460
 Finalement, quelle que soit la méthode employée,
 la clé maîtresse par paire est partagée.

24
00:01:52,460 --> 00:01:56,560
 entre le client Wi-Fi
 et le point d'accès.

25
00:01:56,560 --> 00:02:01,360
 Et ensuite, nous en déduisons
 les clés suivantes.

26
00:02:01,360 --> 00:02:08,000
 Dans le cadre d'une révision du protocole WPA2 personnel,
 la clé principale par paire a été dérivée.

27
00:02:08,000 --> 00:02:13,960
 en prenant votre clé pré-partagée, votre
 clé pré-partagée WPA2 comme ça, vous

28
00:02:13,960 --> 00:02:17,800
 avait quelque part sur le mur ou que tu as
 envoyé à tout le monde par e-mail, comme

29
00:02:17,800 --> 00:02:21,420
 Notre mot de passe Wi-Fi est Cisco123.

30
00:02:21,420 --> 00:02:24,080
 Notre mot de passe Wi-Fi est
 « café est excellent ».

31
00:02:24,080 --> 00:02:30,920
 Quel que soit le mot de passe Wi-Fi en WPA2,
 celui-ci, associé au SSID, est utilisé

32
00:02:30,920 --> 00:02:36,500
 Ce qu'on appelait un sel était intégré à la
 dérivation de clé basée sur le mot de passe.

33
00:02:36,500 --> 00:02:39,820
 fonction au PBKDF2.

34
00:02:39,820 --> 00:02:43,240
 Le problème, c'était plusieurs choses.

35
00:02:43,240 --> 00:02:46,840
 Premièrement, il était cassable.

36
00:02:46,840 --> 00:02:58,320
 Les gens ont commencé par une sorte de chose
 vraiment facile, simpliste, facile à deviner

37
00:02:58,320 --> 00:03:02,680
 Le mot de passe Wi-Fi, les
 gens pouvaient le deviner.

38
00:03:02,680 --> 00:03:07,020
 S'ils pouvaient observer la poignée de main EPUV ou
 LAN à quatre voies lors d'un événement particulier

39
00:03:07,020 --> 00:03:11,760
 Le client se connectait au réseau local sans
 fil ; ils ont pu le rétroconcevoir car

40
00:03:11,760 --> 00:03:16,820
 La fonction PBKDF2 est rétro-ingénierable
 et ils pourraient en déduire

41
00:03:16,820 --> 00:03:19,020
 quelle était cette phrase de passe.

42
00:03:19,020 --> 00:03:24,620
 Un autre inconvénient était que cela aboutissait
 à la même clé maîtresse par paire pour chaque

43
00:03:24,620 --> 00:03:28,840
 Client WPA2. Il y avait donc
 un inconvénient majeur.

44
00:03:28,840 --> 00:03:32,140
 Ainsi, lors du développement du WPA3, ils se
 sont dit : « Il faut faire quelque chose. »

45
00:03:32,140 --> 00:03:34,220
 À ce sujet. Nous devons
 régler ce problème.

46
00:03:34,220 --> 00:03:41,160
 Donc, dans le WPA3 personnel, également connu sous
 le nom de WPA3SAE, ils ont dit : nous allons

47
00:03:41,160 --> 00:03:47,780
 Supprimer cette fonction PBKDF2
 et la remplacer par la

48
00:03:47,780 --> 00:03:53,540
 Authentification simultanée de la poignée de
 main d'égalité appelée poignée de main SAE.

49
00:03:53,540 --> 00:03:56,720
 On appelle également cela la poignée
 de main de la libellule.

50
00:03:56,720 --> 00:03:59,540
 Vous verrez donc ces deux termes
 utilisés indifféremment.

51
00:03:59,540 --> 00:04:01,340
 Alors, en quoi cela change-t-il
 vraiment les choses ?

52
00:04:01,340 --> 00:04:04,520
 Eh bien, la grande différence réside ici, et nous allons
 approfondir les aspects mathématiques de ce sujet.

53
00:04:04,520 --> 00:04:11,100
 Une autre vidéo explique que, lors de l'étape
 d'authentification proprement dite, vous

54
00:04:11,100 --> 00:04:15,340
 Utilisez une méthode similaire à celle de Diffie-Hellman,
 pas exactement Diffie-Hellman, mais très proche.

55
00:04:15,340 --> 00:04:21,160
 En théorie, cela implique un échange de clés pour
 créer des paires de clés maîtresses uniques.

56
00:04:21,160 --> 00:04:29,900
 par client. L'idée est donc qu'avec
 le WPA2 personnel, chaque station

57
00:04:29,900 --> 00:04:34,740
 connecté au réseau local sans fil,
 quel qu'il soit, a commencé par

58
00:04:34,740 --> 00:04:38,380
 avec exactement la même
 clé maîtresse par paire.

59
00:04:38,380 --> 00:04:40,240
 Il s'agit d'un réseau WPA2 personnel.

60
00:04:40,240 --> 00:04:46,300
 Dans le WPA3 personnel, nous utilisons une formule différente
 appelée SAE, qui donne les résultats suivants :

61
00:04:46,300 --> 00:04:52,440
 dans chaque station possédant une
 clé maîtresse unique par paire.

62
00:04:52,440 --> 00:04:54,220
 Alors, comment pouvons-nous
 concrètement le constater ?

63
00:04:54,220 --> 00:04:59,800
 En WPA3, le processus d'authentification simultanée
 par égalité fonctionne en réalité comme suit :

64
00:04:59,800 --> 00:05:05,440
 modifie les trames d'authentification
 802.11 de plusieurs manières.

65
00:05:05,440 --> 00:05:12,680
 Premièrement, rappelez-vous qu'en norme
 802.11, que vous utilisiez le WPA ou

66
00:05:12,680 --> 00:05:17,220
 Si vous effectuez une analyse de trafic réseau avec un outil comme Wireshark,
 vous pourriez rencontrer le problème suivant avec le WPA2 :

67
00:05:17,220 --> 00:05:20,760
 Vous verrez un grand nombre de balises, puis
 peut-être un client de réseau local sans fil.

68
00:05:20,760 --> 00:05:24,900
 envoyer une requête de sondage, recevoir une réponse
 de sondage, et ensuite que se passerait-il ?

69
00:05:24,900 --> 00:05:31,980
 Vous voyez ensuite ? Vous verrez une trame
 de gestion 802.11 appelée, en fait,

70
00:05:31,980 --> 00:05:34,460
 Il se peut que ce soit
 un repère de contrôle.

71
00:05:34,460 --> 00:05:39,020
 Quoi qu'il en soit, une trame 802.11 appelée
 authentification est envoyée du client au

72
00:05:39,020 --> 00:05:42,820
 point d'accès, et on parlerait
 d'authentification ouverte.

73
00:05:42,820 --> 00:05:46,800
 Donc, le code de type réel serait une valeur
 pour « ouvert », et ensuite vous…

74
00:05:46,800 --> 00:05:52,680
 voir un message d'authentification 802.11
 transiter du point d'accès vers le client

75
00:05:52,680 --> 00:05:54,500
 Et puis, ce serait terminé.

76
00:05:54,500 --> 00:05:58,660
 Ensuite, vous passeriez à l'échange de
 cadres d'association, n'est-ce pas ?

77
00:05:58,660 --> 00:06:02,240
 Donc, il s'agirait simplement de cet
 échange d'authentification, mais

78
00:06:02,240 --> 00:06:05,140
 Les cadres d'authentification
 n'ont absolument rien servi.

79
00:06:05,140 --> 00:06:09,060
 Ils n'ont échangé aucun mot de passe ; ils n'étaient
 pas vraiment utilisés pour l'authentification.

80
00:06:09,060 --> 00:06:11,640
 Pas avec une authentification
 ouverte en tout cas.

81
00:06:11,640 --> 00:06:15,780
 Avec le WPA3, ils ont dit qu'ils
 allaient changer un peu cela.

82
00:06:15,780 --> 00:06:21,400
 Tout d'abord, dans le cadre de l'authentification,
 nous allons modifier l'authentification.

83
00:06:21,400 --> 00:06:25,980
 Type d'algorithme de l'ouvert au SAE.

84
00:06:25,980 --> 00:06:29,960
 Un nouveau type d'algorithme d'authentification
 SAE a donc été identifié.

85
00:06:29,960 --> 00:06:33,140
 avec une valeur de trois
 que vous pouvez voir ici.

86
00:06:33,140 --> 00:06:36,940
 Et au lieu de simplement procéder à un échange
 de deux messages d'authentification,

87
00:06:36,940 --> 00:06:41,420
 Nous allons procéder à un échange de quatre
 messages, dont deux provenant du client.

88
00:06:41,420 --> 00:06:51,220
 au point d'accès, deux
 messages du client.

89
00:06:51,220 --> 00:06:54,620
 Il existe donc des cadres
 de validation SAE.

90
00:06:54,620 --> 00:06:57,300
 Vous verrez donc cela dans une trace de renifleur
 de requin à fil de fer, que vous verrez

91
00:06:57,300 --> 00:07:02,080
 Vous verrez dans un instant, c'est le client,
 le tout premier message d'authentification

92
00:07:02,080 --> 00:07:06,140
 Il enverra un engagement SAE.

93
00:07:06,140 --> 00:07:11,200
 Le point d'accès répondra par
 son propre engagement SAE.

94
00:07:11,200 --> 00:07:16,420
 Vous verrez ensuite le client envoyer une
 confirmation SAE et le point d'accès sera…

95
00:07:16,420 --> 00:07:24,400
 répondre avec sa propre confirmation SAE,
 soit un total de quatre messages.

96
00:07:24,400 --> 00:07:28,460
 Donc, le cadre de validation SAE, donc cet
 échange de deux cadres de validation SAE

97
00:07:28,460 --> 00:07:35,760
 est utilisé pour échanger des données et des
 valeurs aléatoires entre le point d'accès et

98
00:07:35,760 --> 00:07:40,620
 le client, afin qu'il puisse définir une clé
 secrète partagée à l'aide d'une formule

99
00:07:40,620 --> 00:07:43,480
 très similaire à la formule
 Diffie-Hellman.

100
00:07:43,480 --> 00:07:47,820
 Donc, une fois cet échange de trames
 de validation SAE effectué, ils ont

101
00:07:47,820 --> 00:07:49,540
 la clé secrète partagée.

102
00:07:49,540 --> 00:07:54,240
 Puis ils effectuent un échange de deux images
 de confirmation SAE, juste pour confirmer.

103
00:07:54,240 --> 00:07:58,640
 que, pour confirmer qu'ils ont
 bien le même matériel partagé

104
00:07:58,640 --> 00:08:03,200
 clé secrète. Une fois cela confirmé, ils pourront
 alors utiliser ce secret partagé.

105
00:08:03,200 --> 00:08:09,240
 Utilisez la clé, intégrez-la dans une formule
 et dérivez la clé maîtresse par paire.

106
00:08:09,240 --> 00:08:12,420
 Et nous détaillerons le fonctionnement
 de ce système dans un prochain article.

107
00:08:12,420 --> 00:08:16,460
 vidéo. Mais je voulais juste terminer
 cette vidéo ici en vous montrant une

108
00:08:16,460 --> 00:08:20,080
 Voici une trace d'analyse effectuée
 par Wire Shark qui le démontre.

109
00:08:20,080 --> 00:08:23,540
 Et voyez, le principal enseignement
 est que vous ne voyez plus seulement

110
00:08:23,540 --> 00:08:25,240
 deux cadres d'authentification.

111
00:08:25,240 --> 00:08:30,640
 Donc, en WPA et WPA2, vous auriez vu deux requêtes,
 une provenant du client, exécutées

112
00:08:30,640 --> 00:08:32,540
 à partir du point d'accès, et c'est tout.

113
00:08:32,540 --> 00:08:35,120
 Et si vous cliquiez dessus, il n'y
 aurait vraiment rien dedans.

114
00:08:35,120 --> 00:08:37,940
 On dirait simplement « authentification ouverte
 », mais il n'y aurait pas grand-chose à dire.

115
00:08:37,940 --> 00:08:43,600
 Tout autre élément avec WPA3 personnel,
 vous en voyez maintenant quatre.

116
00:08:43,600 --> 00:08:47,160
 Et par exemple, si nous cliquons sur ce tout
 premier élément ici, provenant du client

117
00:08:47,160 --> 00:08:52,300
 En accédant au point d'accès Cisco, vous pouvez constater
 que le type de message SAE est « commit ».

118
00:08:52,300 --> 00:08:54,520
 Voici donc notre tout premier
 message de commit.

119
00:08:54,520 --> 00:08:58,320
 Nous avons donc deux commits
 et deux confirmations.

120
00:08:58,320 --> 00:09:02,060
 Nous approfondirons le fonctionnement
 de tout cela dans un prochain article.

121
00:09:02,060 --> 00:09:07,680
 vidéo. Mais il s'agit en quelque sorte de notre premier aperçu
 ou introduction sur la façon dont SAE est fondamentalement...

122
00:09:07,680 --> 00:09:14,100
 différent par le type et la quantité des
 messages qu'il envoie par rapport à

123
00:09:14,100 --> 00:09:19,160
 vers WPA2. Merci beaucoup d'avoir
 regardé cette vidéo.

124
00:09:19,160 --> 00:09:20,720
 Et j'espère vraiment que
 cela vous a été utile.