1 00:00:04,380 --> 00:00:09,160 Bonjour et bienvenue dans cette vidéo intitulée WPA3 Easy Connect. 2 00:00:09,160 --> 00:00:16,060 Avant de parler de WPA3 Easy Connect et du problème qu'il résout, voyons… 3 00:00:16,060 --> 00:00:22,240 Revenons aux balbutiements du Wi-Fi, au début des années 2000, et parlons-en. 4 00:00:22,240 --> 00:00:25,200 concernant certains des problèmes qui existaient à l'époque. 5 00:00:25,200 --> 00:00:30,080 À l'époque, le Wi-Fi en était encore à ses balbutiements, et beaucoup de gens… 6 00:00:30,080 --> 00:00:34,720 On nous l'a présenté et beaucoup d'utilisateurs non techniques étaient en quelque sorte 7 00:00:34,720 --> 00:00:40,940 Ils étaient déconcertés par cette idée qu'ils devaient saisir une phrase de passe WPA ou WPA2. 8 00:00:40,940 --> 00:00:45,260 surtout si ce à quoi ils avaient affaire était quelque chose comme un appareil photo 9 00:00:45,260 --> 00:00:51,320 ou une imprimante ou un téléviseur doté d'un très petit écran ou de commandes d'entrée limitées, 10 00:00:51,320 --> 00:00:56,580 ce qui, comme indiqué ici, rendait la saisie de cette phrase de passe fastidieuse, voire source d'erreurs. 11 00:00:56,580 --> 00:01:01,980 enclin. Par exemple, voici une phrase de passe plutôt bonne, plutôt 12 00:01:01,980 --> 00:01:06,220 Bien construit, joli et sécurisé, mais nous avons une imprimante ici et 13 00:01:06,220 --> 00:01:09,380 Il faut taper ça dans ces tout petits trucs qui sont à peu près 14 00:01:09,380 --> 00:01:10,960 de la taille d'une tête d'épingle. 15 00:01:10,960 --> 00:01:12,420 Bonne chance avec ça. 16 00:01:12,420 --> 00:01:17,120 Les développeurs Wi-Fi cherchent donc un moyen de diffuser les identifiants Wi-Fi de manière sécurisée. 17 00:01:17,120 --> 00:01:20,220 à ces types d'appareils de manière simple. 18 00:01:20,220 --> 00:01:23,720 Ainsi, une personne n'aurait pas à saisir un mot de passe long et complexe. 19 00:01:23,720 --> 00:01:28,580 À l'époque, la première solution était ce qu'on appelait le Wi-Fi protégé. 20 00:01:28,580 --> 00:01:33,980 configuration ou WPS. Je ne vais pas entrer dans les détails techniques du fonctionnement de WPS. 21 00:01:33,980 --> 00:01:39,260 Ça fonctionne parce que ce n'est pas vraiment pris en charge, ce n'est en fait pas une bonne chose. 22 00:01:39,260 --> 00:01:43,560 Il présente de nombreuses faiblesses, mais il prépare en quelque sorte le terrain pour 23 00:01:43,560 --> 00:01:46,680 La connexion Wi-Fi facile dont nous allons parler dans un instant. 24 00:01:46,680 --> 00:01:52,460 Ce système a été lancé il y a longtemps par la Wi-Fi Alliance en 2007. 25 00:01:52,460 --> 00:01:56,260 Et avec WOT avec WPS, dont il existe encore aujourd'hui des appareils comme 26 00:01:56,260 --> 00:02:00,120 Pour les points d'accès et les appareils compatibles, vous avez deux appareils différents. 27 00:02:00,120 --> 00:02:05,300 rôles. Vous avez le serveur d'enregistrement, qui est le point d'accès lui-même, et 28 00:02:05,300 --> 00:02:08,680 Vous avez l'inscrit, qui est votre client. 29 00:02:08,680 --> 00:02:14,600 Le WPS fonctionnait donc en créant un tunnel chiffré et sécurisé. 30 00:02:14,600 --> 00:02:20,700 entre ces appareils afin que le registraire puisse transmettre au participant 31 00:02:20,700 --> 00:02:24,420 la phrase de passe Wi-Fi, la phrase de passe WPA, WPA2. 32 00:02:24,420 --> 00:02:27,920 Vous n'aurez donc pas besoin de saisir cette phrase de passe. 33 00:02:27,920 --> 00:02:30,360 Alors, comment ce tunnel crypté a-t-il été créé ? 34 00:02:30,360 --> 00:02:34,760 Si vous ne saisissez pas de phrase secrète, comment pouvons-nous avoir un secret qui 35 00:02:34,760 --> 00:02:36,940 crée un tunnel d'une manière ou d'une autre ? 36 00:02:36,940 --> 00:02:39,500 Eh bien, avec WPS, il y avait deux variantes. 37 00:02:39,500 --> 00:02:43,520 Et bien souvent, par exemple, les points d'accès peuvent prendre en charge les deux. 38 00:02:43,520 --> 00:02:46,500 L'une d'elles pourrait être une broche WPS. 39 00:02:46,500 --> 00:02:49,740 Par exemple, vous pouvez accéder à l'interface web ou à l'interface graphique d'un point d'accès. 40 00:02:49,740 --> 00:02:52,880 et il vous donnerait le code PIN, comme vous le voyez ici. 41 00:02:52,880 --> 00:02:55,480 Le code PIN était toujours un code à huit chiffres. 42 00:02:55,480 --> 00:03:03,080 Et donc, si le terminal client WPS était équipé d'un petit écran, il 43 00:03:03,080 --> 00:03:07,000 Il serait beaucoup plus facile de saisir les huit chiffres du code PIN de cette manière que de potentiellement 44 00:03:07,000 --> 00:03:10,760 Phrase de passe WPA très longue et complexe. 45 00:03:10,760 --> 00:03:14,060 Il comportait une combinaison de lettres, de chiffres et de caractères spéciaux, et 46 00:03:14,060 --> 00:03:15,400 Tout ça. 47 00:03:15,400 --> 00:03:19,300 Ou, plus simplement encore, bien souvent l'appareil se contentait de… 48 00:03:19,300 --> 00:03:23,560 un bouton WPS, comme sur ce point d'accès ici. 49 00:03:23,560 --> 00:03:28,440 Il vous suffirait ensuite d'appuyer sur le bouton WPS des deux côtés, ce qui 50 00:03:28,440 --> 00:03:30,740 Ouvrez WPS pendant quelques secondes. 51 00:03:30,740 --> 00:03:34,520 Et cela permettrait de former un tunnel crypté. 52 00:03:34,520 --> 00:03:36,880 Encore une fois, je ne vais pas entrer dans les détails techniques de tout cela. 53 00:03:36,880 --> 00:03:43,180 Mais l'idée était que le point d'accès utilise ce tunnel chiffré. 54 00:03:43,180 --> 00:03:49,300 transférer le WPA ou le mot de passe WPA à cet inscrit sans 55 00:03:49,300 --> 00:03:52,260 jamais en le saisissant directement sur le formulaire de l'inscrit. 56 00:03:52,260 --> 00:03:55,380 Or, cela posait quelques problèmes importants. 57 00:03:55,380 --> 00:04:00,680 D'une part, le protocole WPS n'est pas pris en charge pour les réseaux locaux sans fil WPA3. 58 00:04:00,680 --> 00:04:04,100 Donc si vous voulez du WPA3, ce n'est pas possible. 59 00:04:04,100 --> 00:04:06,320 Cette fonctionnalité a disparu. 60 00:04:06,320 --> 00:04:10,860 De plus, la méthode de saisie du code PIN WPS à huit chiffres 61 00:04:10,860 --> 00:04:13,020 il a en fait été prouvé qu'il était possible de le casser. 62 00:04:13,020 --> 00:04:16,540 Ils ont prouvé que dans un nombre à huit chiffres comme celui-ci, sans trop 63 00:04:16,540 --> 00:04:18,620 Avec beaucoup d'efforts, on pourrait y arriver. 64 00:04:18,620 --> 00:04:22,500 Et ils pourraient alors accéder à votre réseau local sans fil, même s'ils sont 65 00:04:22,500 --> 00:04:23,720 Il n'est pas censé être là. 66 00:04:23,720 --> 00:04:26,540 Ils ne sont pas des utilisateurs autorisés du réseau local sans fil. 67 00:04:26,540 --> 00:04:30,120 Et le problème avec la méthode du bouton-poussoir, où vous appuyez sur le bouton 68 00:04:30,120 --> 00:04:34,740 Si votre réseau local sans fil est hors service, est-il devenu disponible dans un délai d'environ 69 00:04:34,740 --> 00:04:40,940 deux minutes pour que tout appareil à proximité compatible WPS puisse se connecter. 70 00:04:40,940 --> 00:04:44,780 Réseau local sans fil. Et encore une fois, nous ne voulons pas que tout le monde soit connecté à notre réseau sans fil. 71 00:04:44,780 --> 00:04:48,400 Réseau local. Seuls les utilisateurs autorisés sont acceptés. 72 00:04:48,400 --> 00:04:52,140 Et voici l'un des plus gros problèmes de certains appareils : que se passe-t-il si nous 73 00:04:52,140 --> 00:04:58,300 J'avais un appareil équipé d'une radio, mais sans bouton WPS. 74 00:04:58,300 --> 00:05:02,940 et il n'y avait pas d'écran et aucun moyen de saisir le code PIN ? 75 00:05:02,940 --> 00:05:06,420 Alors comment se fait-il que vous n'ayez pas pu utiliser WPS dans un cas pareil ? 76 00:05:06,420 --> 00:05:10,800 Et cela nous amène aux problèmes de certains appareils actuels. 77 00:05:10,800 --> 00:05:14,520 Premièrement, rappelez-vous que notre objectif est de ne retenir que les personnes autorisées. 78 00:05:14,520 --> 00:05:18,020 utilisateurs et appareils pour accéder au réseau local sans fil. 79 00:05:18,020 --> 00:05:20,960 Autrement dit, si cela ne vous préoccupait pas, vous auriez simplement une ouverture. 80 00:05:20,960 --> 00:05:24,300 Réseau local sans fil sans aucune authentification ni cryptage. 81 00:05:24,300 --> 00:05:27,700 Le fait que vous utilisiez une clé de pré-partage ou une phrase secrète signifie donc que vous 82 00:05:27,700 --> 00:05:30,000 Seuls les utilisateurs autorisés doivent y avoir accès. 83 00:05:30,000 --> 00:05:34,500 Mais aujourd'hui, de nombreux appareils Wi-Fi sont ce qu'on appelle des appareils sans interface graphique. 84 00:05:34,500 --> 00:05:37,840 « Headless » signifie qu'il n'y a pas d'interface web de gestion, ni de ligne de commande. 85 00:05:37,840 --> 00:05:42,920 disponible, il n'y a aucun moyen de contrôler quoi que ce soit concernant le Wi-Fi sur 86 00:05:42,920 --> 00:05:47,420 cet appareil. Par exemple, les caméras vidéo et les sonnettes connectées Wi-Fi, les appareils électroménagers intelligents, 87 00:05:47,420 --> 00:05:49,420 et des ampoules intelligentes. 88 00:05:49,420 --> 00:05:54,020 Comment pouvons-nous donc fournir en toute sécurité des identifiants Wi-Fi à ces types d'appareils ? 89 00:05:54,020 --> 00:05:59,040 Nous rencontrons donc ici plus ou moins le même problème qu'avec le WPS. 90 00:05:59,040 --> 00:06:00,600 a été conçu pour résoudre. 91 00:06:00,600 --> 00:06:04,400 Mais au moins avec WPS, ces appareils clients disposaient d'un bouton que l'on pouvait presser. 92 00:06:04,400 --> 00:06:08,180 ou un tout petit écran ou clavier sur lequel vous pourriez saisir les chiffres. 93 00:06:08,180 --> 00:06:11,640 Aujourd'hui, on trouve des objets comme des ampoules connectées en Wi-Fi qui n'ont même pas de... 94 00:06:11,640 --> 00:06:14,700 Voilà. Alors, comment obtient-on nos identifiants Wi-Fi ? 95 00:06:14,700 --> 00:06:18,620 Dans ce cas, nos identifiants WPA3, car nous examinons maintenant le WPA3. 96 00:06:18,620 --> 00:06:23,880 à ces appareils afin qu'ils puissent effectuer l'intégralité de la négociation SAE et obtenir cela 97 00:06:23,880 --> 00:06:29,240 Voilà. Et c'est là que la connexion Wi-Fi simplifiée entre en jeu. 98 00:06:29,240 --> 00:06:36,860 Ainsi, la fonction Wi-Fi Easy Connect définit également certains rôles des appareils, le configurateur 99 00:06:36,860 --> 00:06:38,800 et le participant. 100 00:06:38,800 --> 00:06:42,880 Une chose est différente ici : le participant, lui, reste le même. 101 00:06:42,880 --> 00:06:44,860 Comme précédemment, n'est-ce pas ? 102 00:06:44,860 --> 00:06:49,960 Comme votre appareil sans écran, cette ampoule Wi-Fi ou ce thermostat Wi-Fi 103 00:06:49,960 --> 00:06:52,960 qui n'a aucun bouton ni rien sur lequel on puisse appuyer, mais nous quand même 104 00:06:52,960 --> 00:06:54,700 Il faut qu'il se connecte via Wi-Fi. 105 00:06:54,700 --> 00:06:55,680 Voilà le participant. 106 00:06:55,680 --> 00:07:02,580 Cependant, avec WPS, le serveur d'enregistrement était le point d'accès lui-même. 107 00:07:02,580 --> 00:07:05,720 Elle a participé au processus WPS. 108 00:07:05,720 --> 00:07:10,540 Dans le cadre de la connexion Wi-Fi facile, le configurateur servira d'intermédiaire. 109 00:07:10,540 --> 00:07:16,280 un appareil tel que votre smartphone ou votre tablette déjà connecté 110 00:07:16,280 --> 00:07:20,280 au réseau local sans fil, il connaît déjà les identifiants car vous 111 00:07:20,280 --> 00:07:22,620 vous l'avez saisi sur votre tablette ou votre smartphone. 112 00:07:22,620 --> 00:07:26,280 Et maintenant, cet appareil va se retourner et envoyer ces identifiants. 113 00:07:26,280 --> 00:07:32,580 à l'ampoule ou au thermostat qui utilise la connexion Wi-Fi facile. 114 00:07:32,580 --> 00:07:37,640 Ce qui se passe ici, c'est entre le configurateur, qui est, par exemple, 115 00:07:37,640 --> 00:07:43,360 votre smartphone, et vous établissez une connexion chiffrée à authentification mutuelle 116 00:07:43,360 --> 00:07:49,940 canal utilisant la cryptographie à clé publique pour transmettre les identifiants WPA3. 117 00:07:49,940 --> 00:07:52,820 Et une fois que cette ampoule possède les identifiants nécessaires, elle peut se déconnecter de 118 00:07:52,820 --> 00:07:58,680 vous connecterez ensuite au réseau local sans fil WPA3 SAE à l'aide de ces identifiants. 119 00:07:58,680 --> 00:08:01,660 qu'il a appris de vous, le configurateur. 120 00:08:01,660 --> 00:08:04,880 Très bien, alors parlons de comment cela fonctionne concrètement. 121 00:08:04,880 --> 00:08:07,620 Le déploiement de la connexion Wi-Fi simplifiée se fait donc par phases. 122 00:08:07,620 --> 00:08:09,180 Et il y a trois phases ici. 123 00:08:09,180 --> 00:08:12,660 Il existe un système d'échange d'informations par amorçage. 124 00:08:12,660 --> 00:08:15,840 Il existe le protocole de provisionnement des appareils. 125 00:08:15,840 --> 00:08:20,020 Et ensuite, il y a la connexion 802.11 normale au BSS, 126 00:08:20,020 --> 00:08:25,380 où cet inscrit utilisera simplement WPA3 SAE comme d'habitude pour se connecter au 127 00:08:25,380 --> 00:08:32,000 Wi-Fi. Le processus d'échange d'informations initial, comme nous pouvons le voir ici, 128 00:08:32,000 --> 00:08:34,680 Cela se produit avant le protocole de provisionnement du périphérique. 129 00:08:34,680 --> 00:08:39,860 Et c'est là que le configurateur, votre téléphone par exemple, votre tablette, 130 00:08:39,860 --> 00:08:42,800 prend connaissance de la clé publique du participant. 131 00:08:42,800 --> 00:08:44,560 Il s'agit donc d'un élément crucial. 132 00:08:44,560 --> 00:08:51,140 Un appareil tel qu'une ampoule, un thermostat ou une caméra vidéo qui 133 00:08:51,140 --> 00:08:57,260 Compatible Wi-Fi, connexion facile, livré pré-emballé avec 134 00:08:57,260 --> 00:09:00,760 une paire de clés publique et privée codée en dur. 135 00:09:00,760 --> 00:09:03,720 Et cela va être utilisé à cette étape-ci. 136 00:09:03,720 --> 00:09:10,080 La première étape consiste donc à utiliser un mécanisme hors bande, hors de 137 00:09:10,080 --> 00:09:17,060 -bande, c'est-à-dire ni Wi-Fi, ni norme 802.11 pour smartphone ou tablette. 138 00:09:17,060 --> 00:09:24,080 configurateur, pour récupérer cette clé publique de l'ampoule du 139 00:09:24,080 --> 00:09:28,640 thermostat. Et c'est à cela que sert l'échange d'informations bootstrap. 140 00:09:28,640 --> 00:09:32,540 En général, on associe cela aux codes QR. 141 00:09:32,540 --> 00:09:35,880 Un code QR, vous savez, à l'extérieur de cette ampoule, à l'extérieur 142 00:09:35,880 --> 00:09:40,140 Ce thermostat, grâce à son code QR, peut en réalité encoder des informations publiques. 143 00:09:40,140 --> 00:09:45,820 la clé de cet appareil, de cet inscrit, ainsi que son numéro de série, comme 144 00:09:45,820 --> 00:09:48,780 ainsi que quelques autres points que nous aborderons dans un instant. 145 00:09:48,780 --> 00:09:52,760 Une fois que cet échange d'informations d'amorçage hors bande a eu lieu, 146 00:09:52,760 --> 00:09:57,020 où, par exemple, avec votre téléphone, vous scannez le code QR et vous avez obtenu 147 00:09:57,020 --> 00:09:59,660 cette clé publique, ou il existe d'autres façons de procéder. 148 00:09:59,660 --> 00:10:02,780 Par exemple, avec les communications en champ proche, n'est-ce pas ? 149 00:10:02,780 --> 00:10:05,160 C'est comme lorsque vous utilisez votre carte de crédit et que vous consultez votre compte. 150 00:10:05,160 --> 00:10:08,700 lecteur de carte et au lieu de l'insérer, vous l'approchez simplement. 151 00:10:08,700 --> 00:10:13,620 au lecteur de cartes de crédit et il est capable, vous savez, d'utiliser les fréquences radio. 152 00:10:13,620 --> 00:10:18,080 extraire de votre carte de crédit les informations nécessaires à la communication en champ proche. 153 00:10:18,080 --> 00:10:20,580 On pourrait même utiliser le Bluetooth basse consommation, n'est-ce pas ? 154 00:10:20,580 --> 00:10:26,680 Easy Connect ne spécifie donc pas et ne définit pas vraiment quel protocole doit être utilisé. 155 00:10:26,680 --> 00:10:30,540 être utilisé dans l'échange d'informations bootstrap. 156 00:10:30,540 --> 00:10:36,060 Le plus souvent, il s'agit de codes QR, mais tout ce qui n'est pas compatible avec le Wi-Fi 802.11 peut l'être. 157 00:10:36,060 --> 00:10:40,660 être utilisée. L'essentiel ici est que nous voulons obtenir cette clé publique à partir de 158 00:10:40,660 --> 00:10:44,140 l'inscrit dans le configurateur. 159 00:10:44,140 --> 00:10:49,040 Quelle que soit la méthode utilisée, le plus souvent les codes QR, votre amorçage est effectué. 160 00:10:49,040 --> 00:10:50,800 échange d'informations. 161 00:10:50,800 --> 00:10:53,400 Vous commencerez ensuite le protocole de configuration de l'appareil. 162 00:10:53,400 --> 00:10:57,140 Entrons donc un peu plus dans le vif du sujet de cette phase d'amorçage. 163 00:10:57,140 --> 00:11:00,500 D'accord, comme indiqué, cela permet l'utilisation de clients sans interface graphique, imaginez un peu. 164 00:11:00,500 --> 00:11:05,240 une ampoule, par exemple, pour pouvoir proposer sa clé publique hors ligne 165 00:11:05,240 --> 00:11:08,300 canal vers le configurateur. 166 00:11:08,300 --> 00:11:10,600 Nous en avons déjà parlé. 167 00:11:10,600 --> 00:11:11,960 Il n'y a rien de vraiment nouveau ici. 168 00:11:11,960 --> 00:11:14,440 Voici par exemple un code QR. 169 00:11:14,440 --> 00:11:24,160 Il pourrait y avoir n'importe quoi là-dedans, mais si ce code QR était spécifiquement 170 00:11:24,160 --> 00:11:29,000 Une fois que le smartphone ou la tablette a effectué le scan, nous passons à l'étape suivante : 171 00:11:29,000 --> 00:11:33,560 le protocole de provisionnement des appareils. 172 00:11:33,560 --> 00:11:36,540 Et le protocole de configuration des appareils se déroulera en deux étapes, 173 00:11:36,540 --> 00:11:41,600 deux étapes. Il y aura le protocole d'authentification, où nous échangerons 174 00:11:41,600 --> 00:11:47,220 clés publiques entre le téléphone, votre configurateur et le participant, c'est-à-dire 175 00:11:47,220 --> 00:11:50,980 Eurêka ! Nous allons créer un tunnel crypté et sécurisé. 176 00:11:50,980 --> 00:11:53,200 Voilà ce qui va se passer dans le protocole d'authentification. 177 00:11:53,200 --> 00:11:56,880 Une fois cela fait, nous passons au protocole de configuration, où 178 00:11:56,880 --> 00:12:00,980 Le configurateur indique en fait : « Voici le SSID du réseau sans fil. » 179 00:12:00,980 --> 00:12:02,640 Réseau local auquel vous souhaitez vous joindre. 180 00:12:02,640 --> 00:12:07,300 Voici la phrase de passe WPA3 pour ce réseau local sans fil en particulier. 181 00:12:07,300 --> 00:12:09,060 Vous allez en avoir besoin. 182 00:12:09,060 --> 00:12:11,860 Très bien, passons en revue chaque étape. 183 00:12:11,860 --> 00:12:14,660 Tout d'abord, en commençant par l'authentification du protocole de provisionnement des appareils 184 00:12:14,660 --> 00:12:19,460 Sur cette scène, remarquez donc quelques points concernant le candidat dès le départ. 185 00:12:19,460 --> 00:12:24,000 chauve-souris. Numéro un, cet inscrit, dès que vous lui donnez du courant, vous savez, 186 00:12:24,000 --> 00:12:27,420 On visse l'ampoule, ou peut-être que c'est une petite caméra vidéo, peu importe. 187 00:12:27,420 --> 00:12:32,600 Oui, il écoute automatiquement un canal Wi-Fi, la plupart du temps 188 00:12:32,600 --> 00:12:36,680 généralement quelque chose dans la bande des 2,4 gigahertz comme le canal un, six ou 189 00:12:36,680 --> 00:12:38,580 11. Donc, il écoute là-bas. 190 00:12:38,580 --> 00:12:40,560 Et il est préprogrammé pour cela. 191 00:12:40,560 --> 00:12:44,600 Donc, dans ce code QR, c'est l'une des autres choses qui s'y trouvent, non 192 00:12:44,600 --> 00:12:48,280 juste la clé publique qui est codée en dur dans ce type, mais aussi le canal 193 00:12:48,280 --> 00:12:50,060 Il écoute. 194 00:12:50,060 --> 00:12:51,500 D'accord, c'est déjà là. 195 00:12:51,500 --> 00:12:54,040 Vous branchez donc ce type, et il est prêt à partir. 196 00:12:54,040 --> 00:12:59,060 Maintenant, vous sortez votre tablette ou votre smartphone et vous vous connectez au 197 00:12:59,060 --> 00:13:03,720 Réseau local sans fil (WPA3), vous trouvez le SSID, vous saisissez le 198 00:13:03,720 --> 00:13:07,500 Saisissez votre phrase secrète, suivez la procédure SAE complète, et vous voilà en sécurité. 199 00:13:07,500 --> 00:13:12,040 Il y est désormais rattaché. Maintenant que le configurateur possède ces identifiants, il est… 200 00:13:12,040 --> 00:13:15,300 Il lui appartiendra de remettre ces documents d'identification au candidat. 201 00:13:15,300 --> 00:13:16,640 Et voici comment cela va se passer. 202 00:13:16,640 --> 00:13:18,740 La première étape est donc la phase d'amorçage. 203 00:13:18,740 --> 00:13:23,560 Il pointe donc son petit œil-caméra vers ce code QR et le scanne. 204 00:13:23,560 --> 00:13:27,000 code, et en extrait les éléments dont nous avons parlé, le public 205 00:13:27,000 --> 00:13:31,200 clé, le canal sur lequel cet appareil écoute quelques autres choses. 206 00:13:31,200 --> 00:13:35,080 Et comme nous l'avons dit, il ne s'agit pas forcément de scanner un code QR, une connexion Bluetooth suffirait. 207 00:13:35,080 --> 00:13:37,380 faible énergie ou autres choses aussi. 208 00:13:37,380 --> 00:13:40,840 À ce stade, la phase d'amorçage est terminée. 209 00:13:40,840 --> 00:13:44,420 Le configurateur a récupéré les informations dont il avait besoin. 210 00:13:44,420 --> 00:13:50,260 À présent, le configurateur va créer n'importe quel public fémoral et 211 00:13:50,260 --> 00:13:51,840 paire de clés privées. 212 00:13:51,840 --> 00:13:53,840 D'accord, donc juste pour cette séance. 213 00:13:53,840 --> 00:14:00,220 C'est important, car une fois tout cela terminé, ce configurateur 214 00:14:00,220 --> 00:14:03,540 va se reconnecter à ce point d'accès. 215 00:14:03,540 --> 00:14:09,640 Donc, si le configurateur scannait le code QR une deuxième, une troisième, une quatrième fois, 216 00:14:09,640 --> 00:14:14,820 Au moment de l'utilisation de cet appareil, une nouvelle paire de clés publique/privée serait créée. 217 00:14:14,820 --> 00:14:19,660 Ce dispositif est donc créé uniquement pour permettre au protocole de provisionnement des périphériques de fonctionner. 218 00:14:19,660 --> 00:14:24,220 c'est son truc. Et il peut donc transmettre en toute sécurité les identifiants Wi-Fi à cet appareil. 219 00:14:24,220 --> 00:14:29,960 inscrit. L'inscrit possède désormais une paire de clés publique/privée codée en dur dans 220 00:14:29,960 --> 00:14:32,660 Voilà. Bon, il a ça. 221 00:14:32,660 --> 00:14:37,120 Et comme je l'ai dit, la clé publique a été transmise ou encodée, devrais-je dire, 222 00:14:37,120 --> 00:14:41,580 dans le code QR. Très bien, le configurateur va maintenant procéder à la configuration. 223 00:14:41,580 --> 00:14:46,620 une connexion Wi-Fi directe point à point avec ce participant. 224 00:14:46,620 --> 00:14:53,420 Il ne s'agit pas ici d'une connexion Wi-Fi en mode infrastructure 802.11 à part entière. 225 00:14:53,420 --> 00:14:56,960 Je ne sais pas si vous connaissez le Wi-Fi Direct, mais c'est plutôt intéressant. 226 00:14:56,960 --> 00:14:59,700 Après avoir visionné cette vidéo, vous aurez peut-être envie de discuter avec GPT. 227 00:14:59,700 --> 00:15:01,400 Essayez et voyez comment ça fonctionne. 228 00:15:01,400 --> 00:15:04,780 Mais il s'agit simplement d'une connexion point à point qui utilise en réalité des technologies spéciales. 229 00:15:04,780 --> 00:15:11,620 Les cadres d'action 802.11 sont appelés cadres d'action publics pour effectuer toutes les opérations nécessaires. 230 00:15:11,620 --> 00:15:15,780 Il n'y aura donc pas de trames de données 802.11, ni de balises, ni de… 231 00:15:15,780 --> 00:15:19,740 Tout ici. Il s'agira d'un échange de cadres d'action spéciaux entre 232 00:15:19,740 --> 00:15:22,000 le configurateur et le participant. 233 00:15:22,000 --> 00:15:25,940 Et tout cela va se passer de l'autre côté du canal où se trouve le participant. 234 00:15:25,940 --> 00:15:34,920 Il écoute déjà, c'est sa propre clé publique. 235 00:15:34,920 --> 00:15:40,840 Dans ce cas, c'est un petit plus, certaines données qu'il a cryptées avec l'identifiant de l'inscrit. 236 00:15:40,840 --> 00:15:44,600 la clé publique qu'il a obtenue en scannant ce code QR. 237 00:15:44,600 --> 00:15:49,940 Donc une fois que le participant reçoit ce message Wi-Fi direct contenant ces informations… 238 00:15:49,940 --> 00:15:57,580 S'il obtient cela, il va ensuite générer sa propre paire de clés publique/privée éphémère. 239 00:15:57,580 --> 00:16:00,780 Vous remarquerez donc qu'il en a maintenant deux. 240 00:16:00,780 --> 00:16:05,520 Il en a un qui est toujours là, statique, intégré dans le code QR. 241 00:16:05,520 --> 00:16:09,700 Mais chaque fois que quelqu'un essaie de le contacter via Wi-Fi direct, 242 00:16:09,700 --> 00:16:14,400 Il va générer un nouveau jeu unique de clés publiques et privées. 243 00:16:14,400 --> 00:16:18,740 Une fois qu'il a cela, il a tout ce dont il a besoin pour en tirer un bénéfice partagé 244 00:16:18,740 --> 00:16:21,380 Clé secrète de session. 245 00:16:21,380 --> 00:16:24,620 Il possède la clé publique du configurateur. 246 00:16:24,620 --> 00:16:29,820 Et le configurateur a fait ses preuves, il s'est authentifié auprès de 247 00:16:29,820 --> 00:16:34,320 l'inscrit. Il a dit : « Écoutez, je suis authentifié pour vous parler parce que… » 248 00:16:34,320 --> 00:16:37,220 Je connais votre clé publique. 249 00:16:37,220 --> 00:16:38,480 Comment le sais-je ? 250 00:16:38,480 --> 00:16:41,900 Voici des données que j'ai chiffrées avec votre clé publique. 251 00:16:41,900 --> 00:16:45,360 Et le participant peut déchiffrer cela avec sa clé privée. 252 00:16:45,360 --> 00:16:48,840 Il se dit alors : « OK, il s'agit clairement de quelqu'un qui a scanné mon QR code. » 253 00:16:48,840 --> 00:16:53,560 code. Je vais donc supposer qu'il s'agit d'un appareil de confiance que je peux écouter. 254 00:16:53,560 --> 00:16:59,420 Ainsi, en utilisant la clé publique du configurateur avec sa propre clé publique, il est capable de… 255 00:16:59,420 --> 00:17:02,480 pour créer une clé de session partagée. 256 00:17:02,480 --> 00:17:07,520 Et maintenant, il renvoie une réponse d'authentification DPP au configurateur. 257 00:17:07,520 --> 00:17:11,780 Il dit : « Hé, voici ma clé publique éphémère que j'ai créée juste comme il faut. » 258 00:17:11,780 --> 00:17:13,540 Maintenant, rien que pour vous. 259 00:17:13,540 --> 00:17:18,340 Puis le configurateur demande une confirmation d'authentification DPP. 260 00:17:18,340 --> 00:17:23,540 Désormais, tout ce qui suit ce point peut transiter par un tunnel chiffré. 261 00:17:23,540 --> 00:17:29,800 a été créé à la suite de cet échange de clés de type Helman DFI avec le public 262 00:17:29,800 --> 00:17:31,920 et des clés privées des deux côtés. 263 00:17:31,920 --> 00:17:35,440 Nous avons donc terminé l'étape d'authentification DPP. 264 00:17:35,440 --> 00:17:39,620 Nous pouvons maintenant passer à la partie intéressante avec une configuration où nous entrons dans le 265 00:17:39,620 --> 00:17:45,220 Étape de configuration DPP où le participant dit simplement : « Hé, configurateur », 266 00:17:45,220 --> 00:17:47,480 À qui devrais-je parler ? 267 00:17:47,480 --> 00:17:48,500 Quel est le SSID ? 268 00:17:48,500 --> 00:17:51,780 Quelles sont les informations d'identification WPA3 dont j'ai besoin ? 269 00:17:51,780 --> 00:17:55,300 Voilà. Il envoie une requête de configuration et la configuration, 270 00:17:55,300 --> 00:17:59,500 Le configurateur renvoie les informations. 271 00:17:59,500 --> 00:18:05,580 Ce qui est plutôt intéressant, c'est que la connexion Wi-Fi est facile. 272 00:18:05,580 --> 00:18:11,200 Techniquement, le configurateur pourrait effectivement lui envoyer des identifiants 802.1x. 273 00:18:11,200 --> 00:18:15,960 Il pourrait dire : « Hé, voilà, vous savez, on utilise la norme 802.1x sur ce YOS. » 274 00:18:15,960 --> 00:18:19,000 Réseau local (LAN). Et vous savez, il utilise un nom d'utilisateur et un mot de passe spécifiques. 275 00:18:19,000 --> 00:18:24,220 Voilà, vous pouvez l'utiliser lorsque vous vous authentifiez via 802.1x, ou 276 00:18:24,220 --> 00:18:27,060 Nous utilisons un certificat numérique sur le réseau local sans fil. 277 00:18:27,060 --> 00:18:29,960 Voici un appareil que vous pouvez utiliser pour vous connecter à ce réseau local sans fil. 278 00:18:29,960 --> 00:18:33,020 Le configurateur fournira donc tout ce dont le participant a besoin. 279 00:18:33,020 --> 00:18:37,160 La connexion est établie. À ce stade, le protocole de provisionnement de l'appareil est terminé. 280 00:18:37,160 --> 00:18:40,940 Pour que la connexion Wi-Fi directe puisse se terminer. 281 00:18:40,940 --> 00:18:48,180 Voilà. Et maintenant, le participant peut se connecter en toute sécurité via WPA3 SAE. 282 00:18:48,180 --> 00:18:50,140 Réseau local sans fil qu'il souhaite. 283 00:18:50,140 --> 00:18:54,240 Voici donc quelques réflexions finales concernant ce protocole. 284 00:18:54,240 --> 00:18:57,980 Une fois la configuration terminée, le bénéficiaire utilise simplement les éléments fournis. 285 00:18:57,980 --> 00:19:02,160 identifiants pour se connecter au réseau local sans fil, comme n'importe quel autre utilisateur 286 00:19:02,160 --> 00:19:07,960 Échange de clés SAE. Comme je l'ai dit, cela pourrait également servir à fournir du WPA3 Enterprise. 287 00:19:07,960 --> 00:19:10,240 liens avec ce participant. 288 00:19:10,240 --> 00:19:12,420 Cela n'est pas encore largement mis en œuvre. 289 00:19:12,420 --> 00:19:18,020 Vous aurez probablement beaucoup de mal à trouver des appareils pour les participants qui prennent en charge 290 00:19:18,020 --> 00:19:23,780 Voilà. Et c'est une technologie relativement nouvelle. 291 00:19:23,780 --> 00:19:28,560 De nombreux appareils ne prennent donc pas encore en charge la connexion Wi-Fi simplifiée. 292 00:19:28,560 --> 00:19:31,660 Vous pourriez dire : « Attendez une seconde, j'ai une caméra Wi-Fi ici. » 293 00:19:31,660 --> 00:19:36,720 que j'ai acheté il y a environ huit ans et qui comporte un code QR. 294 00:19:36,720 --> 00:19:39,480 Et je peux l'utiliser pour me connecter au Wi-Fi. 295 00:19:39,480 --> 00:19:44,580 J'ouvre simplement l'application spéciale de ma caméra vidéo sur mon téléphone. 296 00:19:44,580 --> 00:19:45,820 Je télécharge cette application spéciale. 297 00:19:45,820 --> 00:19:47,300 Je scanne le code QR. 298 00:19:47,300 --> 00:19:48,760 Attendez une seconde. 299 00:19:48,760 --> 00:19:52,580 Si vous utilisez une application spéciale sur votre smartphone, que vous devez ouvrir 300 00:19:52,580 --> 00:19:56,720 vous pouvez obtenir ce code QR auprès du fabricant de cet appareil photo afin de le scanner. 301 00:19:56,720 --> 00:19:58,260 Ce n'est pas ça. 302 00:19:58,260 --> 00:19:59,960 Ce n'est pas une connexion Wi-Fi facile. 303 00:19:59,960 --> 00:20:04,400 Il s'agit d'un mécanisme propriétaire spécifique utilisé par ce fabricant. 304 00:20:04,400 --> 00:20:06,560 pour parler à leurs appareils. 305 00:20:06,560 --> 00:20:10,780 Quelle que soit leur méthode, cela ne fonctionnera pas avec votre thermostat. 306 00:20:10,780 --> 00:20:12,200 ou votre ampoule. 307 00:20:12,200 --> 00:20:16,300 Ce système a donc été développé par la Wi-Fi Alliance pour supprimer tous ces protocoles propriétaires. 308 00:20:16,300 --> 00:20:20,040 des mécanismes et les rendre beaucoup plus rationalisés.