Wi-Fi: de l'importance de bien choisir son mot de passe
Aujourd'hui les protections WPA et WPA2 (AES) sont toutes deux très robustes et permettent de bien protéger un réseau Wi-Fi des intrusions de personnes curieuses ou malveillantes (contrairement au Wep qui est une passoire). Comme souvent, le maillon faible de cette chaîne est l'utilisateur qui, par paresse ou facilité, se contente d'un mot de passe trop simple.
ARS a publié un intéressant article illustrant ces faiblesses. Le rédacteur a décidé de tester la résistance de réseaux qu'il avait montés et de ceux de certains voisins avec bien entendu leur accord.
Rien de bien compliqué là-dedans, mais notre but n'est pas de faire un mode d'emploi. Il a commencé par récupérer grâce à des logiciels d'écoute dédiés un fichier contenant le "handshake" que l'on pourrait traduire par poignée de main. Il s'agit de l'échange de données réalisées entre un ordinateur et son routeur lors de la connexion. L'ordinateur envoie son mot de passe et le routeur l'autorise à accéder au réseau. Dans les faits, ce n'est pas le mot de passe qui est échangé réellement, mais ce fichier permet dans une certaine mesure de le retrouver. S'il fallait utiliser toutes les combinaisons possibles, il faudrait des mois ou même des années de calcul. Il a donc fait appel à un service spécialisé, Cloudtracker qui, moyennant finances, va utiliser des fermes de calcul pour retrouver le mot de passe. Là encore tenter de passer en force brute serait très coûteux, c'est donc une solution plus simple qui est utilisée, tester des dictionnaires préremplis contenant les mots et mots de passe les plus courants (souvent des combinaisons de mots pour ces derniers) afin de trouver le bon. Le tarif est de 17$ pour tester 604 millions de mots de passe et 34$ pour en avoir 1,2 milliards.
Avec ce système, il aura fallu moins d'une heure et demie au total pour récupérer les mots de passe, sauf un. Le seul cas où ce système n'a pas réussi est sur un mot de passe ne comprenant pas de mots du dictionnaire mais une suite aléatoire de chiffres et de lettres.
Songez-y quand vous installez ou changez votre mot de passe Wi-Fi. Certes il sera plus dur à retenir, mais en échange vous aurez l'esprit tranquille.
PS: Si vous vous dites que vous n'avez pas de raison d'avoir un mot de passe compliqué, n'ayant rien à vous reprocher et donc aucune raison d'être la cible d'un pirate, vous les aiderez grandement.
PS2: Le WPA supporte des mots de passe jusqu'à 63 caractères.