Sécurité Wi-Fi : devez-vous utiliser WPA2-AES, WPA2-TKIP ou les deux ?
Pour une sécurité maximale, vous devez utiliser WPA2 (AES) si vous avez des appareils plus anciens sur votre réseau et WPA3 si vous avez un routeur plus récent et des appareils plus récents qui le prennent en charge.
Votre routeur Wi-Fi offre des options de cryptage comme WPA2-PSK (TKIP), WPA2-PSK (AES) et WPA2-PSK (TKIP/AES) et même, s’il est assez moderne, WPA3 (AES). Cela peut être un peu déroutant, et si vous choisissez le mauvais, vous aurez un réseau plus lent et moins sécurisé. Voici ce que vous devez savoir.
Sommaire
WPA2 contre WEP, WPA et WPA3
Lorsque vous lisez des informations sur la sécurité Wi-Fi, l’accent est généralement mis sur le type de cryptage utilisé pour sécuriser la connexion sans fil. Cela a du sens, après tout, car, de par la nature même d’un routeur Wi-Fi, toutes les communications entre votre appareil client (comme votre smartphone ou votre ordinateur portable) et le routeur sont lancées à l’air libre. Toute personne à portée de votre routeur peut espionner cette communication ou même accéder à votre routeur si la connexion sans fil n’est pas sécurisée.
Cette connexion sans fil est sécurisée grâce à des algorithmes de sécurité spécifiquement conçus pour le Wi-Fi. Ces algorithmes ne sont pas strictement un chiffrement (bien que ce soit un élément crucial), mais incluent des fonctions supplémentaires qui régissent la manière dont les clés sont échangées et vérifiées, et plus encore.
Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) et Wi-Fi Protected Access II (WPA2) sont les principaux algorithmes de sécurité que vous verrez lors de la configuration d’un réseau sans fil. Si vous avez un routeur plus récent, vous pouvez également voir Wi-Fi Protected Access III (WPA3).
WEP est le plus ancien et s’est avéré vulnérable car de plus en plus de failles de sécurité ont été découvertes. WPA a amélioré la sécurité mais est désormais également considéré comme vulnérable aux intrusions.
WPA2, bien qu’imparfait, est plus sécurisé que WEP ou WPA et est l’un des algorithmes de sécurité Wi-Fi les plus largement utilisés. Les réseaux WPA et WPA2 peuvent utiliser l’un des deux protocoles de cryptage, Temporal Key Integrity Protocol (TKIP) et Advanced Encryption Standard (AES). Nous examinerons la différence entre ces deux protocoles de cryptage dans un instant.
Enfin, les réseaux WPA3 n’utilisent que le protocole de cryptage AES. Bien qu’introduit en 2018, WPA3 n’a toujours pas été largement adopté.
AES contre TKIP
TKIP et AES sont deux types de cryptage différents qui peuvent être utilisés par un réseau Wi-Fi. TKIP est en fait un protocole de cryptage plus ancien introduit avec WPA pour remplacer le cryptage WEP très peu sécurisé à l’époque. TKIP est en fait assez similaire au cryptage WEP. TKIP n’est plus considéré comme sécurisé et est désormais obsolète. En d’autres termes, vous ne devriez pas l’utiliser.
AES est un protocole de cryptage plus sécurisé introduit avec WPA2. AES n’est pas non plus une norme grinçante développée spécifiquement pour les réseaux Wi-Fi. Il s’agit d’une norme de cryptage mondiale sérieuse qui a même été adoptée par le gouvernement américain.
Par exemple, lorsque vous cryptez un disque dur avec TrueCrypt, il peut utiliser le cryptage AES pour cela. L’outil de chiffrement intégré de Windows, BitLocker, utilise également AES, tout comme l’outil FileVault de macOS. AES est généralement considéré comme assez sécurisé, et les principales faiblesses seraient les attaques par force brute (empêchées en utilisant une phrase de passe forte) et les faiblesses de sécurité dans d’autres aspects de WPA2.
La version courte est que TKIP est une ancienne norme de chiffrement utilisée par la norme WPA. AES est une nouvelle solution de cryptage Wi-Fi utilisée par la nouvelle norme WPA2 sécurisée. En théorie, c’est la fin. Mais, selon votre routeur, le simple fait de choisir WPA2 peut ne pas suffire.
Alors que WPA2 est censé utiliser AES pour une sécurité optimale, il peut également utiliser TKIP, où la rétrocompatibilité avec les appareils hérités est nécessaire. Dans un tel état, les appareils qui prennent en charge WPA2 se connecteront avec WPA2, et les appareils qui prennent en charge WPA se connecteront avec WPA. Ainsi, « WPA2 » ne signifie pas toujours WPA2-AES. Cependant, sur les appareils sans option « TKIP » ou « AES » visible, WPA2 est généralement synonyme de WPA2-AES.
Modes de sécurité Wi-Fi expliqués : lesquels devez-vous utiliser ?
Confus encore? Ne vous sentez pas mal si vous l’êtes. Le monde de la sécurité Wi-Fi est assez obscur si vous n’êtes pas un geek inconditionnel du réseau. Heureusement, vous n’avez pas besoin de comprendre les subtilités de la façon dont les protocoles de sécurité et les poignées de main ont changé entre toutes les générations de Wi-Fi.
Il vous suffit de consulter notre liste ci-dessous et de sélectionner l’option la plus sécurisée qui fonctionne avec l’ensemble de votre matériel et de vos appareils. Pour vous aider à éviter les options plus anciennes et non sécurisées, nous les avons signalées avec [Deprecated] après leur nom.
Et, pour être clair, nous ne contrôlons pas arbitrairement ces protocoles et ne les déclarons pas obsolètes en fonction de nos opinions. Microsoft et Apple les ont également désignés comme tels, c’est pourquoi votre ordinateur portable Windows vous avertit lorsqu’un réseau Wi-Fi n’est pas sécurisé, et votre iPhone vous avertit lorsque les réseaux Wi-Fi ont une sécurité faible.
De plus, nous n’avons pas répertorié les options « Entreprise » dans la liste ci-dessous, car la sécurité Wi-Fi basée sur les serveurs Enterprise ou RADIUS est rare dans les environnements résidentiels et nécessite une infrastructure supplémentaire.
De plus, veuillez noter qu’en fonction de votre routeur, les options non-Enterprise peuvent être désignées comme « Personnel » ou « PSK » – PSK signifie « Pre-Shared Key » et indique que, contrairement à une configuration Enterprise, la sécurité ne fonctionne pas. Ne comptez pas sur un serveur d’authentification mais plutôt sur l’utilisateur ayant la clé pré-partagée (le mot de passe Wi-Fi) à saisir comme méthode d’authentification. À partir de WPA2, et surtout de WPA3, il est plus courant de voir « Personnel » au lieu de « PSK ».
Avec ces notes à l’esprit, voici les options que vous verrez probablement sur votre routeur.
- Ouvrir [Deprecated]: Les réseaux Wi-Fi ouverts n’ont pas de mot de passe. Vous ne devriez pas mettre en place un réseau Wi-Fi ouvert – sérieusement, vous pourriez faire défoncer votre porte par la police.
- WEP 64 [Deprecated]: L’ancienne norme de protocole WEP est vulnérable et vous ne devriez pas l’utiliser.
- WEP 128 [Deprecated]: Il s’agit de WEP, mais avec une taille de clé de cryptage plus grande. Il n’est pas vraiment moins vulnérable que WEP 64.
- WPA-PSK (TKIP) [Deprecated]: Ceci utilise la version originale du protocole WPA (essentiellement WPA1). Il a été remplacé par WPA2 et n’est pas sécurisé.
- WPA-PSK (AES) [Deprecated]: Cela utilise le protocole WPA d’origine mais remplace TKIP par le cryptage AES plus moderne. Il est proposé comme un palliatif, mais les appareils prenant en charge AES prendront presque toujours en charge WPA2, tandis que les appareils nécessitant WPA ne prendront presque jamais en charge le cryptage AES. Cette option n’a donc aucun sens.
- WPA2-PSK (TKIP) [Deprecated]: Cela utilise la norme WPA2 moderne avec un cryptage TKIP plus ancien. Ce n’est pas sécurisé et ce n’est une bonne idée que si vous avez des appareils plus anciens qui ne peuvent pas se connecter à un réseau WPA2-PSK (AES).
- WPA2-PSK (AES): Il s’agit de l’option la plus sécurisée (en dehors du nouveau WPA3.) Elle utilise WPA2, la dernière norme de cryptage Wi-Fi et le dernier protocole de cryptage AES. Vous devez utiliser cette option à moins que votre routeur ne prenne en charge WPA3, alors utilisez-la à la place. Sur certains appareils, vous ne verrez que l’option « WPA2 » ou « WPA2-PSK ». Si vous le faites, il utilisera probablement AES, car c’est un choix de bon sens.
- WPA/WPA2-PSK (TKIP/AES): Certains appareils proposent, voire recommandent, cette option en mode mixte. Cette option active à la fois WPA et WPA2, avec TKIP et AES. Cela offre une compatibilité maximale avec tous les appareils anciens que vous pourriez avoir, mais cela permet également à un attaquant de violer votre réseau en craquant les protocoles WPA et TKIP les plus vulnérables.
- WPA2/WPA3 personnel (AES): Comme l’hybride WPA/WPA2, ce mode est conçu pour la rétrocompatibilité. Vos appareils WPA2 uniquement se connecteront en utilisant WPA2 (AES) et vos appareils WPA3 utiliseront le protocole le plus avancé. Il peut également être étiqueté comme « WPA3 Transitional » ou une variante de celui-ci.
- WPA3 Personnel (AES): Les routeurs plus anciens n’ont pas WPA3 et les appareils plus anciens ne peuvent pas utiliser WPA3. Mais si vous avez un nouveau routeur qui prend en charge WPA3 et tous les appareils plus récents, il n’y a aucune raison de ne pas passer entièrement au WPA3.
La certification WPA2 est devenue disponible en 2004. En 2006, la certification WPA2 est devenue obligatoire. Tout appareil fabriqué après 2006 avec un logo « Wi-Fi » doit prendre en charge le cryptage WPA2. La certification WPA3 est devenue disponible en 2018 et tout appareil certifié après le 1er juillet 2020 doit prendre en charge WPA3. (Notez l’utilisation de certifié et non fabriqué, une entreprise peut toujours fabriquer et vendre une conception plus ancienne qui a été certifiée avant l’adoption d’une nouvelle norme.)
Étant donné qu’il est fort probable que tous les appareils Wi-Fi de votre réseau (y compris le routeur lui-même) aient été certifiés et fabriqués après 2006, il n’y a aucune raison pour que vous n’utilisiez aucun protocole de sécurité inférieur à WPA2-PSK (AES). Vous devriez pouvoir sélectionner cette option dans votre routeur et ne rencontrer aucun problème.
Si vous avez un routeur plus récent qui prend en charge WPA3, nous vous recommandons d’essayer WPA3 (AES) pour passer au niveau de sécurité le plus élevé. Si vous rencontrez des problèmes, passez au WPA2/WPA3 hybride (AES). De cette façon, les appareils les plus récents utiliseront la meilleure sécurité et les appareils plus anciens reviendront au WPA2. Dans tous les cas, ils utiliseront AES, ce qui est idéal.
Si vous n’avez pas de routeur plus récent, il est probablement temps de le recycler et de passer à un routeur Wi-Fi actuel avec des normes à jour et toutes les améliorations Wi-Fi qui l’accompagnent. Vous n’avez pas besoin d’acheter un modèle Wi-Fi 7 de pointe, mais c’est le moment idéal pour passer au Wi-Fi 6 ou au Wi-Fi 6E si vous ne l’avez pas déjà fait.
WPA et TKIP ralentiront votre Wi-Fi
Peut-être avez-vous lu jusqu’à présent et pensé: «Je ne me soucie pas vraiment de la sécurité.» Bien que nous vous encourageons à vous préoccuper davantage de la sécurité du réseau Wi-Fi, nous comprenons que ce n’est pas une priorité urgente pour tout le monde.
Voici donc une raison impérieuse d’utiliser de meilleurs algorithmes de sécurité Wi-Fi que tout le monde peut suivre. Les options de compatibilité WPA et TKIP ne sont pas seulement mauvaises du point de vue de la sécurité. Ils peuvent également ralentir votre réseau Wi-Fi.
Lorsque vous exécutez WPA/TKIP sur un routeur qui prend en charge 802.11n et les normes plus récentes et plus rapides, il ralentira à des vitesses 802.11g (54 Mbps) pour assurer la rétrocompatibilité avec les clients plus anciens. C’est terriblement lent.
En comparaison, même le 802.11n (Wi-Fi 4) prend en charge jusqu’à 300 Mbps si vous utilisez WPA2 avec AES. Cependant, la plupart des gens ont maintenant des routeurs plus récents. Si vous avez un routeur 802.11ac (Wi-Fi 5) ou 802.11ax (Wi-Fi 6) et que vous utilisez WPA/TKIP, vous laissez une énorme quantité de performances sur la table.
Dans les générations Wi-Fi, 802.11g est essentiellement « Wi-Fi 2 » et est sorti en 2003. Il n’y a tout simplement aucune bonne raison d’utiliser une norme de sécurité Wi-Fi non sécurisée, obsolète et lente.
En cas de doute, choisissez toujours WPA 2 (AES) ou WPA3
Nous l’avons dit plusieurs fois jusqu’à présent, mais une dernière fois pour souligner. Si vous ne savez pas quel paramètre choisir sur votre routeur, choisissez toujours le plus sécurisé, et pour tout itinéraire effectué après 2010 environ, c’est WPA 2 (AES) ou WPA 3.
Sur la plupart des routeurs que nous avons vus certifiés avant 2018, les options sont généralement WEP, WPA (TKIP) et WPA2 (AES) – avec peut-être un mode de compatibilité WPA (TKIP) + WPA2 (AES) ajouté pour faire bonne mesure. Si c’est ce que votre routeur vous offre, réglez votre routeur sur WPA2 (AES).
Sur les routeurs certifiés après 2018 (surtout après la date limite du 1er juillet 2020), vous trouverez les modes de compatibilité WPA3 et WPA2/WPA3. Nous vous recommandons fortement d’essayer le mode WPA3 pur. Si tout fonctionne, tant mieux ! Vous optez pour la meilleure configuration de sécurité Wi-Fi possible. Si vous trouvez qu’il y a quelques anciens éléments critiques dans votre maison (comme un thermostat Wi-Fi) qui ne fonctionneront pas bien avec WPS, revenez au mode de compatibilité WPA2/WPA3.
Mais quoi que vous fassiez, il est temps de mettre définitivement de côté tous les protocoles de sécurité Wi-Fi de moindre importance tels que WEP, WPA et WPA2 (TKIP).