Extensible Authentication Protocol

Un article de Wikipédia, l'encyclopédie libre.

Sommaire 1 Introduction 2 LEAP 3 EAP-TLS 4 EAP-MD5 5 EAP-TTLS 6 PEAP 7 EAP-FAST 8 EAP-SIM 9 EAP-AKA 10 Voir aussi

[modifier] Introduction

EAP (Extensible Authentication Protocol) est un mécanisme d'identification universel, fréquemment utilisé dans les réseaux sans fil et les liaisons Point-A-Point.

Bien qu’il soit utilisable sur des réseaux filaires, ce mécanisme est le plus souvent utilisé dans les réseaux sans fils. Les standards WPA et WPA2 ont officiellement adopté 5 types d’EAP comme mécanismes officiels d’identification :

• EAP-TLS
• EAP-TTLS/MSCHAPv2
• PEAPv0/EAP-MSCHAPv2
• PEAPv1/EAP-GTC
• EAP-SIM

Mais EAP ne se limite pas à ces 5 protocoles. Vous trouverez ci-dessous des informations sur les EAP les plus connus.

[modifier] LEAP

Lightweight Extensible Authentication Protocol (LEAP) est une implémentation propriétaire de EAP conçu par Cisco Systems

Cisco a fait beaucoup d'efforts pour promouvoir ce protocole. Il a permis à d'autres fabricants de réaliser des produits « LEAP Compatible » au travers du programme CCX (Cisco Certified Extensions). Ce protocole n'est pas présent nativement sous Windows. Il était connu pour être vulnérable aux attaques par dictionnaire comme EAP-MD5. Mais il ne l'est plus depuis la version ASLEAP (2003) de Joshua Wright. Cisco continue de soutenir que LEAP est une solution sécurisée si l'on utilise des mots de passe suffisamment complexes. Mais tout le monde sait bien que dans la réalité les mots de passe complexes sont rarement utilisés. De nouveaux protocoles comme EAP-TTLS ou PEAP ne rencontrent pas ce type de fragilité car ils créent un tunnel TLS pour sécuriser l'identification. De plus ces nouveaux protocoles étant plus ouverts, ils peuvent être utilisés sur des points d'accès de marque Cisco ou non.

[modifier] EAP-TLS

EAP-TLS est un Standard ouvert IETF. On le retrouve implanté chez de nombreux fabricants de matériel sans fil. C’est le seul protocole EAP qui doit obligatoirement être implanté sur un matériel pour pouvoir porter le logo WPA ou WPA2.

Il offre une bonne sécurité. En effet il utilise deux certificats pour la création d'un tunnel sécurisé qui permettra ensuite l'identification : un côté serveur et un côté client. Cela signifie que même si le mot de passe est découvert, il ne sera d'aucune utilité sans le certificat client. Bien que EAP-TLS fournisse une excellente sécurité, l'obligation de disposer d'un certificat client est peut-être son talon d'Achille. En effet lorsque l'on dispose d'un grand parc de machines, il peut s'avérer difficile et coûteux de gérer un certificat par machine. C'est pour se passer du certificat client que les protocoles PEAP et EAP-TTLS ont été créés.

TLS est considéré comme le successeur du standard SSL. Il utilise une PKI pour sécuriser les communications d'identification entre les clients et le serveur RADIUS.

Il existe des implémentations client ou serveur pour : Microsoft, Cisco, Apple, Linux, ... EAP-TLS est présent nativement dans MAC OS 10.3 et supérieur, Windows 2000 SP4, Windows XP, Windows Mobile 2003 et supérieur, et Windows CE 4.2.

[modifier] EAP-MD5

EAP-MD5 est un autre standard ouvert IETF, mais il offre un niveau de sécurité faible. La fonction de hachage MD5 utilisée est vulnérable aux attaques par dictionnaire, et elle ne supporte pas les clefs WEP dynamiques.

[modifier] EAP-TTLS

EAP-Tunneled Transport Layer Security, a été co-développé par Funk Software et Certicom; c'est également un standard ouvert IETF. Il est supporté sur de nombreuses plates-formes, et offre un très bon niveau de sécurité. Il utilise des certificats X-509 uniquement sur le serveur d'identification. Le certificat est optionnel du côté client.

Le défaut de EAP-TTLS par rapport à PEAP est de ne pas être présent nativement sur les systèmes Microsoft et Cisco. En revanche, il est légèrement plus sécurisé que PEAP car il ne diffuse pas le nom de l'utilisateur en clair.

[modifier] PEAP

Voir PEAP

Protected Extensible Authentication Protocol, Protected EAP, ou plus simplement PEAP, est une méthode de transfert sécurisée d'informations d'identification, pour les réseaux sans fil. Ce protocole a été développé conjointement par Microsoft, RSA Security et Cisco Systems. C’est un standard ouvert de l'IETF(Internet Engineering Task Force). Il faut noter que PEAP n'est pas une méthode de chiffrement, c'est une procédure pour identifier un client sur un réseau.

PEAP est très similaire à une autre Méthode EAP : EAP-TTLS. Protected EAP a été créé pour contrer EAP-TTLS qui était jusque là la seule méthode EAP à utiliser une PKI (Public Key Infrastructure) que du côté serveur, pour la création d'un tunnel TLS protégeant l'identification. Dans ces deux standards, l'utilisation d'une clef publique côté client est optionnelle.

Il existe 2 versions de PEAP Certifiées WPA (mise à jour) et WPA2 :

• PEAPv0/EAP-MSCHAPv2
• PEAPv1/EAP-GTC

PEAP se déroule en 2 phases :

1. La phase 1 permet l'identification du serveur grâce une PKI. Une fois le serveur identifié il y a la création d'un tunnel sécurisé qui permettra à la phase 2 d'être chiffrée.
2. La phase 2 permet l'identification du client au travers du tunnel chiffré.

[modifier] EAP-FAST

EAP-Flexible Authentication via Secure Tunneling est une proposition de Cisco Systems pour fixer les faiblesses de LEAP. L'utilisation de certificats serveur est optionnelle dans EAP-FAST. Il utilise Protected Access Credential (PAC). EAP-FAST dispose de trois phases.

• Phase 0 : Elle est optionnelle et permet de renseigner dynamiquement PAC. PAC peut être complété manuellement, auquel cas il n'y aura pas de phase 0.
• Phase 1 : Le client et le serveur AAA (Authentication Authorization Accounting) utilisent PAC pour établir un tunnel TLS.
• Phase 2 : Le client envoie les informations utilisateur à travers le tunnel.

EAP-FAST est défini dans un brouillon Internet IETF « draft-com-winget-eap-fast-03 ».

[modifier] EAP-SIM

EAP-SIM est une méthode EAP pour les clients GSM. Il est utilisé pour l'identification et la distribution de clefs au travers du réseau Global System for Mobile Communications (GSM), et signifie Subscriber Identity Module (SIM).

[modifier] EAP-AKA

EAP-Authentification and Key Agreement. Ce protocole est utilisé pour l'UMTS (Universal Mobile Telecommunications System, UMTS Subscriber Identity Module (USIM).

[modifier] Voir aussi

• (en) Page Anglaise EAP sur Wikipedia
• (en) RFC 3748
• (fr) RFC 2284 (obsolète)
• (en) RFC 2284 (obsolète)
• (en) RFC 3579

Portail de la cryptologie – Accédez aux articles de Wikipédia concernant la cryptologie.

Portail de l'informatique – Accédez aux articles de Wikipédia concernant l’informatique.