Chez moi, j'ai un routeur protégé par WPA2-PSK (WPA2 Personal), en utilisant la phrase secrète.
Lorsque j'essaie de me connecter à une page sur Internet (cette page n'utilise pas HTTPS pour me connecter), toutes mes données sont envoyées en texte clair (car je peux voir le mot de passe que j'ai tapé dans Wireshark).
Pourquoi donc? Je veux dire, mon WiFi est protégé, donc toutes les communications doivent être cryptées, non?
Je veux dire, mon WiFi est protégé, donc toutes les communications doivent être cryptées, non?
Il l'est, mais pas à l'endroit où vous le lisez. Le cryptage se produit à un certain point du "pipeline", et le décryptage doit alors également se produire à un certain point du "pipeline" (sinon les données sont inutiles). Vous observez les données après leur décryptage, ce qui ne serait pas possible si vous utilisiez HTTPS (qui fournit à la place un cryptage de bout en bout, qui commence sur le serveur et se termine sur le navigateur).
Si vous tentiez d'utiliser Wireshark pour capturer le contenu d'une transaction HTTPS, ce serait comme ceci:
+--------+ (encrypted) +----------+ (encrypted) +--------+
| Server | ----------->| Internet |------------>| Router |
+--------+ +----------+ +--------+
|
| (encrypted)
+------------------+---+
| Your PC | |
| +-----------+ (e)| |
| | Browser |<---+ |
| +-----------+ | |
| +-----------+ (e)| |
| | Wireshark |<---/ |
| +-----------+ |
+----------------------+
Ici, votre navigateur sait comment décrypter les données, car il "détient" la transaction HTTPS en premier lieu; votre instance Wireshark (qui, dans le but même du chiffrement de bout en bout, est traitée comme tout autre espion dans ce scénario) ne le fait pas.
Mais votre cryptage sans fil commence au routeur et se termine à la carte réseau du PC, donc le résultat pour vous ressemble plus à ceci:
+--------+ (plaintext) +----------+ (plaintext) +--------+
| Server | ----------->| Internet |------------>| Router |
+--------+ +----------+ +--------+
|
| (encrypted)
+------------------+---+
| Your PC | |
| +-----------+ (p)| |
| | Browser |<---+ |
| +-----------+ | |
| +-----------+ (p)| |
| | Wireshark |<---/ |
| +-----------+ |
+----------------------+
Ici, tout ce qui se trouve sur votre PC peut lire les données, car elles ont été déchiffrées par votre carte réseau. Sinon, quelle application décrypterait les données? Rien ne fonctionnerait.
Il n'y a presque aucune relation entre HTTPS et WPA2-PSK; ils font des travaux complètement différents.
L'utilisation d'un routeur avec WPA2-PSK (ou tout autre algorithme de cryptage réseau) ne signifie pas que tous les sites sont obligés d'utiliser https. Cela signifie que le trafic non chiffré n'est pas visible pour ceux qui ne sont pas connectés au réseau.
Considérez HTTPS comme une relation entre votre navigateur et le site Web.
Considérez WPA2-PSK comme la relation entre votre appareil et votre point d'accès.
Lorsque vous exécutez Wireshark sur un ordinateur, vous capturez le trafic que l'ordinateur peut "voir".
Si vous exécutez Wireshark lors de la navigation sur des sites Web HTTP, l'ordinateur "voit" les données en texte clair, car le chiffrement Wi-Fi se produit au niveau du routeur/point d'accès, appelé "couche de liaison".
Si, d'autre part, vous exécutez Wireshark lors de la navigation sur des sites Web HTTPS, Wireshark "voit" les données chiffrées, même si vous n'utilisez pas le chiffrement Wi-Fi, car le chiffrement HTTPS (SSL/TLS) se produit au niveau du navigateur ou, plus précisément, au niveau de la "couche application".
Pensez de cette façon.
Un point d'accès permet à plusieurs appareils de se connecter à Internet. Sans aucun type de cryptage, tout appareil (qu'il soit à l'intérieur ou à l'extérieur du réseau sans fil) serait en mesure de "voir" le trafic en texte clair depuis et vers n'importe quel appareil connecté au réseau. Le chiffrement Wi-Fi empêche les appareils en dehors du réseau de voir votre trafic (c'est à cela que sert la phrase secrète) et empêche les appareils à l'intérieur du réseau de s'espionner (en simplifiant un peu, les données sont chiffrées avec des clés différentes pour chaque appareil). Par conséquent, si Alice et Bob sont connectés au point d'accès AP, non seulement Eve (qui est en dehors du réseau) ne peut pas voir le trafic lié à Alice et Bob, mais Bob ne peut pas voir ce que fait Alice, et vice versa.
Cependant, le propriétaire du réseau Wi-Fi peut facilement voir ce que font Alice et Bob.
L'analogie
Considérez le chiffrement (pour le moment) comme une série de tubes et les données comme des lettres envoyées via ces tubes.
Le réseau sans fil est une immense pièce où vous pouvez lire, écrire et transmettre des messages, car il comprend également un bureau de poste (point d'accès).
Le bureau de poste permet d'envoyer vos lettres à quelqu'un en utilisant une autre boîte, peut-être à l'autre bout du monde. Il le fait en vérifiant l'adresse écrite sur la lettre et en l'envoyant.
Si le cryptage Wi-Fi est utilisé, la salle est verrouillée et chaque utilisateur dispose d'un tube distinct, à travers lequel il peut envoyer et recevoir des messages.
Internet est tout ce qui se trouve en dehors de l'immense salle. Alice et Bob sont à l'intérieur de la pièce, Eve est à l'extérieur.
Avertissement: par souci de concision, parler = écrire et lire dans ce contexte
1) Si la pièce n'était pas verrouillée, sans tubes, et que vous envoyiez des cartes postales en texte clair (pas de cryptage Wi-Fi, pas de HTTPS), vous auriez un bureau de poste fonctionnel (envoyant et recevant correctement lettres), mais très précaire. Alice pouvait saisir les lettres envoyées par Bob et vice-versa. De plus, n'importe qui pouvait entrer dans le bureau de poste et saisir n'importe quelle lettre. En d'autres termes, ce serait un énorme gâchis.
2) cryptage Wi-Fi, pas de HTTPS correspond à une pièce verrouillée utilisant un tube par personne, de sorte qu'Alice ne puisse pas saisir les lettres envoyées ou reçues par Bob. Clairement, Eve qui n'est même pas dans la pièce, ne voit rien. Cependant, ces lettres sont des cartes postales en texte clair, ce qui signifie que le contenu n'est pas crypté. Cela signifie que le bureau de poste peut voir tout ce que vous envoyez et recevez.
Maintenant, vous n'aimerez peut-être pas cela. Pourquoi la poste devrait-elle pouvoir lire vos messages si elle n'a besoin que de les envoyer? Vous êtes ensuite d'accord avec les personnes avec qui vous communiquez et décidez d'écrire des cartes postales codées ou cryptées. Par exemple, HI MIKE deviendrait FJSDJHDNFSJ.
De cette façon, le bureau de poste ne peut pas comprendre de quoi vous et vos amis parlez.
3) Un système impliquant des cartes cryptées et une salle déverrouillée sans tubes distincts est similaire à pas de cryptage Wi-Fi, mais HTTPS. Ainsi, le bureau de poste ne sait pas ce que vous écrivez et lisez, et Eve (qui est à l'extérieur de la pièce verrouillée, mais peut voir vos lettres en sortant de la pièce) peut collecter ou copier vos messages mais ne peut pas les comprendre. Tout va bien, non? Et bien non. Bob, Eve et d'autres personnes (à l'intérieur et à l'extérieur du réseau) peuvent toujours voir à qui vous parlez.
4) Si le système implique une pièce verrouillée avec des tubes distincts et des cartes postales cryptées, c'est similaire à cryptage Wi-Fi + HTTPS , ce qui est plutôt sympa. Personne ne sait de quoi vous parlez, et seul le bureau de poste sait à qui vous parlez.
TL; DR. HTTP sur le Wi-Fi protégé par mot de passe permet à vous et au propriétaire du point d'accès de lire votre trafic, même si d'autres personnes sur le même réseau ne le peuvent pas.
HTTPS sur Wi-Fi protégé par mot de passe signifie que vous seul pouvez lire votre trafic et que seul le propriétaire du point d'accès sait quels sites Web vous visitez.
Soit dit en passant, si vous ne voulez pas que le propriétaire de l'AP sache quels sites Web vous visitez, vous devez utiliser d'autres solutions, y compris les VPN et Tor.
Que votre wifi soit protégé par WPA2 signifie simplement que les signaux envoyés par voie hertzienne de votre ordinateur au routeur sont cryptés, rien d'autre. À partir de là (du routeur au prochain saut de votre FAI, puis au serveur Web qui répond à votre demande), le trafic n'est pas chiffré.
https, cependant, fournit un chiffrement de bout en bout. Une extrémité est votre navigateur (de votre côté), l'autre extrémité est le serveur Web servant la demande. De bout en bout signifie qu'aucune entité entre ces 2 extrémités ne peut voir le texte brut. Consultez un site Web https arbitraire et vous verrez: Wireshark ne peut rien voir parce que Wireshark écoute sur l'interface réseau et qui n'obtient les données qu'une fois que le navigateur les a déjà chiffrées. D'un autre côté, WPA2 n'est pas de bout en bout. Le périphérique réseau gère le chiffrement (et Wireshark intercepte les données avant que le périphérique ne le fasse). C'est pourquoi vous pouvez voir des données en texte clair.
Un point important à souligner ici est que ce que vous pouvez faire sur votre ordinateur, tout le monde peut le faire sur chaque routeur Internet qui obtient les données entre votre routeur Wi-Fi et le serveur Web. Par conséquent, considérez le WPA2 comme un moyen de protéger la confidentialité de la partie émise en direct de votre réseau domestique. Si vous voulez la confidentialité de la communication qui passe sur Internet, les protocoles de chiffrement de bout en bout (comme https) sont la méthode de choix.
Il y a beaucoup d'idées qui circulent ici, avec différents degrés d'inexactitude.
WPAx crypte le trafic en direct, entre votre appareil et votre point d'accès sans fil (AP), et nulle part ailleurs (y compris le routeur).
Même si vous n'avez qu'un seul appareil que vous appelez un "routeur" ou un "modem", vous avez en fait (généralement) 4 appareils. Ils sont tous simplement intégrés dans le même boîtier pour plus de commodité et pour faciliter la configuration du réseau pour les utilisateurs à domicile. Sur mon propre réseau (s), littéralement tous ces appareils sont physiquement séparés.
Vous avez:
WPAx uniquement crypte les paquets entre vos appareils et l'AP.
L'AP déchiffre les paquets, les transforme en anciens paquets Ethernet normaux et les transmet au commutateur. Tout autre élément branché sur ce commutateur pourrait potentiellement lire vos paquets en texte brut.
Votre routeur est également connecté au commutateur et le modem est connecté soit au routeur, soit au commutateur.
Le chemin du trafic ressemble à ceci:
[device ----- AP] ---- switch ---- router ---- modem -> Internet
WPAx |
|
computer, printer?
WPAx est un protocole de sécurité sans fil uniquement. Cela fait partie du chemin entre vos appareils et votre point d'accès. Si vous avez un ordinateur branché à votre commutateur avec un câble, cet ordinateur pourrait voir votre trafic "sans fil" non crypté, et de même tous les paquets qui sortent sur Internet via votre routeur et votre modem sont également non cryptés.
Le cryptage WPA2-PSK est destiné à protéger les émissions radio sans fil entre la carte sans fil PC et le routeur Wifi. La charge utile (données) transférée entre le client PC (c'est-à-dire le navigateur Web) et le serveur distant peut être chiffrée (SSL, etc.) ou non - c'est une autre couche. Sans WPA2-PSK, n'importe qui à courte portée (~ 50 mètres) peut espionner tout votre trafic. Pour une comparaison simple, imaginez que le Wifi avec WPA2-PSK est un câble Ethernet entrant dans votre maison où les personnes externes n'ont pas accès et sans WPA2-PSK le même câble passe par un lieu public (rue, toit, etc.)
Bien qu'il existe une chose appelée "Internet Protocol", il n'y a pas de protocole unique qui compose Internet. Au contraire, Internet est composé de nombreux protocoles différents, dont plusieurs sont utilisés à la fois pour former ce qu'on appelle une pile .
La couche la plus basse de la pile est appelée couche de liaison , et elle gère la question de savoir comment obtenir un signal entre deux machines qui sont directement connectées d'une manière ou d'une autre. Ethernet est un exemple de protocole de couche liaison. Le Wi-Fi aussi, et PPP (utilisé surtout par les modems, mais le DSL et les téléphones portables l'utilisent également en coulisses).
La couche suivante est appelée couche Internet et traite la question de savoir comment obtenir un signal entre deux machines qui ne sont pas directement connectés, en utilisant une série de machines qui le sont. IP (le "protocole Internet" que j'ai mentionné ci-dessus) vit ici. Notez que la couche de liaison n'a pas besoin de savoir ou de se soucier de la façon dont les machines sont connectées: il est théoriquement possible que vos données passent par le Wi-Fi , Ethernet, PPP et des types de liens plus exotiques sur le chemin de sa destination, et cela ne fera aucune différence.
Au-dessus se trouve la couche de transport , qui prend le signal et le transforme en données significatives d'une certaine sorte. TCP, qui collecte ces signaux et les transforme en "connexions" de plus longue durée, vit ici. Il en va de même pour UDP, qui se soucie moins des connexions et qui diffuse simplement des bits de données dans les deux sens. comme le font un certain nombre d'autres choses.
Vient ensuite la couche d'application , où les données de la couche transport sont interprétées à des fins particulières. HTTP vit ici, tout comme divers protocoles de messagerie, la plupart des protocoles de jeu et la plupart des autres choses auxquelles nous avons tendance à penser lorsque nous pensons à Internet.
La raison pour laquelle tout cela est important est que le chiffrement du trafic Web affecte uniquement les couches au niveau ou en dessous la couche où le chiffrement se produit. WPA protège le Wi-Fi, qui est un protocole de couche liaison: le trafic est en effet crypté, mais uniquement entre les deux machines qui sont directement connectées, car c'est ainsi que fonctionnent les protocoles de couche liaison. - Wireshark voit le texte clair car au moment où le trafic y parvient, il a déjà été décrypté.
Pour empêcher Wireshark de renifler le contenu d'une connexion, vous devez la crypter dans une couche supérieure à celle de Wireshark, afin qu'elle ne soit pas décryptée au moment où Wireshark la voit. C'est à cela que sert SSL/TLS. Il fonctionne dans la couche application (bien qu'il agisse comme une autre couche de transport, donc le nom "Transport Layer Security"), donc si vous exécutez Wireshark dessus, il verra du texte crypté. Il existe en fait des moyens de contourner Wireshark, mais ils impliquent de modifier fondamentalement la connexion afin que Wireshark puisse agir comme un homme au milieu. Ce n'est pas quelque chose que vous pouvez faire à moins que vous ne connaissiez déjà les clés de chiffrement que la connexion utilisera.