Écoutez cet article

Votre routeur Wi-Fi propose des options de cryptage telles que WPA2-PSK (TKIP), WPA2-PSK (AES), WPA2-PSK (TKIP/AES) et même, s’il est suffisamment moderne, WPA3 (AES). Cela peut être un peu déroutant et si vous choisissez le mauvais, vous aurez un réseau plus lent et moins sûr. Voici ce qu’il faut savoir.

Table des matières

WPA2 contre WEP, WPA et WPA3

Lorsque l’on parle de sécurité Wi-Fi, l’accent est généralement mis sur le type de cryptage utilisé pour sécuriser la connexion sans fil. C’est logique, après tout, car, de par la nature même d’un routeur Wi-Fi, toutes les communications entre votre appareil client (comme votre smartphone ou votre ordinateur portable) et le routeur sont diffusées à l’air libre. Toute personne se trouvant à portée de votre routeur peut espionner ces communications ou même accéder à votre routeur si la connexion sans fil n’est pas sécurisée.

Cette connexion sans fil est sécurisée à l’aide d’algorithmes de sécurité spécialement conçus pour le Wi-Fi. Ces algorithmes ne se limitent pas au cryptage (bien qu’il s’agisse d’un élément essentiel), mais comprennent des fonctions supplémentaires qui régissent la manière dont les clés sont échangées et vérifiées, et bien d’autres choses encore.

WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) et WPA2 (Wi-Fi Protected Access II) sont les principaux algorithmes de sécurité que vous rencontrerez lors de la configuration d’un réseau sans fil. Si vous disposez d’un routeur plus récent, vous pouvez également voir Wi-Fi Protected Access III (WPA3).

Le WEP est l’algorithme le plus ancien et s’est avéré vulnérable au fur et à mesure que des failles de sécurité étaient découvertes. Le WPA a amélioré la sécurité, mais il est désormais considéré comme vulnérable aux intrusions.

Le WPA2, bien qu’imparfait, est plus sûr que le WEP ou le WPA et constitue l’un des algorithmes de sécurité Wi-Fi les plus utilisés. Les réseaux WPA et WPA2 peuvent utiliser l’un des deux protocoles de cryptage suivants : Temporal Key Integrity Protocol (TKIP) et Advanced Encryption Standard (AES). Nous verrons dans un instant la différence entre ces deux protocoles de cryptage.

Enfin, les réseaux WPA3 n’utilisent que le protocole de cryptage AES. Bien qu’il ait été introduit en 2018, le WPA3 n’est pas encore largement adopté.

AES vs. TKIP

TKIP et AES sont deux types de cryptage différents qui peuvent être utilisés par un réseau Wi-Fi. Le TKIP est en fait un ancien protocole de cryptage introduit avec le WPA pour remplacer le cryptage WEP très peu sûr à l’époque. Le TKIP est en fait assez similaire au cryptage WEP. Le protocole TKIP n’est plus considéré comme sûr et est désormais obsolète. En d’autres termes, vous ne devriez pas l’utiliser.

AES est un protocole de cryptage plus sûr introduit avec le WPA2. Il ne s’agit pas non plus d’une norme bancale développée spécifiquement pour les réseaux Wi-Fi. Il s’agit d’une norme de cryptage mondiale sérieuse qui a même été adoptée par le gouvernement américain.

Par exemple, lorsque vous chiffrez un disque dur avec TrueCrypt, il peut utiliser le chiffrement AES. L’outil de chiffrement intégré BitLocker de Windows utilise également l’AES, tout comme l’outil FileVault de macOS. L’AES est généralement considéré comme assez sûr, et les principales faiblesses seraient les attaques par force brute (évitées par l’utilisation d’une phrase de passe forte) et les faiblesses de sécurité dans d’autres aspects du WPA2.

En résumé, TKIP est une ancienne norme de cryptage utilisée par la norme WPA. AES est une solution de cryptage Wi-Fi plus récente utilisée par la nouvelle norme sécurisée WPA2. En théorie, c’est tout. Mais, selon votre routeur, le choix de la norme WPA2 peut s’avérer insuffisant.

Bien que le WPA2 soit censé utiliser l’AES pour une sécurité optimale, il peut également utiliser le TKIP, lorsqu’une rétrocompatibilité avec les anciens appareils est nécessaire. Dans ce cas, les appareils qui prennent en charge le WPA2 se connectent avec le WPA2, et les appareils qui prennent en charge le WPA se connectent avec le WPA. Ainsi, « WPA2 » ne signifie pas toujours WPA2-AES. Toutefois, sur les appareils ne disposant pas d’une option « TKIP » ou « AES » visible, WPA2 est généralement synonyme de WPA2-AES.

Les modes de sécurité Wi-Fi expliqués : Lequel utiliser ?

Vous êtes encore confus ? Ne vous sentez pas mal à l’aise. Le monde de la sécurité Wi-Fi est assez obscur si vous n’êtes pas un geek de réseau pur et dur. Heureusement, vous n’avez pas besoin de comprendre les subtilités de l’évolution des protocoles de sécurité et des poignées de main entre toutes les générations de Wi-Fi.

Il vous suffit de consulter la liste ci-dessous et de sélectionner l’option la plus sûre, compatible avec l’ensemble de votre matériel et de vos appareils. Pour vous aider à éviter les options plus anciennes et non sécurisées, nous les avons signalées par la mention [Déclassé] après leur nom.

Et, pour être clair, nous ne gardons pas arbitrairement ces protocoles et ne les déclarons pas obsolètes sur la base de nos opinions. Microsoft et Apple les ont également désignés comme tels. C’est pourquoi votre ordinateur portable Windows vous avertit lorsqu’un réseau Wi-Fi n’est pas sécurisé, et votre iPhone vous avertit lorsque la sécurité des réseaux Wi-Fi est faible.

En outre, nous n’avons pas répertorié les options « Entreprise » dans la liste ci-dessous, car la sécurité Wi-Fi « Entreprise », ou basée sur un serveur RADIUS, est peu courante dans les environnements résidentiels et nécessite une infrastructure supplémentaire.

En outre, veuillez noter qu’en fonction de votre routeur, les options non Entreprise peuvent être désignées comme « Personal » ou « PSK » – PSK signifie « Pre-Shared Key » et indique que, contrairement à une configuration Entreprise, la sécurité ne repose pas sur un serveur d’authentification mais sur le fait que l’utilisateur dispose de la clé pré-partagée (le mot de passe Wi-Fi) à saisir en tant que méthode d’authentification. À partir du WPA2, et surtout du WPA3, il est plus courant de voir « Personal » au lieu de « PSK ».

En gardant ces remarques à l’esprit, voici les options que vous verrez probablement sur votre routeur.

  • Ouvert [Obsolète] : Les réseaux Wi-Fi ouverts n’ont pas de phrase de passe. Vous ne devriez pas mettre en place un réseau Wi-Fi ouvert. Sérieusement, vous pourriez vous faire défoncer la porte par la police.
  • WEP 64 [Obsolète] : L’ancienne norme de protocole WEP est vulnérable et ne doit pas être utilisée.
  • WEP 128 [Obsolète] : Il s’agit du protocole WEP, mais avec une clé de cryptage plus grande. Il n’est pas vraiment moins vulnérable que le WEP 64.
  • WPA-PSK (TKIP) [Obsolète] : Ce protocole utilise la version originale du protocole WPA (essentiellement WPA1). Il a été remplacé par le WPA2 et n’est pas sûr.
  • WPA-PSK (AES) [Obsolète] : Ce protocole utilise le protocole WPA d’origine, mais remplace le TKIP par le cryptage AES, plus moderne. Il s’agit d’un palliatif, mais les appareils qui prennent en charge le protocole AES prendront presque toujours en charge le protocole WPA2, tandis que les appareils qui nécessitent le protocole WPA ne prendront presque jamais en charge le cryptage AES. Cette option n’a donc guère de sens.
  • WPA2-PSK (TKIP) [Obsolète] : Cette option utilise la norme WPA2 moderne avec l’ancien cryptage TKIP. Cette option n’est pas sûre et n’est une bonne idée que si vous avez des appareils anciens qui ne peuvent pas se connecter à un réseau WPA2-PSK (AES).
  • WPA2-PSK (AES) : Il s’agit de l’option la plus sûre (en dehors du WPA3, plus récent). Elle utilise le WPA2, la dernière norme de cryptage Wi-Fi, et le dernier protocole de cryptage AES. Vous devez utiliser cette option à moins que votre routeur ne prenne en charge le WPA3, auquel cas vous l’utiliserez à la place. Sur certains appareils, l’option « WPA2 » ou « WPA2-PSK » suffit. Si c’est le cas, vous utiliserez probablement AES, car il s’agit d’un choix de bon sens.
  • WPA/WPA2-PSK (TKIP/AES) : Certains appareils proposent – et même recommandent – cette option de mode mixte. Cette option permet d’activer à la fois WPA et WPA2, avec TKIP et AES. Elle offre une compatibilité maximale avec les anciens appareils que vous possédez, mais elle permet également à un pirate de pénétrer dans votre réseau en craquant les protocoles WPA et TKIP, qui sont plus vulnérables.
  • WPA2/WPA3 Personal (AES) : Comme l’hybride WPA/WPA2, ce mode est conçu pour assurer une compatibilité ascendante. Vos appareils WPA2 uniquement se connecteront à l’aide du protocole WPA2 (AES) et vos appareils WPA3 utiliseront le protocole le plus avancé. Ce mode peut également être appelé « WPA3 Transitional » ou une variante de ce terme.
  • WPA3 Personal (AES) : Les anciens routeurs ne disposent pas du WPA3 et les anciens appareils ne peuvent pas utiliser le WPA3. Mais si vous disposez d’un nouveau routeur qui prend en charge le WPA3 et tous les appareils plus récents, il n’y a aucune raison de ne pas passer entièrement au WPA3.

La certification WPA2 est disponible depuis 2004. En 2006, la certification WPA2 est devenue obligatoire. Tout appareil fabriqué après 2006 et portant le logo « Wi-Fi » doit prendre en charge le cryptage WPA2. La certification WPA3 est disponible depuis 2018, et tout appareil certifié après le 1er juillet 2020 doit prendre en charge le WPA3. (Notez l’utilisation du terme « certifié » et non « fabriqué » : une entreprise peut toujours fabriquer et vendre un ancien modèle qui a été certifié avant l’adoption d’une nouvelle norme).

Étant donné qu’il est fort probable que tous les appareils Wi-Fi de votre réseau (y compris le routeur lui-même) aient été certifiés et fabriqués après 2006, il n’y a aucune raison de ne pas utiliser un protocole de sécurité inférieur à WPA2-PSK (AES). Vous devriez pouvoir sélectionner cette option dans votre routeur et ne rencontrer aucun problème.

Si vous disposez d’un routeur plus récent qui prend en charge le protocole WPA3, nous vous recommandons d’essayer le protocole WPA3 (AES) pour passer au niveau de sécurité le plus élevé. Si vous rencontrez des problèmes, passez au WPA2/WPA3 hybride (AES). De cette façon, les appareils les plus récents utiliseront la meilleure sécurité, et les plus anciens reviendront à WPA2 – de toute façon, ils utiliseront AES, ce qui est idéal.

Si vous n’avez pas de routeur plus récent, il est probablement temps de le recycler et de passer à un routeur Wi-Fi actuel, doté des normes les plus récentes et de toutes les améliorations Wi-Fi qui en découlent. Il n’est pas nécessaire d’acheter un modèle Wi-Fi 7 à la pointe de la technologie, mais c’est le moment idéal pour passer au Wi-Fi 6 ou au Wi-Fi 6E si vous ne l’avez pas encore fait.

WPA et TKIP ralentissent votre Wi-Fi

Peut-être avez-vous lu jusqu’à présent en vous disant : « Je ne me préoccupe pas vraiment de la sécurité ». Nous vous encourageons à vous préoccuper davantage de la sécurité de votre réseau Wi-Fi, mais nous comprenons que ce n’est pas une priorité urgente pour tout le monde.

Voici donc une raison convaincante d’utiliser de meilleurs algorithmes de sécurité Wi-Fi que tout le monde peut approuver. Les options de compatibilité WPA et TKIP ne sont pas seulement mauvaises du point de vue de la sécurité. Elles peuvent également ralentir votre réseau Wi-Fi.

Lorsque vous utilisez WPA/TKIP sur un routeur qui prend en charge la norme 802.11n et les normes plus récentes et plus rapides, il ralentit jusqu’à la vitesse 802.11g (54 Mbps) pour assurer la rétrocompatibilité avec les clients plus anciens. C’est d’une lenteur affligeante.

À titre de comparaison, même le 802.11n (Wi-Fi 4) prend en charge jusqu’à 300 Mbps si vous utilisez le WPA2 avec AES. La plupart des gens ont des routeurs plus récents. Si vous disposez d’un routeur 802.11ac (Wi-Fi 5) ou 802.11ax (Wi-Fi 6) et que vous utilisez WPA/TKIP, vous perdez énormément de performances.

En ce qui concerne les générations Wi-Fi, la norme 802.11g est essentiellement le « Wi-Fi 2 » et a été mise en place en 2003. Il n’y a aucune raison d’utiliser une norme de sécurité Wi-Fi aussi peu sûre, dépassée et lente.

En cas de doute, choisissez toujours WPA 2 (AES) ou WPA3

Nous l’avons dit à plusieurs reprises jusqu’à présent, mais une dernière fois pour insister. Si vous ne savez pas quel paramètre choisir sur votre routeur, optez toujours pour le plus sûr, et pour toute route fabriquée après 2010 environ, il s’agit de WPA 2 (AES) ou de WPA 3.

Sur la plupart des routeurs certifiés avant 2018, les options sont généralement WEP, WPA (TKIP) et WPA2 (AES) – avec peut-être un mode de compatibilité WPA (TKIP) + WPA2 (AES) pour faire bonne mesure. Si c’est ce que vous propose votre routeur, réglez-le sur WPA2 (AES).

Sur les routeurs certifiés après 2018 (en particulier après la date limite du 1er juillet 2020), vous trouverez des modes de compatibilité WPA3 et WPA2/WPA3. Nous vous recommandons vivement d’essayer le mode WPA3 pur. Si tout fonctionne, c’est parfait ! Vous disposez de la meilleure configuration de sécurité Wi-Fi possible. Si vous constatez qu’il y a quelques anciens éléments critiques dans votre maison (comme un thermostat Wi-Fi) qui n’acceptent pas le WPS, vous pouvez alors revenir au mode de compatibilité WPA2/WPA3.

Mais quoi que vous fassiez, il est temps de mettre au placard tous les protocoles de sécurité Wi-Fi de moindre importance tels que WEP, WPA et WPA2 (TKIP) pour de bon.