Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

PEAP (protocole d'authentification extensible protégé)

Mis à jour: 27 août 2024 Temps de lecture: ~

Sujette

General Web, Cybersecurity, Security, IT Management

Sommaire

 

Cet article a été traduit automatiquement.

 

PEAP (protected extensible authentication protocol) est un protocole de sécurité utilisé pour mieux sécuriser les réseaux WiFi.

Combien de personnes au sein de votre organisation pianotent sur des ordinateurs branchés sur les murs de votre siège ? 

Il y a de fortes chances que certains (voire tous) les employés de votre entreprise travaillent de temps en temps en dehors du bâtiment. En fait, l'université de Stanford suggère que le travail à domicile est la nouvelle norme, puisque plus de 42 % des personnes se sont connectées à distance pendant la pandémie. Et même lorsque nous serons de retour au bureau, nous utiliserons probablement des ordinateurs portables et des téléphones pour travailler. 

Si vous utilisez le WiFi pour aider ces employés à se connecter, qu'ils soient à l'intérieur du bâtiment ou loin du service informatique, vous pourriez rencontrer des risques de sécurité importants.

Le PEAP (protocole d'authentification extensible protégé) a été créé pour vous aider. 

Qu'est-ce que le PEAP ?

Depuis des années, les programmeurs utilisent le protocole d'authentification extensible (EAP) pour gérer les connexions sans fil. PEAP est une version de cette technologie, et elle est assortie de protections de sécurité renforcées. 

Dans un PAE traditionnel, les systèmes utilisent un système de clés publiques pour se connecter. Si un utilisateur peut prouver son identité (par exemple en saisissant un nom d'utilisateur/mot de passe), le serveur transmet alors une clé publique pour effectuer la transaction, et l'utilisateur dispose d'une clé de chiffrement pour décoder l'information. 

Malheureusement, la saisie de tbd et l'échange de clés peuvent avoir lieu dans des espaces non protégés d'un PAE. Votre système est donc largement ouvert au piratage. 

PEAP combine la rapidité d'EAP avec un tunnel de sécurité de la couche transport (TLS). L'ensemble de la communication entre un client et le serveur est protégé au sein de ce tunnel TLS. PEAP ne décrit pas de méthode spécifique. Les technologies de l'information préconisent plutôt l'enchaînement de plusieurs mécanismes EAP.

Fonctionnement du PEAP 

Le codage et les technologies qui sous-tendent le PEAP sont complexes. Même Microsoft affirme que l'utilisateur moyen travaillant dans un petit bureau n 'a pas besoin de comprendre les tenants et les aboutissants d'une sécurité complexe comme celle-ci. 

Cependant, une vue d'ensemble des technologies pourrait vous aider à comprendre comment le protocole PEAP protège les données lorsqu'elles circulent entre deux parties. 

La connexion à un serveur et l'obtention d'un accès s'appellent l'authentification, et l'informatique comporte généralement plusieurs étapes. Le protocole PEAP comporte deux phases.

  1. Phase 1 : L'authentificateur attaché au terminal de l'utilisateur envoie un message EAP-Request/identité. Le site client peut répondre avec une véritable identité ou une version anonymisée, de sorte qu'il est plus difficile de la voler.

    La poignée de main entre les deux terminaux commence. Pour l'essentiel, les deux systèmes passent par une demande d'authentification de base à ce stade, mais il reste encore du travail à faire.
     

  2. Phase 2 : Le serveur EAP envoie un autre message demandant la véritable identité de l'utilisateur. Ils renforcent leur lien et un canal s'ouvre.

    C'est là qu'un lien plus profond se crée et que les systèmes s'échangent des clés. Comme cette étape intervient très tard dans le processus, sous la protection du tunnel TLS, il est très difficile de pirater ou de manipuler les technologies de l'information. 

Consultez l'illustration pour obtenir une description détaillée de toutes les étapes de l'authentification. En tant qu'utilisateur, vous ne verrez peut-être jamais tout le travail qui se fait en coulisses.

Et le laps de temps est minime. Avec une programmation adéquate, vous n'attendrez que quelques secondes pour que les deux systèmes discutent, se connectent et vous laissent passer. 

Programmation de la phase 2 

Utilisez les protocoles PEAP et l'authentification se fera en deux phases. Vous aurez besoin d'un outil secondaire pour passer de la première à la deuxième phase. 

Vous avez le choix entre plusieurs options :

  • EAP-MSCHAPv2. Lorsque l'offre est packagée avec PEAPv0, il s'agit de l'un des formulaires PEAP les plus courants utilisés aujourd'hui. Le service informatique est fourni à l'adresse standard avec les produits Microsoft et gère les détails de la deuxième poignée de main dans la phase 2 de l'authentification.
     
  • EAP-GTC. Ce produit est destiné à offrir une offre packagée avec PEAPv1, et IT fonctionne avec des produits en dehors de l'environnement Microsoft. Étant donné que la mise en œuvre de la technologie de l'information nécessite un certain savoir-faire en matière de codage, ce qui n'est pas le cas de l'homologue de la technologie de l'information, cette solution est rarement utilisée. 

L'enchevêtrement de lettres et de chiffres peut être déroutant. Mais les avantages sont évidents. 

Lorsque vous utilisez une méthode PEAP, avec l'une ou l'autre de ces aides, vous prouvez que vous méritez d'avoir accès au serveur. Vous n'aurez à le prouver qu'une seule fois, car vos identifiants sont stockés dans le système. Au cours de votre carrière au sein des organisations, il se peut que vous n'ayez plus jamais à mettre à jour votre mot de passe (ou à vous souvenir de l'informatique). Votre gain de temps pourrait être immense.

PEAP vs. EAP-TTLS

Comme nous l'avons mentionné, PEAP utilise TLS pour sécuriser et protéger les messages. Mais d'autres systèmes utilisent également TLS. En tant qu'administrateur de réseau, vous avez le choix. 

Par exemple, certaines entreprises évitent le PEAP et utilisent à la place un système appelé EAP-TTLS. Ce produit offre une authentification tbd à travers un tunnel, tout comme PEAP. Mais il s'agit d'un protocole propriétaire, qui n'est pas intégré dans les produits Microsoft comme le PEAP. 

Comme le soulignent les chercheurs, Microsoft est devenu synonyme d'ordinateurs. Presque tous les particuliers et toutes les entreprises utilisent ce type de produit pour rester en activité. Si vous choisissez EAP-TTLS au lieu de PEAP, vous risquez de passer beaucoup de temps à installer le système informatique sur chaque ordinateur qui doit se connecter avec vous. 

Laissez Okta vous aider à protéger vos données 

Le WiFi simplifie les connexions. Il suffit que les personnes à proximité connaissent les bons identifiants pour qu'elles soient prêtes à entrer en contact.

Mais le WiFi comporte des risques de sécurité, et il n'est pas toujours facile de les trouver. Nous pouvons vous aider.

Sur Okta, nous pouvons vous aider à examiner vos configurations et à corriger les lacunes qui mettent votre sécurité en péril. 

Références

Une étude de Stanford donne un aperçu de la nouvelle économie du travail à domicile. (juin 2020), Université de Stanford. 

802.1X Overview and EAP Types (Aperçu de 802.1X et types EAP). (octobre 2020), Intel. 

1.3 Vue d'ensemble. (octobre 2020), Microsoft. 

Windows de Microsoft est toujours synonyme d'ordinateur. (mars 2020), Statista. 

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter