Donc wpa wpa2 psk. Le type de sécurité et de cryptage sans fil. Lequel choisir ? TKIP ou AES ? Quel est le meilleur

DANS dernièrement De nombreuses publications « révélatrices » ont paru sur le piratage de certains nouveaux protocoles ou technologies qui compromettent la sécurité des réseaux sans fil. Est-ce vraiment le cas, de quoi devriez-vous avoir peur et comment pouvez-vous garantir que l'accès à votre réseau est aussi sécurisé que possible ? Les mots WEP, WPA, 802.1x, EAP, PKI ne vous disent rien ? Ce brève revue permettra de regrouper toutes les technologies applicables en matière de chiffrement et d’autorisation d’accès radio. Je vais essayer de montrer qu'un réseau sans fil correctement configuré représente une barrière infranchissable pour un attaquant (jusqu'à une certaine limite bien sûr).

Les bases

Toute interaction entre un point d'accès (réseau) et un client sans fil est basée sur :

• Authentification- comment le client et le point d'accès se présentent et confirment qu'ils ont le droit de communiquer entre eux ;
• Cryptage- quel algorithme de brouillage des données transmises est utilisé, comment la clé de cryptage est générée et quand elle change.

Les paramètres d'un réseau sans fil, principalement son nom (SSID), sont régulièrement annoncés par le point d'accès dans des paquets de balises de diffusion. En plus des paramètres de sécurité attendus, des demandes de QoS, de paramètres 802.11n, de vitesses prises en charge, d'informations sur les autres voisins, etc. L'authentification détermine la manière dont le client se présente au point. Options possibles :

• Ouvrir- le soi-disant réseau ouvert, dans lequel tous les appareils connectés sont autorisés en même temps
• Commun- l'authenticité de l'appareil connecté doit être vérifiée avec une clé/mot de passe
• PAE- l'authenticité de l'appareil connecté doit être vérifiée grâce au protocole EAP par un serveur externe

L’ouverture du réseau ne signifie pas que quiconque puisse l’utiliser en toute impunité. Pour transmettre des données sur un tel réseau, l'algorithme de cryptage utilisé doit correspondre et, par conséquent, la connexion cryptée doit être correctement établie. Les algorithmes de cryptage sont :

• Aucun- pas de cryptage, les données sont transmises via formulaire ouvert
• WEP- chiffre basé sur l'algorithme RC4 avec différentes longueurs de clés statiques ou dynamiques (64 ou 128 bits)
• CKIP- remplacement propriétaire du WEP de Cisco, première version TKIP
• TKIP- Remplacement WEP amélioré avec des contrôles et une protection supplémentaires
• AES/CCMP- l'algorithme le plus avancé basé sur AES256 avec des contrôles et une protection supplémentaires

Combinaison Authentification ouverte, pas de cryptage largement utilisé dans les systèmes accès invité comme fournir Internet dans un café ou un hôtel. Pour vous connecter, il vous suffit de connaître le nom du réseau sans fil. Cette connexion est souvent combinée avec chèque supplémentaire sur Portail captif en redirigeant une requête HTTP personnalisée vers page supplémentaire, où vous pouvez demander une confirmation (login-mot de passe, accord avec le règlement, etc.).

Cryptage WEP est compromis et ne peut pas être utilisé (même dans le cas de clés dynamiques).

Termes courants WPA Et WPA2 déterminer, en effet, l'algorithme de cryptage (TKIP ou AES). Étant donné que les adaptateurs clients prennent en charge WPA2 (AES) depuis un certain temps, il ne sert à rien d'utiliser le cryptage TKIP.

Différence entre WPA2 Personnel Et WPA2 Entreprise C'est de là que proviennent les clés de cryptage utilisées dans la mécanique de l'algorithme AES. Pour les applications privées (domestiques, petites), une clé statique (mot de passe, mot de code, PSK (Pre-Shared Key)) d'une longueur minimale de 8 caractères, définie dans les paramètres du point d'accès et identique pour tous les clients de ce réseau sans fil. La compromission d'une telle clé (ils ont vendu la mèche à un voisin, un employé a été licencié, un ordinateur portable a été volé) nécessite un changement immédiat du mot de passe pour tous les utilisateurs restants, ce qui n'est réaliste que s'ils sont un petit nombre. Pour les applications d'entreprise, comme son nom l'indique, une clé dynamique est utilisée, individuelle pour chaque client travaillant dans à l'heure actuelle. Cette clé peut être mise à jour périodiquement pendant le fonctionnement sans rompre la connexion, et est responsable de sa génération composant supplémentaire- un serveur d'autorisation, et il s'agit presque toujours d'un serveur RADIUS.

Tous paramètres possibles les informations de sécurité sont résumées dans cette plaque :

Propriété	WEP statique	WEP dynamique	WPA	WPA 2 (Entreprise)
Identification	Utilisateur, ordinateur, carte WLAN	Utilisateur, ordinateur	Utilisateur, ordinateur	Utilisateur, ordinateur
Autorisation	Clé partagée	PAE	EAP ou clé partagée	EAP ou clé partagée
Intégrité	Valeur de contrôle d'intégrité (ICV) 32 bits	ICV 32 bits	Code d'intégrité des messages (MIC) 64 bits	CRT/CBC-MAC (Code d'authentification de chaînage de blocs de chiffrement en mode compteur - CCM) Fait partie d'AES
Cryptage	Clé statique	Clé de session	Clé par paquet via TKIP	CCMP (AES)
Distribution des clés	Unique, manuel	Segment de clé principale par paire (PMK)	Dérivé de PMK	Dérivé de PMK
Vecteur d'initialisation	Texte, 24 bits	Texte, 24 bits	Vecteur avancé, 65 bits	Numéro de paquet de 48 bits (PN)
Algorithme	RC4	RC4	RC4	AES
Longueur de clé, bits	64/128	64/128	128	jusqu'à 256
Infrastructure requise	Non	RAYON	RAYON	RAYON

Si tout est clair avec WPA2 Personal (WPA2 PSK), solution d'entreprise nécessite une réflexion supplémentaire.

WPA2 Entreprise

Nous avons ici affaire à ensemble supplémentaire divers protocoles. Du côté client, il y a un composant spécial logiciel Le demandeur (généralement une partie du système d'exploitation) interagit avec la partie autorisant, le serveur AAA. DANS dans cet exemple affiche le fonctionnement d'un réseau radio unifié construit sur des points d'accès légers et un contrôleur. Dans le cas de l'utilisation de points d'accès dotés de « cerveaux », tout le rôle d'intermédiaire entre clients et serveur peut être assumé par le point lui-même. Dans ce cas, les données du client demandeur sont transmises via la radio formée dans le protocole 802.1x (EAPOL) et du côté du contrôleur, elles sont enveloppées dans des paquets RADIUS.

L'utilisation du mécanisme d'autorisation EAP dans votre réseau conduit au fait qu'après une authentification réussie (presque certainement ouverte) du client par le point d'accès (avec le contrôleur, le cas échéant), ce dernier demande au client d'autoriser (confirmer son autorité) avec l'infrastructure serveur RADIUS :

Usage WPA2 Entreprise nécessite un serveur RADIUS sur votre réseau. À l’heure actuelle, les produits les plus efficaces sont les suivants :

• Microsoft Network Policy Server (NPS), ancien IAS- configuré via MMC, gratuit, mais vous devez acheter Windows
• Accès sécurisé Cisco Serveur de contrôle(ACS) 4.2, 5.3- configuré via une interface Web, aux fonctionnalités sophistiquées, vous permet de créer des systèmes distribués et tolérants aux pannes, coûteux
• GratuitRADIUS- gratuit, configuré à l'aide de configurations de texte, peu pratique à gérer et à surveiller

Dans ce cas, le responsable du traitement surveille attentivement l'échange d'informations en cours et attend l'autorisation ou le refus de celui-ci. En cas de succès, le serveur RADIUS est capable de transmettre au point d'accès options supplémentaires(par exemple, dans quel VLAN placer l'abonné, quelle adresse IP attribuer, profil QoS, etc.). A la fin de l'échange, le serveur RADIUS permet au client et au point d'accès de générer et d'échanger des clés de chiffrement (individuelles, valables uniquement pour cette session) :

PAE

Moi-même Protocole PAE est basé sur un conteneur, c'est-à-dire que le mécanisme d'autorisation réel vous est laissé protocoles internes. Sur moment présent Les éléments suivants ont reçu une distribution significative :

• PAE-RAPIDE(Authentification flexible via Secure Tunneling) - développé par Cisco ; permet l'autorisation à l'aide d'un login et d'un mot de passe transmis dans le tunnel TLS entre le demandeur et le serveur RADIUS
• EAP-TLS(Sécurité de la couche de transport). Utilise les infrastructures clés publiques(PKI) pour autoriser le client et le serveur (candidat et serveur RADIUS) via des certificats émis par une autorité de certification (CA) de confiance. Nécessite l'émission et l'installation de certificats clients pour chacun appareil sans fil, ne convient donc qu'aux environnements d'entreprise gérés. Le serveur de certificats Windows dispose de fonctionnalités permettant au client de générer son propre certificat s'il est membre d'un domaine. Le blocage d'un client peut facilement se faire en révoquant son certificat (ou via des comptes).
• EAP-TTLS(Tunneled Transport Layer Security) est similaire à EAP-TLS, mais ne nécessite pas de certificat client lors de la création d'un tunnel. Dans un tel tunnel, similaire à une connexion SSL de navigateur, une autorisation supplémentaire est effectuée (à l'aide d'un mot de passe ou autre).
• PEAP-MSCHAPv2(EAP protégé) - similaire à EAP-TTLS en termes d'établissement initial d'un tunnel TLS crypté entre le client et le serveur, nécessitant un certificat de serveur. Par la suite, un tel tunnel est autorisé grâce au protocole bien connu MSCHAPv2.
• PEAP-GTC(Generic Token Card) - similaire à la précédente, mais nécessite des cartes mots de passe à usage unique(et infrastructures associées)

Toutes ces méthodes (sauf EAP-FAST) nécessitent un certificat de serveur (sur le serveur RADIUS) délivré par une autorité de certification (CA). Dans ce cas, le certificat CA lui-même doit être présent sur l'appareil du client dans le groupe de confiance (ce qui est facile à mettre en œuvre en utilisant politique de groupe sous Windows). De plus, EAP-TLS nécessite des certificat client. L'authentification du client s'effectue comme suit : signature numérique, donc (facultatif) en comparant le certificat fourni par le client au serveur RADIUS avec ce que le serveur a récupéré de l'infrastructure PKI (Active Directory).

La prise en charge de l’une des méthodes EAP doit être fournie par un demandeur côté client. La norme intégrée Windows XP/Vista/7, iOS et Android fournit au moins EAP-TLS et EAP-MSCHAPv2, ce qui rend ces méthodes populaires. Les adaptateurs client Intel pour Windows sont livrés avec un utilitaire ProSet qui étend liste disponible. Le client Cisco AnyConnect fait de même.

Quelle est sa fiabilité ?

Après tout, que faut-il pour qu’un attaquant pirate votre réseau ?

Pour l'authentification ouverte, pas de cryptage - rien. Connecté au réseau, et c'est tout. Le milieu radio étant ouvert, le signal circule dans différents côtés, le bloquer n’est pas facile. Si vous disposez d'adaptateurs clients appropriés qui vous permettent d'écouter la diffusion, trafic réseau visible comme si l'attaquant s'était connecté au fil, au hub, au port SPAN du switch.
Le cryptage basé sur WEP ne nécessite que du temps de force brute IV et l'un des nombreux utilitaires d'analyse disponibles gratuitement.
Pour le cryptage basé sur TKIP ou AES, un décryptage direct est théoriquement possible, mais en pratique il n'y a eu aucun cas de piratage.

Bien sûr, vous pouvez essayer de deviner la clé PSK ou le mot de passe pour l'une des méthodes EAP. Les attaques courantes contre ces méthodes ne sont pas connues. Vous pouvez essayer d'utiliser des méthodes ingénierie sociale, ou

Dans cet article, nous examinerons le décryptage du trafic WPA2-PSK depuis utiliser WireShark. Cela sera utile lors de l’étude des différents protocoles de cryptage utilisés dans les réseaux sans fil. Ci-dessous la topologie du réseau étudié.

Avant de commencer à capturer des paquets, nous devons connaître le canal sur lequel fonctionne notre point d'accès. Puisque mon point d'accès est un WLC 4400, je peux obtenir ces informations à partir du panneau de contrôle. Sinon, vous pouvez utiliser l'application InSSIDer et voir quel canal utilise votre point d'accès et son SSID. J'utilise 5 GHz et je donne donc le résumé 802.11a ci-dessous (si vous souhaitez analyser 2,4 GHz, vous devez utiliser les commandes du protocole 802.11b)

Nom du point d'accès Sous-bande Statut RadioMAC Canal PwLvl SlotId -- -- -- -- -- -- -- -- -- -- -- -- -- - -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- - -- -- -- -- -- -- TOUR1 - 64 : a0 : e7 : af : 47 : 40 ACTIVÉ 36 1 1

Il ne nous reste plus qu'à capturer les paquets dans notre réseau sans fil sur le canal CH 36 puisque mon point d'accès fonctionne dessus. J'utilise BackTrack avec un adaptateur USB pour capturer des paquets, vous verrez les détails dans la vidéo ci-dessous.

C'est assez simple, il vous suffit de modifier quelques lignes de code dans Configuration USB adaptateur et activer l’interface du moniteur pour Wireshark.

< strong >racine@bt< / strong >: ~ #ifconfig < strong >racine@bt< / strong >: ~ # ifconfig wlan2 en place < strong >racine@bt< / strong >: ~ #ifconfig eth0 Encapsulation de lien : Ethernet HWaddr 00 : 21 : 9b : 62 : d0 : 4a MTU DE DIFFUSION MULTIDIFFUSION UP : 1 500 Métrique : 1 Paquets RX : 0 erreurs : 0 abandonnés : 0 dépassements : 0 trame : 0 Paquets TX : 0 erreurs : 0 abandonnés : 0 dépassements : 0 porteuse : 0 collisions : 0 txqueuelen : 1000 Octets RX : 0 (0,0 B) Octets TX : 0 (0,0 B) Interruption : 21 Mémoire : fe9e0000 - fea00000 lo Encapsulation du lien : bouclage local adresse inet : 127.0.0.1 masque : 255.0.0.0 inet6 addr : : 1 / 128 Portée : Hôte MTU D'EXÉCUTION DE BOUCLE HAUT : 16436 Métrique : 1 Paquets RX : 66 erreurs : 0 abandonnés : 0 dépassements : 0 trame : 0 Paquets TX : 66 erreurs : 0 abandonnés : 0 dépassements : 0 porteur : 0 collisions : 0 txqueuelen : 0 Octets RX : 4665 (4,6 Ko) Octets TX : 4665 (4,6 Ko) Encapsulation de lien wlan2 : Ethernet HWaddr 00 : 20 : a6 : ca : 6b : b4 MTU DE DIFFUSION MULTIDIFFUSION UP : 1 500 Métrique : 1 Paquets RX : 0 erreurs : 0 abandonnés : 0 dépassements : 0 trame : 0 Paquets TX : 0 erreurs : 0 abandonnés : 0 dépassements : 0 porteuse : 0 collisions : 0 txqueuelen : 1000 Octets RX : 0 (0,0 B) Octets TX : 0 (0,0 B) < strong >racine@bt< / strong >: ~ # iwconfig wlan2 canal 36 root@bt:~#iwconfig wlan2 IEEE 802.11abgn ESSID : désactivé / quelconque Mode : Géré Fréquence : 5,18 GHz Point d'accès : Non - Associé Émission - Puissance = 20 dBm Réessayer limite longue : 7 RTS thr : désactivé Fragment thr : désactivé Clé de cryptage : désactivée Gestion de l'alimentation : désactivée pas d'extensions sans fil. eth0 pas d'extensions sans fil. < strong >racine@bt< / strong >: ~ # airmon-ng démarrer wlan2 1 processus trouvés qui pourraient causer des problèmes. Si l'airodump-ng, l'aireplay-ng ou l'airtun-ng cesse de fonctionner après pendant une courte période, vous voudrez peut-être en tuer (certains) ! Nom du PID 1158 dhclient3 Pilote de chipset d'interface wlan2 Atheros AR9170 carl9170 - [phy2] (mode moniteur activé sur mon0)

Après avoir terminé les opérations ci-dessus, vous pouvez ouvrir l'application Wireshark et sélectionner l'interface « mon0 » pour capturer les paquets.

Vous trouverez ici une archive des packages collectés par mon adaptateur ( Vous pouvez ouvrir le fichier avec wireshark et vérifiez-le vous-même. Si vous analysez ce fichier, vous pouvez voir des messages « 4-way handshake (EAPOL-Messages 1 à 4) » envoyés une fois la phase d'authentification ouverte terminée (demande d'authentification, réponse d'authentification, demande d'association, réponse d'association). Une fois la négociation à 4 voies terminée, le client et le point d'accès commencent à utiliser la transmission de paquets cryptés. Désormais, toutes les informations transmises sur votre réseau sans fil sont cryptées grâce aux algorithmes CCMP/AES.

Comme vous pouvez le voir dans la figure ci-dessous, toutes les trames de données sont cryptées et vous ne pouvez pas voir le trafic en texte clair. J'ai pris l'image numéro 103 comme exemple.

Avant de passer au décryptage de ces trames, il est très important de comprendre que vous avez correctement capturé les « messages de négociation à 4 voies » dans votre renifleur que nous décrypterons à l'aide de Wireshark. Si vous n'avez pas réussi à capturer le message M1-M4, Wireshark ne pourra pas obtenir toutes les clés pour décrypter nos données. Ci-dessous, je donne un exemple dans lequel les images n'ont pas été capturées correctement lors du processus de « prise de contact à 4 voies » (cela s'est produit lorsque j'ai utilisé le même adaptateur USB avec Fluke WiFi Analyzer)

Ensuite, allez dans « Édition -> Préférences -> Protocole -> IEEE 802.11 », ici vous devez sélectionner « Activer le décryptage ». Cliquez ensuite sur la section « Clés de décryptage » et ajoutez votre PSK en cliquant sur « Nouveau ». Vous devez sélectionner le type de clé « wpa-pwd », puis ajouter votre PSK sous forme de texte.

SSIDLongueur, 4096, 256)

Il s'agit du PSK 256 bits présenté ci-dessus :

J'ai utilisé simple mot de passe texte que vous voyez ci-dessous. Vous pouvez également utiliser un simple mot de passe (sans votre nom SSID). Dans le cas de Wireshark, il essaie toujours d'utiliser le dernier SSID, c'est toujours bonne pratique- utiliser

Dans ma configuration, j'ai utilisé le PSK « Cisco123Cisco123 » dans ma spécification SSID comme « TEST1 ». Dans ce document vous trouverez plus de détails concernant ces paramètres.

Après cela, cliquez sur « Appliquer »

Comme vous pouvez le voir ci-dessous, vous pouvez désormais voir le trafic à l'intérieur des trames de données. Voici la même image (103) que vous avez vue plus tôt dans un format crypté, mais Wireshark est désormais capable de la déchiffrer.

Maintenant, si nous regardons plus loin, nous pouvons voir un client qui reçoit une adresse IP via DHCP (DORA – Discover, Offer, Request, ACK), puis enregistre CME (SKINNYprotocol), puis installe appel vocal(RTP). Nous pouvons maintenant analyser ces paquets en détail

Cette astuce peut vous être utile lorsque vous analysez la sécurité de vos réseaux PSK.

[Total des votes : 16 Moyenne : 2,9/5]

Dernière mise à jour par au 9 octobre 2016.

Avec la prolifération des réseaux sans fil, les protocoles Cryptage WPA et WPA2 sont devenus connus de presque tous les propriétaires d'appareils connectés au Wi-Fi. Ils sont indiqués dans les propriétés de connexion, et à l'attention de la plupart des utilisateurs qui ne le sont pas. administrateurs système, attirez un minimum. Il suffit de savoir que WPA2 est une évolution de WPA, et donc WPA2 est plus récent et plus adapté aux réseaux modernes.

WPA est un protocole de cryptage conçu pour protéger les réseaux sans fil de la norme IEEE 802.11, développé par la Wi-Fi Alliance en 2003 en remplacement du protocole WEP obsolète et non sécurisé.
WPA2- un protocole de cryptage qui est une évolution améliorée du WPA, introduit en 2004 par la Wi-Fi Alliance.

Différence entre WPA et WPA2

Trouver la différence entre WPA et WPA2 n'est pas pertinent pour la plupart des utilisateurs, puisque toute protection de réseau sans fil se résume à choisir un mot de passe d'accès plus ou moins complexe. Aujourd'hui, la situation est telle que tous les appareils fonctionnant sur les réseaux Wi-Fi doivent prendre en charge WPA2, de sorte que le choix du WPA ne peut être déterminé que par des situations non standard. Par exemple, les systèmes d'exploitation antérieurs à Windows XP SP3 ne prennent pas en charge WPA2 sans appliquer de correctifs, de sorte que les machines et les périphériques gérés par de tels systèmes nécessitent l'attention d'un administrateur réseau. Même certains smartphones modernes peut ne pas prendre en charge nouveau protocole cryptage, cela s'applique principalement aux gadgets asiatiques hors marque. D'un autre côté, certains Versions Windows plus anciens que XP ne prennent pas en charge le travail avec WPA2 au niveau GPO, donc dans ce cas, ils nécessitent plus réglage fin connexions réseau.
La différence technique entre WPA et WPA2 réside dans la technologie de cryptage, en particulier dans les protocoles utilisés. Utilisations du WPA Protocole TKIP, en WPA2 - le protocole AES. En pratique, cela signifie que le WPA2, plus moderne, offre plus haut degré protection du réseau. Par exemple, le protocole TKIP vous permet de créer une clé d'authentification d'une taille maximale de 128 bits, AES - jusqu'à 256 bits.

TheDifference.ru a déterminé que la différence entre WPA2 et WPA est la suivante :

WPA2 est une amélioration par rapport à WPA.
WPA2 utilise le protocole AES, WPA utilise le protocole TKIP.
WPA2 est pris en charge par tous les appareils sans fil modernes.
WPA2 peut ne pas être pris en charge par les anciens systèmes d'exploitation.
WPA2 est plus sécurisé que WPA.

Il existe de nombreux risques dangereux associés aux protocoles sans fil et aux méthodes de cryptage. Ainsi, une structure robuste de divers protocoles est utilisée pour les minimiser sécurité sans fil. Ces protocoles de sécurité sans fil assurer la prévention des accès non autorisés aux ordinateurs en cryptant les données transmises sur un réseau sans fil.

Différence entre les protocoles Wi-Fi WPA2, WPA et WEP

La plupart des points accès sans fil avez la possibilité d'activer l'une des trois normes de cryptage sans fil :

1. WEP (confidentialité équivalente filaire)
2. WPA2

Confidentialité WEP ou équivalente filaire

Le premier réseau de sécurité sans fil était le protocole WEP ou Wired Equivalent Privacy. Cela a commencé avec un cryptage 64 bits (faible) et est finalement allé jusqu'au cryptage 256 bits (fort). L'implémentation la plus populaire dans les routeurs reste le cryptage 128 bits (intermédiaire). Cela a été considéré comme solution possible jusqu'à ce que les chercheurs en sécurité y découvrent plusieurs vulnérabilités, permettant aux pirates de déchiffrer la clé WEP en quelques minutes. Il a utilisé CRC ou Contrôle de redondance cyclique.

Accès protégé WPA ou Wi-Fi

Pour surmonter les lacunes du WEP, WPA a été développé comme nouvelle norme sécurité pour protocoles sans fil. Pour garantir l'intégrité du message, il a utilisé protocole d'intégritéTKIP ou Intégrité des clés temporelles. C'était différent du WEP à certains égards, qui utilisait le CRC ou Cyclic Redundancy Check. On pensait que le TKIP était beaucoup plus puissant que le CRC. Son utilisation garantissait que chaque paquet de données était transmis à l'aide d'une clé de cryptage unique. La combinaison de touches augmentait la difficulté de décodage des clés et réduisait ainsi le nombre d'intrusions extérieures. Cependant, comme le WEP, le WPA présentait également un inconvénient. Ainsi, WPA a été étendu dans WPA 2.

WPA2

WPA 2 est actuellement reconnu comme le plus protocole sécurisé. L'un des changements les plus importants visibles entre WPA et WPA2 est utilisation obligatoire algorithmes AES (Avancé Norme de cryptage ) et introduction CCMP (mode de chiffrement de compteur avec protocole de code d'authentification Blockchain) en remplacement de TKIP. Le mode CCM combine le mode de confidentialité (CTR) et l'authentification par code de chaîne (CBC-MAC) pour l'authentification. Ces modes ont été largement étudiés et semblent avoir des propriétés cryptographiques bien comprises qui fournissent bonne sécurité et les performances du logiciel ou matérielà ce jour.