Que vous ayez un réseau privé ou que vous utilisiez celui d’une en­tre­prise, la sécurité devrait toujours être la priorité. Les réseaux tra­di­tion­nels câblés sont in­trin­sè­que­ment plus sûrs que les réseaux sans fil, et mieux protégés des attaques ex­té­rieures. Sans accès physique aux câbles, qui sont en général situés à l’intérieur d’un bâtiment, des étrangers ne peuvent ni accéder aux données ni les lire.

Pour ceux qui sou­hai­tent néanmoins avoir recours à la praticité d’un réseau sans fil, il faut faire face à d’im­por­tants problèmes de sécurité. En effet, les in­for­ma­tions ne sont pas trans­mises au moyen d’un câble, mais l’espace public, et la portée est au lieu d’être dé­ter­mi­née par la longueur du câble, dépend de la force des signaux radio. Lorsqu’un appareil est connecté à un réseau sans fil, ou wifi, un hacker a seulement besoin d’un récepteur qui se trouve dans le cercle des signaux radios émis. Il est donc important d’assurer une sécurité wifi maximale afin de pouvoir utiliser les réseaux de com­mu­ni­ca­tion sans fil sans aucune res­tric­tion.

Qu’est-ce que le wifi au juste ?

Le wifi est un ensemble de pro­to­coles de com­mu­ni­ca­tion sans fil qui permet de relier entre eux plusieurs appareils in­for­ma­tiques grâce à des ondes radio, c’est-à-dire sans fil. Ce type de connexion est prin­ci­pa­le­ment utilisé lorsqu’il est trop compliqué, trop cher ou im­pos­sible de connecter les appareils d’un réseau avec des câbles. Mais il est également possible de mettre en place un réseau sans fil uni­que­ment pour des raisons pratiques. Les con­nexions sans fil sont largement répandues notamment chez les par­ti­cu­liers, car elles cons­ti­tuent un excellent moyen d’accéder à Internet dans tout le logement sans avoir à connecter des fils partout. Les réseaux wifi sont également utiles dans les bureaux, en par­ti­cu­lier lorsque l’on y utilise de nombreux appareils portables, comme des or­di­na­teurs ou des tablettes.

Il existe 3 modes de fonc­tion­ne­ment dif­fé­rents pour les réseaux sans fil :

  • Le mode in­fras­truc­ture : la structure de ce mode est similaire à celle du réseau mobile. Un point d’accès sans fil prend en charge la coor­di­na­tion de tous les uti­li­sa­teurs du réseau et leur envoie, à des in­ter­valles définies, des petits paquets de données com­pre­nant des in­for­ma­tions sur le nom du réseau, les échéances de trans­mis­sion et le type de connexion. C’est souvent un routeur qui joue le rôle de point d’accès.
  • Le système de dis­tri­bu­tion sans fil : dans la mesure ou le wifi utilise le même type d’adressage que l’Ethernet, il est facile de se connecter au réseau câblé (ou tout autre réseau radio). On relie les réseaux de cette manière par exemple pour accroitre la portée, c’est pourquoi l’on parle de réseau de dis­tri­bu­tion sans fil, c’est à dire de pro­pa­ga­tion sans fil.
  • Le mode ad-hoc : dans le mode ad-hoc, il n’existe pas d’unité de contrôle standard, donc la coor­di­na­tion est prise en charge par les terminaux res­pec­tifs. Ces réseaux sont utilisés pour des com­mu­ni­ca­tions rapides et directes entre des par­ti­ci­pants in­di­vi­duels. Toutefois, ce mode de wifi n’est pas très répandu, les uti­li­sa­teurs lui préférant souvent des al­ter­na­tives comme Bluetooth.

Les points faibles des réseaux wifi

Le cadre des données pour la com­mu­ni­ca­tion avec des réseaux sans fil a été défini par la norme IEEE 802.11 de l‘Institute of Elec­tri­cal and Elec­tro­nics Engineers (IEEE). Au début toutefois, la sécurité n’était pas forcément une préoc­cu­pa­tion majeure pour le wifi. Les trans­mis­sions non chiffrées et l’absence d’iden­ti­fi­ca­tion des uti­li­sa­teurs ga­ran­tis­saient à n’importe qui dans le rayon de portée cor­res­pon­dant l’accès à tout le réseau. Le besoin de sécuriser les réseaux wifi se fit alors sentir et permit de dé­ve­lop­per des mesures de sécurité pour le wifi, à savoir les tech­niques de chif­fre­ment et d’iden­ti­fi­ca­tion suivantes :

  • Wired Equi­va­lent Privacy (WEP) : le WEP est le plus ancien protocole de chif­fre­ment, mis au point en 1997. Il propose deux systèmes d’iden­ti­fi­ca­tion : le système ouvert, dans lequel tous les clients ont accès au réseau, et l’au­then­ti­fi­ca­tion par clé partagée, com­pre­nant un mot de passe partagé. Le WEP comprend par ailleurs une méthode de chif­fre­ment RC4. S’il a été pionnier en son temps, le WEP présente de nom­breuses fai­blesses, et il est aujourd’hui considéré comme perméable et obsolète.
  • L’accès réseau protégé (WPA, de l’anglais Wi-Fi Protected Access) : le WPA est construit sur l’ar­chi­tec­ture WEP, et conçu pour en supprimer les fai­blesses. Pour ce faire, le WPA fonc­tionne avec une clé dynamique, basée sur le Temporal Key Integrity Protocol (TKIP). Dans la mesure où le WPA présente également des dé­fail­lances de sécurité, les nouveaux points d’accès sans fil (depuis 2011) et les appareils conçus pour le wifi (depuis 2012) ne sont of­fi­ciel­le­ment plus com­pa­tibles avec ce protocole.
  • L’accès réseau protégé (WPA 2) : avec les normes IEEE 802.11i en 2004 apparut également le mode de chif­fre­ment et d’au­then­ti­fi­ca­tion plus sécurisé : WPA 2. Au lieu de TKIP, WPA 2 utilise la méthode de chif­fre­ment AES qui est bien plus moderne. Si vous installez un réseau wifi, il est donc conseillé de préférer WPA2 aux anciens standards WEP et WPA.
  • Wi-Fi Protected Setup (WPS) : le WPS ne cor­res­pond pas à une tech­no­lo­gie de trans­mis­sion ou de chif­fre­ment, mais à une con­fi­gu­ra­tion au­to­ma­tique conçue pour faciliter la con­fi­gu­ra­tion wifi aux nouveaux uti­li­sa­teurs du réseau. L’au­then­ti­fi­ca­tion se fait grâce à un bouton (WPS-PBC), physique sur le point d‘accès, ou virtuel via un logiciel ou un PIN (WPS PIN). Il est également possible de changer les pa­ra­mètres du réseau grâce à une clé USB ou un NFS (tech­no­lo­gie de circuit court).

Bien que WPA2 constitue un dé­ve­lop­pe­ment plus sûr que WEP et WPA, certains opé­ra­teurs con­ti­nuent d’utiliser ces normes désuètes car elles sont com­pa­tibles avec leurs points d’accès sans fil, qui permet de sécuriser le wifi. Que ce soit in­vo­lon­taire ou pour des raisons de com­pa­ti­bi­lité (pour autoriser l’accès aux appareils anciens) importe fi­na­le­ment peu. Il est clair que ces réseaux sont exposés à un risque important d’accès non désiré, ce qui est l’une des prin­ci­pales raisons de la mauvaise ré­pu­ta­tion de la sécurité du wifi. Il existe d’autres erreurs, qui sont des in­vi­ta­tions aux pirates, et sont pourtant ré­gu­liè­re­ment commises par les opé­ra­teurs de réseau sans fil :

  • Noms d’uti­li­sa­teurs et mots de passe par défaut pour l’accès aux réseaux wifi
  • Con­fi­gu­ra­tion de base non sécurisée du point d’accès wifi
  • Erreurs dans l’im­plé­men­ta­tion des WPA2 et des WPS

De plus, les réseaux sans fil sont vul­né­rables aux attaques DoS et DDoS, ainsi qu’aux attaques dites evil twin. Ces dernières con­sis­tent à imiter le point d’accès wifi ouvert d’une en­tre­prise ou d’une ins­ti­tu­tion (une gare, un aéroport, etc.), en créant un réseau pirate qui porte le même nom. Le réseau evil twin répond de lui-même aux requêtes d’au­then­ti­fi­ca­tion et reçoit les données d’accès pour le wifi de la part des appareils du réseau qui ne se doutent de rien. Il reçoit aussi l’adresse MAC du client (MAC spoofing) et obtient ainsi toutes les données in­dis­pen­sables pour se connecter. Les accès wifi ouverts sont par­ti­cu­liè­re­ment vul­né­rables à ce type d’attaque.

Sécuriser un réseau wifi : une question de con­sé­quences

La liste des attaques qu’encourent po­ten­tiel­le­ment les réseaux sans fil montre à quel point il est important de se préoc­cu­per de la sécurité wifi. En effet, nombreux sont ceux qui sont encore con­vain­cus qu’un mot de passe sécurisé et un pare-feu sont suf­fi­sants pour assurer une pro­tec­tion maximale. Pour assurer la pro­tec­tion complète d’un réseau sans fil, il est né­ces­saire de faire plus que d’allumer un routeur, une ins­tal­la­tion de cinq minutes et trouver un mot de passe difficile à deviner mais pas trop compliqué à entrer. Plus l’on est prudent en ce qui concerne la con­fi­gu­ra­tion et l’ins­tal­la­tion, plus le réseau sera sécurisé.

La base de la sécurité wifi : une bonne con­fi­gu­ra­tion des points d’accès réseau

Le point d’accès réseau, en général un routeur, en tant que point de contrôle central du réseau, est aussi un élément décisif en ce qui concerne sa sécurité. En effet, ce sont les réglages des com­po­sants hardware qui dé­ter­mi­nent si un attaquant peut pénétrer votre réseau wifi en quelques secondes, ou bien s’il sera bloqué grâce à une pro­tec­tion suf­fi­sante. Voici les étapes de con­fi­gu­ra­tion les plus im­por­tantes.

Étape 1: installer des accès ad­mi­nis­tra­teurs in­di­vi­duels

Pour con­fi­gu­rer un point d’accès, il faut qu’il soit ad­mi­nis­tré par un logiciel d’ex­ploi­ta­tion, qui se présente dans l’interface uti­li­sa­teur de votre na­vi­ga­teur habituel, dès que vous avez accédez à l’adresse IP du point d’accès. L’accès à cette interface se fait grâce à un compte uti­li­sa­teur pourvu d’un nom d’uti­li­sa­teur standard et d’un mot de passe. Ces données de connexion ne sont pas in­di­vi­duelles, mais iden­tiques selon les modèles d’appareils, ce sont en général des iden­ti­fiants très simples, tels que « admin » (mot de passe ou nom d’uti­li­sa­teur) ou « 1234 ». Au début de la con­fi­gu­ra­tion, il faut donc indiquer vos propres données de connexion pour le compte ad­mi­nis­tra­teur.

Étape 2 : choisir WPA2 comme méthode de chif­fre­ment

Pour sécuriser le wifi, il est impératif de choisir le WPA, ses pré­dé­ces­seurs WPA et WEP ayant montré des risques accrus en termes de sécurité. De même, la com­bi­nai­son mixte « WPA/WPA2 » n’est pas non plus con­seil­lée. Il est judicieux de prévoir à la place des appareils com­pa­tibles avec WPA2, et de ne pas compter sur les anciennes méthodes de chif­fre­ment. Si vous utilisez un logiciel de con­fi­gu­ra­tion WPS, il suffit de le mettre en marche uni­que­ment lorsque c’est né­ces­saire.

Étape 3 : définir un mot de passe wifi sécurisé

Jusqu’à présent, WPA2 a seulement connu des attaques de mot de passe, notamment des attaques par force brute et des attaques par dic­tion­naire, qui sont très po­pu­laires auprès des cy­ber­cri­mi­nels. Il est donc essentiel de placer la barre très haut en ce qui concerne la sécurité du mot de passe. Il est conseillé d’avoir recours à des al­go­rithmes de chif­fre­ment et des listes de mots lors de l’ins­tal­la­tion du wifi : cela peut par exemple consister en un maximum de ca­rac­tères possible, utilisant à la fois des lettres ma­jus­cules et mi­nus­cules, des chiffres et des ca­rac­tères spéciaux. Il est également re­com­mandé d’éviter les mots com­pré­hen­sibles, et de choisir plutôt des lettres au hasard. Vous pouvez également conserver le mot de passe du wifi sur papier dans un endroit sûr, tandis que le conserver sur support numérique n’est pas re­com­mandé.

Étape 4 : choisir un nom de réseau non iden­ti­fiable

Une des mesures de sécurité pour le wifi consiste à formuler un SSDI (de l’anglais Service Set Iden­ti­fiers) non iden­ti­fiable. Le SSDI est le nom de votre réseau, et chaque personne qui consulte la liste des réseaux dis­po­nibles peut le voir. Par con­sé­quent, si vous n’êtes pas un hotspot ouvert, il est re­com­mandé de ne com­mu­ni­quer aucune in­for­ma­tion per­son­nelle sus­cep­tible d’être rattachée à vous, votre en­tre­prise ou votre em­pla­ce­ment. Pour beaucoup, cacher le nom du réseau wifi (hidden SSID) constitue un progrès en termes de sécurité. Cette technique ne re­pré­sente toutefois pas un barrage contre les cy­ber­cri­mi­nels, et entraine une connexion plus difficile pour les clients autorisés. En cachant le SSDI de son wifi, il est aussi possible que certains appareils ne détectent plus le réseau.

Étape 5 : activer les mises à jour au­to­ma­tiques du logiciel d’ex­ploi­ta­tion

Pour la sécurité du wifi en général, il est in­dis­pen­sable que le logiciel d’ex­ploi­ta­tion du point d’accès soit en per­ma­nence à jour. Comme pour n’importe quel programme, les cy­ber­cri­mi­nels peuvent en effet exploiter des failles de sécurité dé­cou­vertes ici, et par exemple s’ap­pro­prier les droits ad­mi­nis­tra­teurs ou in­tro­duire des logiciels mal­veil­lants. Certains points d’accès disposent d’une fonction de mise à jour au­to­ma­tique du logiciel d’ex­ploi­ta­tion, qu’il suffit d’activer de façon sécurisée. Dans le cas contraire, il est conseillé de vérifier ré­gu­liè­re­ment si des mises à jour sont dis­po­nibles pour votre appareil, puis de les té­lé­char­ger et de les installer ma­nuel­le­ment.

Optimiser l’au­then­ti­fi­ca­tion avec IEEE 802.1X

IEEE 802.1X est un standard de sécurité basé sur les ports, qui garantit l’accès aux clients autorisés uni­que­ment s’ils ont été vérifiés et approuvés par un serveur d’au­then­ti­fi­ca­tion (RADIUS). Ceci permet d’accéder à une liste pré­dé­fi­nie, qui indique si le client en question est autorisé ou non à se connecter au point d’accès sans fil. La méthode d’iden­ti­fi­ca­tion repose sur l’ex­ten­sible au­then­ti­fi­ca­tion protocol (EAP), également com­pa­tible avec WPA 2. Cette variante est également appelée WPA2 En­ter­prise, WPA2-1X ou WPA2/802.1X.

D’autres conseils utiles con­cer­nant les mesures de sécurité wifi

Si vous avez configuré votre point d‘accès en tenant compte des re­com­man­da­tions ci-dessus, votre réseau wifi présente déjà un niveau correct de pro­tec­tion. En fonction de l’uti­li­sa­tion prévue, il peut toutefois y avoir d’autres tâches à accomplir. Puisque la majorité des wifi sont connectés à un réseau, pour l’essentiel grâce à Internet, il est in­dis­pen­sable d’installer un pare-feu in­di­vi­duel sur votre point d’accès, afin de filtrer les con­nexions in­dé­si­rables. Par ailleurs, il est également pertinent d’iden­ti­fier et de combattre les accès in­dé­si­rables à la source, grâce à des systèmes de détection d’intrusion.

Si vous souhaitez que vos clients aient accès au wifi, il est re­com­mandé de toujours tra­vail­ler avec un SSDI séparé, que vous pouvez créer et con­fi­gu­rer en plus de votre wifi pro­fes­sion­nel. Dans tous les cas, en tant qu’opérateur wifi, vous êtes res­pon­sable de l’usage qui est fait de la connexion, ce qui signifie que toute atteinte au droit d’auteur (té­lé­char­ge­ment illégal, etc.) peut vous être di­rec­te­ment reprochée. Pour plus de sécurité, il est conseillé de sur­veil­ler ré­gu­liè­re­ment l’uti­li­sa­tion de la bande passante, et de bloquer les sites douteux ainsi que les pa­ra­mètres du routeur.

Si vous utilisez le wifi dans un cadre pro­fes­sion­nel, des tests de sécurité utilisant des outils spé­ci­fiques peuvent s’avérer utiles. De cette façon, on peut simuler des cy­be­rat­taques, et dé­ter­mi­ner si les mesures de sécurité wifi que l’on a prises sont efficaces. Là encore, le même principe que pour la sécurité wifi constitue la base : plus l’on est minutieux et précis, plus les résultats sont efficaces. Il est donc important de faire l’effort et d’optimiser son point d’accès sans fil. En résumé, voici les mesures es­sen­tielles à appliquer pour que votre réseau wifi devienne difficile à attaquer par les cy­ber­cri­mi­nels :

  • Installer des com­po­sants de sécurité ad­di­tion­nels tels qu’IEEE 802.1X, un pare-feu ou un système de détection d’intrusion
  • Maintenir le réseau pro­fes­sion­nel et le réseau invités séparés
  • Vérifier ré­gu­liè­re­ment si les com­po­sants réseau sont per­for­mants et mis à jour
Aller au menu principal