Sécurité wifi : comment renforcer son réseau sans fil

Que vous ayez un réseau privé ou que vous utilisiez celui d’une entreprise, la sécurité devrait toujours être la priorité. Les réseaux traditionnels câblés sont intrinsèquement plus sûrs que les réseaux sans fil, et mieux protégés des attaques extérieures. Sans accès physique aux câbles, qui sont en général situés à l’intérieur d’un bâtiment, des étrangers ne peuvent ni accéder aux données ni les lire.

Pour ceux qui souhaitent néanmoins avoir recours à la praticité d’un réseau sans fil, il faut faire face à d’importants problèmes de sécurité. En effet, les informations ne sont pas transmises au moyen d’un câble, mais l’espace public, et la portée est au lieu d’être déterminée par la longueur du câble, dépend de la force des signaux radio. Lorsqu’un appareil est connecté à un réseau sans fil, ou wifi, un hacker a seulement besoin d’un récepteur qui se trouve dans le cercle des signaux radios émis. Il est donc important d’assurer une sécurité wifi maximale afin de pouvoir utiliser les réseaux de communication sans fil sans aucune restriction.

Le wifi est un ensemble de protocoles de communication sans fil qui permet de relier entre eux plusieurs appareils informatiques grâce à des ondes radio, c’est-à-dire sans fil. Ce type de connexion est principalement utilisé lorsqu’il est trop compliqué, trop cher ou impossible de connecter les appareils d’un réseau avec des câbles. Mais il est également possible de mettre en place un réseau sans fil uniquement pour des raisons pratiques. Les connexions sans fil sont largement répandues notamment chez les particuliers, car elles constituent un excellent moyen d’accéder à Internet dans tout le logement sans avoir à connecter des fils partout. Les réseaux wifi sont également utiles dans les bureaux, en particulier lorsque l’on y utilise de nombreux appareils portables, comme des ordinateurs ou des tablettes.

Il existe 3 modes de fonctionnement différents pour les réseaux sans fil :

• Le mode infrastructure : la structure de ce mode est similaire à celle du réseau mobile. Un point d’accès sans fil prend en charge la coordination de tous les utilisateurs du réseau et leur envoie, à des intervalles définies, des petits paquets de données comprenant des informations sur le nom du réseau, les échéances de transmission et le type de connexion. C’est souvent un routeur qui joue le rôle de point d’accès.

• Le système de distribution sans fil : dans la mesure ou le wifi utilise le même type d’adressage que l’Ethernet, il est facile de se connecter au réseau câblé (ou tout autre réseau radio). On relie les réseaux de cette manière par exemple pour accroitre la portée, c’est pourquoi l’on parle de réseau de distribution sans fil, c’est à dire de propagation sans fil.

• Le mode ad-hoc : dans le mode ad-hoc, il n’existe pas d’unité de contrôle standard, donc la coordination est prise en charge par les terminaux respectifs. Ces réseaux sont utilisés pour des communications rapides et directes entre des participants individuels. Toutefois, ce mode de wifi n’est pas très répandu, les utilisateurs lui préférant souvent des alternatives comme Bluetooth.

Le cadre des données pour la communication avec des réseaux sans fil a été défini par la norme IEEE 802.11 de l‘Institute of Electrical and Electronics Engineers (IEEE). Au début toutefois, la sécurité n’était pas forcément une préoccupation majeure pour le wifi. Les transmissions non cryptées et l’absence d’identification des utilisateurs garantissaient à n’importe qui dans le rayon de portée correspondant l’accès à tout le réseau. Le besoin de sécuriser les réseaux wifi se fit alors sentir et permit de développer des mesures de sécurité pour le wifi, à savoir les techniques de cryptage et d’identification suivantes :

• Wired Equivalent Privacy (WEP) : le WEP est le plus ancien standard de cryptage, mis au point en 1997. Il propose deux systèmes d’identification : le système ouvert, dans lequel tous les clients ont accès au réseau, et l’authentification par clé partagée, comprenant un mot de passe partagé. Le WEP comprend par ailleurs une méthode de cryptage RC4. S’il a été pionnier en son temps, le WEP présente de nombreuses faiblesses, et il est aujourd’hui considéré comme perméable et obsolète.

• L’accès réseau protégé (WPA, de l’anglais Wi-Fi Protected Access) : le WPA est construit sur l’architecture WEP, et conçu pour en supprimer les faiblesses. Pour ce faire, le WPA fonctionne avec une clé dynamique, basée sur le Temporal Key Integrity Protocol (TKIP). Dans la mesure où le WPA présente également des défaillances de sécurité, les nouveaux points d’accès sans fil (depuis 2011) et les appareils conçus pour le wifi (depuis 2012) ne sont officiellement plus compatibles avec ce protocole.

• L’accès réseau protégé (WPA 2) : avec les normes IEEE 802.11i en 2004 apparut également le mode de cryptage et d’authentification plus sécurisé : WPA 2. Au lieu de TKIP, WPA 2 utilise la méthode de cryptage AES qui est bien plus moderne. Si vous installez un réseau wifi, il est donc conseillé de préférer WPA2 aux anciens standards WEP et WPA.

• Wi-Fi Protected Setup (WPS) : le WPS ne correspond pas à une technologie de transmission ou de cryptage, mais à une configuration automatique conçue pour faciliter la configuration wifi aux nouveaux utilisateurs du réseau. L’authentification se fait grâce à un bouton (WPS-PBC), physique sur le point d‘accès, ou virtuel via un logiciel ou un PIN (WPS PIN). Il est également possible de changer les paramètres du réseau grâce à une clé USB ou un NFS (technologie de circuit court).

Bien que WPA2 constitue un développement plus sûr que WEP et WPA, certains opérateurs continuent d’utiliser ces normes désuètes car elles sont compatibles avec leurs points d’accès sans fil, qui permet de crypter le wifi. Que ce soit involontaire ou pour des raisons de compatibilité (pour autoriser l’accès aux appareils anciens) importe finalement peu. Il est clair que ces réseaux sont exposés à un risque important d’accès non désiré, ce qui est l’une des principales raisons de la mauvaise réputation de la sécurité du wifi. Il existe d’autres erreurs, qui sont des invitations aux pirates, et sont pourtant régulièrement commises par les opérateurs de réseau sans fil :

• Noms d’utilisateurs et mots de passe par défaut pour l’accès aux réseaux wifi

• Configuration de base non sécurisée du point d’accès wifi

• Erreurs dans l’implémentation des WPA2 et des WPS

De plus, les réseaux sans fil sont vulnérables aux attaques DoS et DDoS, ainsi qu’aux attaques dites evil twin. Ces dernières consistent à imiter le point d’accès wifi ouvert d’une entreprise ou d’une institution (une gare, un aéroport, etc.), en créant un réseau pirate qui porte le même nom. Le réseau evil twin répond de lui-même aux requêtes d’authentification et reçoit les données d’accès pour le wifi de la part des appareils du réseau qui ne se doutent de rien. Il reçoit aussi l’adresse MAC du client (MAC spoofing) et obtient ainsi toutes les données indispensables pour se connecter. Les accès wifi ouverts sont particulièrement vulnérables à ce type d’attaque.

La liste des attaques qu’encourent potentiellement les réseaux sans fil montre à quel point il est important de se préoccuper de la sécurité wifi. En effet, nombreux sont ceux qui sont encore convaincus qu’un mot de passe sécurisé et un pare-feu sont suffisants pour assurer une protection maximale. Pour assurer la protection complète d’un réseau sans fil, il est nécessaire de faire plus que d’allumer un routeur, une installation de cinq minutes et trouver un mot de passe difficile à deviner mais pas trop compliqué à entrer. Plus l’on est prudent en ce qui concerne la configuration et l’installation, plus le réseau sera sécurisé.

Le point d’accès réseau, en général un routeur, en tant que point de contrôle central du réseau, est aussi un élément décisif en ce qui concerne sa sécurité. En effet, ce sont les réglages des composants hardware qui déterminent si un attaquant peut pénétrer votre réseau wifi en quelques secondes, ou bien s’il sera bloqué grâce à une protection suffisante. Voici les étapes de configuration les plus importantes.

Étape 1: installer des accès administrateurs individuels

Pour configurer un point d’accès, il faut qu’il soit administré par un logiciel d’exploitation, qui se présente dans l’interface utilisateur de votre navigateur habituel, dès que vous avez accédez à l’adresse IP du point d’accès. L’accès à cette interface se fait grâce à un compte utilisateur pourvu d’un nom d’utilisateur standard et d’un mot de passe. Ces données de connexion ne sont pas individuelles, mais identiques selon les modèles d’appareils, ce sont en général des identifiants très simples, tels que « admin » (mot de passe ou nom d’utilisateur) ou « 1234 ». Au début de la configuration, il faut donc indiquer vos propres données de connexion pour le compte administrateur.

Étape 2 : choisir WPA2 comme méthode de cryptage

Pour crypter le wifi, il est impératif de choisir le WPA, ses prédécesseurs WPA et WEP ayant montré des risques accrus en termes de sécurité. De même, la combinaison mixte « WPA/WPA2 » n’est pas non plus conseillée. Il est judicieux de prévoir à la place des appareils compatibles avec WPA2, et de ne pas compter sur les anciennes méthodes de cryptage. Si vous utilisez un logiciel de configuration WPS, il suffit de le mettre en marche uniquement lorsque c’est nécessaire.

Étape 3 : définir un mot de passe wifi sécurisé

Jusqu’à présent, WPA2 a seulement connu des attaques de mot de passe, notamment des attaques par force brute et des attaques par dictionnaire, qui sont très populaires auprès des cybercriminels. Il est donc essentiel de placer la barre très haut en ce qui concerne la sécurité du mot de passe. Il est conseillé d’avoir recours à des algorithmes de cryptage et des listes de mots lors de l’installation du wifi : cela peut par exemple consister en un maximum de caractères possible, utilisant à la fois des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Il est également recommandé d’éviter les mots compréhensibles, et de choisir plutôt des lettres au hasard. Vous pouvez également conserver le mot de passe du wifi sur papier dans un endroit sûr, tandis que le conserver sur support numérique n’est pas recommandé.

Étape 4 : choisir un nom de réseau non identifiable

Une des mesures de sécurité pour le wifi consiste à formuler un SSDI (de l’anglais Service Set Identifiers) non identifiable. Le SSDI est le nom de votre réseau, et chaque personne qui consulte la liste des réseaux disponibles peut le voir. Par conséquent, si vous n’êtes pas un hotspot ouvert, il est recommandé de ne communiquer aucune information personnelle susceptible d’être rattachée à vous, votre entreprise ou votre emplacement. Pour beaucoup, cacher le nom du réseau wifi (hidden SSID) constitue un progrès en termes de sécurité. Cette technique ne représente toutefois pas un barrage contre les cybercriminels, et entraine une connexion plus difficile pour les clients autorisés. En cachant le SSDI de son wifi, il est aussi possible que certains appareils ne détectent plus le réseau.

Étape 5 : activer les mises à jour automatiques du logiciel d’exploitation

Pour la sécurité du wifi en général, il est indispensable que le logiciel d’exploitation du point d’accès soit en permanence à jour. Comme pour n’importe quel programme, les cybercriminels peuvent en effet exploiter des failles de sécurité découvertes ici, et par exemple s’approprier les droits administrateurs ou introduire des logiciels malveillants. Certains points d’accès disposent d’une fonction de mise à jour automatique du logiciel d’exploitation, qu’il suffit d’activer de façon sécurisée. Dans le cas contraire, il est conseillé de vérifier régulièrement si des mises à jour sont disponibles pour votre appareil, puis de les télécharger et de les installer manuellement.

IEEE 802.1X est un standard de sécurité basé sur les ports, qui garantit l’accès aux clients autorisés uniquement s’ils ont été vérifiés et approuvés par un serveur d’authentification (RADIUS). Ceci permet d’accéder à une liste prédéfinie, qui indique si le client en question est autorisé ou non à se connecter au point d’accès sans fil. La méthode d’identification repose sur l’extensible authentification protocol (EAP), également compatible avec WPA 2. Cette variante est également appelée WPA2 Enterprise, WPA2-1X ou WPA2/802.1X.

Si vous avez configuré votre point d‘accès en tenant compte des recommandations ci-dessus, votre réseau wifi présente déjà un niveau correct de protection. En fonction de l’utilisation prévue, il peut toutefois y avoir d’autres tâches à accomplir. Puisque la majorité des wifi sont connectés à un réseau, pour l’essentiel grâce à Internet, il est indispensable d’installer un pare-feu individuel sur votre point d’accès, afin de filtrer les connexions indésirables. Par ailleurs, il est également pertinent d’identifier et de combattre les accès indésirables à la source, grâce à des systèmes de détection d’intrusion.

Si vous souhaitez que vos clients aient accès au wifi, il est recommandé de toujours travailler avec un SSDI séparé, que vous pouvez créer et configurer en plus de votre wifi professionnel. Dans tous les cas, en tant qu’opérateur wifi, vous êtes responsable de l’usage qui est fait de la connexion, ce qui signifie que toute atteinte au droit d’auteur (téléchargement illégal, etc.) peut vous être directement reprochée. Pour plus de sécurité, il est conseillé de surveiller régulièrement l’utilisation de la bande passante, et de bloquer les sites douteux ainsi que les paramètres du routeur.

Si vous utilisez le wifi dans un cadre professionnel, des tests de sécurité utilisant des outils spécifiques peuvent s’avérer utiles. De cette façon, on peut simuler des cyberattaques, et déterminer si les mesures de sécurité wifi que l’on a prises sont efficaces. Là encore, le même principe que pour la sécurité wifi constitue la base : plus l’on est minutieux et précis, plus les résultats sont efficaces. Il est donc important de faire l’effort et d’optimiser son point d’accès sans fil. En résumé, voici les mesures essentielles à appliquer pour que votre réseau wifi devienne difficile à attaquer par les cybercriminels :

• Installer des composants de sécurité additionnels tels qu’IEEE 802.1X, un pare-feu ou un système de détection d’intrusion

• Maintenir le réseau professionnel et le réseau invités séparés

• Vérifier régulièrement si les composants réseau sont performants et mis à jour