Pour sécuriser son réseau Wifi pour éviter les intrusions comme toute nouvelle technologie est très utile pour évite toutes les menaces provenant des personnes mal intentionnées, les hackers qui se sont lancés dans de nouvelles activités de piratage dont le wardriving (ou war-Xing pour « war crossing »). Venue des Etats-Unis, cette pratique consiste à détecter les réseaux sans fil publics ou privés et à tenter de les pénétrer.
1. Les risques en matière de la sécurité de son réseau wifi
Les risques liés à la mauvaise protection d’un réseau sans fil sont multiples :
a. L’interception de données consistant à écouter les transmissions des différents Utilisateurs du réseau sans fil.
b. Le détournement de connexion dont le but est d’obtenir l’accès à un réseau local ou à Internet.
c. Le brouillage des transmissions consistant à émettre des signaux radio de telle manière à produire des interférences.
d. Les dénis de service rendant le réseau inutilisable en envoyant des commandes factices.
1.1 L’interception de données
Par défaut un réseau sans fil est non sécurisé, c’est-à-dire qu’il est ouvert à tous, toute personne se trouvant dans le rayon de portée d’un point d’accès peut potentiellement écouter toutes les communications circulant sur le réseau.
Pour un particulier la menace est faible car les données sont rarement confidentielles, si ce n’est les données à caractère personnel. Pour une entreprise en revanche l’enjeu stratégique peut être très important.
1.2 L’intrusion réseau
Lorsqu’un point d’accès est installé sur le réseau local, il permet aux stations d’accéder au réseau filaire et éventuellement à internet si le réseau local y est relié. Un réseau sans fil non sécurisé représente de cette façon un point d’entrée royal pour le pirate au réseau interne d’une entreprise ou une organisation. Dans le but de mener des attaques sur Internet. En effet étant donné qu’il n’y a aucun moyen d’identifier le pirate sur le réseau, l’entreprise ayant installé le réseau sans fil risque d’être tenue responsable de l’attaque.
1.3 Le brouillage radio
Les ondes radio sont très sensibles aux interférences, c’est la raison pour laquelle un signal peut facilement être brouillé par une émission radio ayant une fréquence proche de celle utilisé dans le réseau sans fil. Un simple four à micro-ondes peut ainsi rendre totalement inopérable un réseau sans fil lorsqu’il fonctionne dans le rayon d’action d’un point d’accès.
1.4 Les dénis de service
La méthode d’accès au réseau de la norme 802.11 est basé sur le protocole CSMA/CA, consistant à attendre que le réseau soit libre avant d’émettre. Une fois la connexion établie, une station doit s’associer à un point d’accès afin de pouvoir lui envoyer des paquets. Ainsi, les méthodes d’accès au réseau et d’association étant connus, il est simple pour un pirate d’envoyer des paquets demandant la dés association de la station. Il s’agit d’un déni de service, c’est-à-dire d’envoyer des informations de telle manière à perturber volontairement le fonctionnement du réseau sans fil.
D’autre part, la connexion à des réseaux sans fil est consommatrice d’énergie. Même si les périphériques sans fil sont dotés de fonctionnalités leur permettant d’économiser le maximum d’énergie, un pirate peut éventuellement envoyer un grand nombre de données (chiffrées) à une machine de telle manière à la surcharger.
II. Les solutions pour mieux Sécuriser son réseau wifi contre les intrusions
Pour mieux sécuriser son réseau, l’administrateur doit connaître les possibilités de son matériel pour mieux configurer différentes méthodes sont nécessaires .
2.1 Une infrastructure adaptée
La première chose à faire lors de la mise en place d’un réseau sans fil consiste à positionner intelligemment les points d’accès selon la zone que l’on souhaite couvrir, éviter les murs extérieurs mais choisir plutôt un emplacement central. En se promenant autour de l’immeuble, on peut établir le périmètre à l’intérieur duquel la borne est accessible.
2.2 Eviter les valeurs par défaut
Lors de la première installation d’un point d’accès, celui-ci est configuré avec des valeurs par défaut, y compris le mot de passe de l’administrateur.
Un grand nombre d’administrateurs considèrent qu’à partir du moment où le réseau fonctionne, il est inutile de sécuriser son réseau et de ne pas modifier la configuration du point d’accès , toutefois ,si les paramètres par défaut installés la sécurité est minimale. Il est donc impératif de se connecter à l’interface d’administration (généralement via une interface web sur un port spécifique de la borne d’accès) notamment pour définir un mot de passe d’administration. D’autre part, afin de se connecter à un point d’accès il est indispensable de connaître l’identifiant du réseau (SSID). Ainsi il est vivement conseillé de modifier le nom du réseau par défaut et de désactiver la diffusion (SSID broadcast: diffusion du nom SSID) de ce dernier sur le réseau.
Le changement de l’identifiant réseau par défaut est d’autant plus important qu’il peut donner aux pirates des éléments d’information sur la marque ou le modèle du point d’accès utilisé. L’idéal est même de modifiez régulièrement le nom SSID! Il faudrait même éviter de choisir des mots reprenant l’identité de l’entreprise ou sa localisation, qui sont susceptibles d’être plus facilement devinés.
2.3 Activer le cryptage WEP ou WAP ou WAP2
C’est assez étonnant, mais de nombreuses bornes et interfaces WiFi sont installées sans mise en place du cryptage WEP qui permet de limiter les risques d’interception de données. Il est fortement recommandé de préférer une clé WEP sur 128 bits à celle, utilisée souvent par défaut, de 64 bits. Certes l’activation du WEP est un plus mais il faut savoir qu’elle ralentit le débit d’information: temps de cryptage – décryptage. Sans oublier de modifier les clés de cryptage WEP régulièrement.
2.4 Le filtrage des adresses MAC
Chaque adaptateur réseau possède une adresse physique qui lui est propre (appelée adresse MAC). Cette adresse est représentée par 12 chiffres hexadécimaux groupés par paires et séparés par des tirets. Les points d’accès permettent généralement dans leur interface de configuration de gérer une liste de droits d’accès (appelée ACL) basée sur les adresses MAC des équipements autorisés à se connecter au réseau sans fil. En activant ce MAC Address Filtering (Filtrage des adresses MAC), même si cette précaution est un peu contraignante, cela permet de limiter l’accès au réseau à un certain nombre de machines. En contrepartie cela ne résout pas le problème de la confidentialité des échanges.
2.5 Améliorer l’authentification
Afin de gérer plus efficacement les authentifications, les autorisations et la gestion des comptes utilisateurs (en anglais AAS pour Authentication, Authorization, and Accounting) , avec un mot de passe fort contenant les chiffres et caracteres.
2.6 Mise en place d’un VPN
Pour connecter les utilisateurs nomades se branchant au réseau par le biais d’une borne publique, et pour toutes les communications nécessitant un haut niveau de sécurisation, il faut mettre en place un réseau privé virtuel (VPN) qui offrira un bon niveau de sécurité et empêchera la plupart des intrusions indésirables.
2.7 Définir des adresses IP fixes
Les risques d’intrusion externes sont bien moindres en attribuant des adresses IP fixes aux stations de la flotte bénéficiant d’une connexion sans fil. Il est ainsi possible de gérer une table d’adresses des connexions autorisées. Il faut, dans ce cas, désactiver la fonction DHCP au niveau du serveur auquel est connectée la borne WiFi pour mieux sécuriser son réseau.
2.8 Installer un pare-feu
On peut aussi installez un firewall comme si le point d’accès était une connexion internet. Ce firewall peut être le serveur IPsec (VPN) des clients sans fils. Le système d’exploitation Windows est équipe d’un pare feu pour bloquer toutes les transactions non désirables transitant sur le réseau.
En conclusion
Sécuriser son réseau wifi qu’il soit filaire ou sans fils est possible par de nombreux moyens matériels et/ou logiciels. Son choix dépend de l’utilisation que vous voulez faire de votre réseau et des moyens dont vous disposez.
Lire aussi :La Sécurité du réseau Wifi en 5 points.