• 8 heures
  • Facile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 09/09/2019

Sécurisez l’accès WiFi de votre entreprise

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !
Ce cours a été élaboré en collaboration avec le Conservatoire national des Arts & Métiers

L'objectif sera de comprendre les enjeux de production et de sécurité de vos réseaux sans fil, leur mode de fonctionnement dans les situations les plus courantes, et également de vous montrer des cas d'utilisation malveillante : des intrusions, des dénis de service, de la divulgation d'informations confidentielles, afin que dorénavant vous puissiez comprendre et appliquer les bonnes pratiques de la sécurité à vos réseaux sans fil, proposées par l'ANSSI.

Les évolutions technologiques qu'ont connues les entreprises ces dernières décennies se sont appuyées sans aucun doute sur des capacités de réseaux plus fiables et agiles, la recherche de l'ubiquité, Internet tout le temps, partout, pour tous ! C'est pour ces différentes raisons, que vers les années 2000, les réseaux sans fil ou WiFi ont connu un engouement sans précédent auprès de la majorité des utilisateurs et, bien sûr, des entreprises. Les avantages de cette technologie étaient à l’époque révolutionnaires et libéraient les usagers de tous les inconvénients d’un câble réseau qui les contraignait à rester physiquement et logiquement à leur bureau.

Ensuite, le déploiement de réseaux régulés par une borne WiFi (maître-esclave) s'est développé avec un tel succès que le déploiement de réseaux WiFi s'est largement imposé sous cette forme dans les entreprises, mais également chez les particuliers. Les opérateurs télécom ont également proposé ces mêmes technologies au niveau des habitations, les "box" ne sont autres que des bornes WiFi faisant le lien entre les flux provenant de leurs réseaux haut-débit d'opérateurs et le réseau local (c'est pour cela que l'on dit souvent de la "box" qu'elle joue le rôle de routeur entre le réseau Internet-public et le réseau local-privé). Votre configuration de la "box" est centralisée chez votre opérateur.

Ce fut tout d'abord une question de coût : tandis que les solutions sans fil fonctionnaient avec une simple antenne WiFi et un déploiement à la journée, la mise en place des câblages pouvait atteindre plusieurs centaines de milliers d’euros et plusieurs mois d'installation. Ce fut également la capacité de déploiement de ces réseaux : alors que le filaire était parfois impossible à déployer sur des bâtiments trop vétustes, d’accès difficile ou mal appropriés, le "sans fil" devenait envisageable.

Architecture technique des réseaux WiFi

Le principe du réseau sans fil consiste donc à mettre en relation 2  équipements sans fil afin qu'ils communiquent, partagent des ressources.

Le WiFi est un réseau local

Dans les réseaux, on distingue les réseaux locaux (LAN/Local Area Network), des réseaux personnels (Personal Area Network) et des réseaux longues distances (Wide Area Ntwork). Les réseaux locaux sont de l'ordre de la proximité, permettent le lien sur quelques centaines de mètres maximum, même si les technologies permettent d'aller bien au-delà.

Exemple
Usage des classes de réseaux (personnel, local, mondial) et de leur technologie (air, filaire...) en fonction de leur couverture en m.

Il est organisé comme un réseau administrable

En réseau, on a pour habitude de distinguer :

  • les réseaux pair-à-pair (peer-to-peer) qui permettent à chacun, sans serveur tiers, de mettre à disposition et de télécharger des ressources partagées ; chacun configure son interface réseau en fonction des paramètres de son interlocuteur ;

  • les réseaux maître-esclave qui sont régulés par un point d'accès central afin de fournir la mise à disposition des ressources réseaux. Chacun configure son interface réseau en fonction des paramètres du maître.

Les réseaux maître-esclave sont largement déployés, car ils permettent de mutualiser, centraliser des milliers de connexions ; ce qui facilite leur administration et la centralisation de leurs configurations. Parmi les configurations du réseau qui ont intérêt à être centralisées  via ce point d'accès unique, il y a la qualité de service (régulation des flux et des débits), mais aussi la sécurisation.

Situations d'usage courant, les réseaux sans fil sont un composant clé du réseau local de l’entreprise

Au final, les réseaux WiFi maîtrisés - maître-esclave - sont les plus déployés ; ils sont certes dépendant du point d'accès unique - il tombe, alors tout le réseau tombe (plus de WiFi) - mais il existe de nombreuses solutions de redondance à chaud à mettre en œuvre, et les solutions d'administration centralisées sont de loin les plus sûres et les moins coûteuses. Un réseau WiFi d'entreprise sera donc déployé le plus souvent de la façon suivante :

  • le réseau local filaire de l'entreprise ;

  • le point d'accès ;

  • le client.

Deux cas de figure sont possibles :

  • Le système de câblage déployé : les utilisateurs sont derrière leur bureau, ils accèdent aux serveur set ressources de l'entreprise via des disques et bases de données 

  • Le réseau sans fil déployé : les utilisateurs peuvent accéder aux ressources mises à disposition dans le système d’information, tout autour de l’environnement de l’entreprise, y compris hors des murs de l'entreprise.

Le lien radio

Une borne d’émission et de réception s'appelle pour cette raison un point d'accès (AP/« access point »), puisqu'elle diffuse un signal radio sur un canal donné qui va relier les terminaux d'un même canal (par défaut, vos bornes WiFi sont sur le canal 11).

Le lien réseau est un lien radio ; si le terminal WiFi est dans la zone de couverture de l'AP, alors la connexion est possible et s'engage. Vous pouvez de cette manière accéder à tous les réseaux de votre voisinage qui sont dans la zone de couverture de votre PC.  Du point de vue de l’entreprise, le réseau sans fil distinguera deux zones :

  • non maîtrisée, sur laquelle un attaquant au même titre qu’un usager peut accéder au réseau (pointillés rouges) ;

  • de confiance, où on va avoir un espace sécurisé derrière la borne WiFi.

La connexion WiFi

Exemple
Principe de connexion et d'authentification WiFi

Regardons le principe des accès à une borne WiFi, 3 phases sont à distinguer :

  1. Enregistrement.

  2. Authentification.

  3. Association.

Du point de vue de la connexion, le protocole d'établissement de la connexion répond à la norme IEEE 802.11, intégrée à tous les portables et cartes WiFi du commerce.

Étapes 1/ & 2/ : enregistrement

On voit que le client va se connecter à une borne WiFi par une simple requête automatique dès lors qu’il est équipé d’une carte WiFi ; il commence par une demande d'enregistrement qui peut se faire auprès de toutes les bornes découvertes dans la proximité du client. Chaque poste équipé d’une carte réseau sans fil a accès à la zone de couverture radio de la borne.  Il peut entrer en relation avec la connaissance du SSID sur ce même canal  (Service Set Identifier), qui est un identifiant réseau auquel on souhaite se raccrocher, un peu comme une rue dans une ville.

L'échange commence à cette étape. Le client a des critères de performance pour choisir la borne qui lui semble la plus appropriée, puis pour prendre le SSID retenu.  La communication est alors établie, l’opération est simple pour l’usager bienveillant comme pour le pirate.

Vous pouvez voir dans la figure suivante un exemple de ce genre de « SSID» : quand on clique sur l’icône « réseau sans fil » de votre ordinateur, vous voyez la liste de tous les réseaux disponibles, ce sont les « SSID ».

Menu pour la liste des réseaux WIFI ambiants et de proximité
Menu sur votre terminal (PC, mobile,...) pour consulter la liste des réseaux WiFi ambiants et de proximité

Il reste à savoir comment on exploite cette ressource (c'est-à-dire le mode de connexion). La configuration WiFi actuelle est donc largement disponible, notamment dans les entreprises grâce au « SSID »; en clair la connexion WiFi est assez aisée, l’usager peut obtenir directement la liste des réseaux disponibles.

Étapes 3/ & 4/ : authentification

La figure ci-dessus apporte également d'autres informations (le petit cadenas ou pas) ; en cliquant directement sur ce réseau on peut obtenir les informations sur le protocole d'authentification utilisé qui vont permettre à un utilisateur de se connecter. Il se déroule à cette étape un mécanisme de vérification entre le client et la borne ; celle-ci conditionne l'accès à ses ressources, suite à la présentation des identifiants.

Cette étape étant optionnelle, si la borne WiFi (Livebox 9030) requiert une authentification, alors des identifiants vont vous être demandés. Par exemple, l’encadré ci-dessous montre que le réseau WiFi "Livebox 9030" requiert un mot de passe avec le protocole WPA2.

Étapes 5/ & 6/ : association

Une fois cette étape effectuée correctement, l'association devient effective, le client dispose des ressources de l'entreprise,  et l'entreprise peut également disposer des ressources de ses clients.

L’usager "tout le monde" n'est pas hébergé dans l'enceinte de l’entreprise mais accède au réseau de l'entreprise via la borne WiFi -  passerelle sans fil - comme on le voit ; et comme souvent, elle est reliée sur le commutateur de distribution du système d’information de l’entreprise.

La connexion aux services réseaux

La connexion radio vous permet de dialoguer avec la borne, mais les échanges sont limités, votre ordinateur et la borne sont seulement associés, c'est-à-dire que cela revient au même que si vous étiez sur le réseau filaire de l'entreprise : vous avez un lien avec le réseau local, mais cela ne vous permet pas encore de bénéficier des services du réseau IP de l'entreprise.

Pour cela, vous devez utiliser les mêmes mécanismes d'accès que le réseau local de l'entreprise (RLE) via le protocole TCPIP. En l'occurrence, il vous faut obtenir une adresse IP compatible avec le RLE, afin de bénéficier du service Internet.

La plupart des bornes WiFi incorporent le protocole DHCP (Dynamic Host Configuration Protocol) qui distribue automatiquement une adresse IP à tout utilisateur associé à la borne ; de cette façon, les utilisateurs de l’entreprise vont pouvoir accéder aux ressources via l’adresse IP fournie.

Grâce au service DHCP de la borne,  et à la couverture radio, les utilisateurs de l'entreprise ont accès directement au système d’information, à leurs fichiers et répertoires réseau.

La menace

La configuration WiFi pourrait néanmoins, du fait du manque de maîtrise de la couverture radio, offrir des opportunités d’accès et entraîner des usages malveillants par les attaquants. C’est aisé pour un attaquant ayant ces informations de rechercher les moyens de se connecter au système d'information de l'entreprise. La menace liée à un réseau WiFi est multiple : l'intégrité, la confidentialité et la disponibilité des composants du réseau WiFi sont directement en jeu, mais le plus grave est que cette menace se prolonge jusque dans le système d’information de l'entreprise, et également sur les terminaux WiFi des autres utilisateurs de l’entreprise.

Exemple
Menaces lors de la phase de connexion

Donc sur cette zone hostile, les attaquants vont mettre en œuvre leur savoir-faire pour tenter de pénétrer les réseaux sans fil.

Attaques sur les réseaux WiFi

Les attaquants combinent des attaques à distance de ce type par écoute passive :

  1. Prise d ’empreintes : connaître les types de matériels (PC, smartphone, routeur WiFi...), systèmes (Linux, Windows...)et services réseau.

  2. Recensement des éléments réseau : cartographie de l'architecture réseau,

  3. C. Cartographie du réseau : adresses IP relevées, port réseau...

  4. Découverte des mots de passe, des mécanismes d'authentification, de vos ressources.

  5. Découverte de la liste des vulnérabilités, toutes les failles correspondant à ce protocole WPA2, en plus de pouvoir offrir des opportunités d’accès et entraîner des usages non souhaités.

  6. Connecté à la borne WiFi piratée, il est aisé pour un attaquant de venir fouiller sur votre ordinateur, ce qui entraîne des fuites d’informations et des intrusions.

Ces étapes permettent ensuite d'effectuer des actions physiques sur les personnes : avec du « social engineering », il est en effet possible de  réaliser tout type de surveillance de personnes, et de déduire des codes d’accès (immeuble,  carte bancaire...). Par exemple, les  « worth hiding » sont des individus se tenant à quelques mètres des personnes qui tapent leur code, et ils ont une petite caméra cachée invisible qu’ils pilotent depuis leur voiture. On voit que l’agilité des réseaux sans fil est utilisée par les attaquants !

Vulnérabilités

1/ Les échanges entre un utilisateur (légitime ou non) de l’entreprise et la borne WiFi (verte) vous montrent en fait qu'il est possible d’avoir un accès non autorisé à des données grâce à un utilitaire d’écoute de trafic réseau (sniffer), afin de les utiliser de manière illicite. Il est également possible de faire de l’interception de données, par exemple pour l’espionnage industriel : les attaquants interceptent les noms des utilisateurs et leur mot de passe ou les adresses MAC et IP de l’entreprise qui circulent en clair, si le réseau WiFi n’a pas été protégé.

2/ La connaissance du SSID permet de s'associer plus facilement et de connaître les paramètres de sécurité en vigueur sur cette borne.

3/ La connaissance des protocoles de sécurité, des services réseaux permettent à l'attaquant de réaliser les étapes ABC de l'attaquant.

4/ Une fois associée, la personne malveillante va mener des attaques d'intrusion dans le système d'information.

6/ Un attaquant peut mettre en place hors les murs de l'entreprise une borne WiFi pour appeler une connexion des utilisateurs de l'entreprise ; ceux-ci viendraient s'y connecter, d'autant qu'en ayant réalisé l'étape 1, l'attaquant peut reconstituer l'environnement de connexion habituel pour les tromper, ce sont des "fake AP", ou rogues (points d’accès factices). Vous allez avoir une requête d’authentification de la part d’une borne de WiFi dont vous ne connaissez rien, et de cette manière vous pourrez vous y connecter. Autant dire qu’on peut se connecter à n’importe quelle borne WiFi, notamment des bornes WiFi pirates qu’on appelle une « Rogue AP ».

Les architectures et protocoles de sécurité pour l'accès aux réseaux sans fil

Afin de permettre la connexion, on voit que la sécurité s'opère avec une architecture d'authentification et un protocole.

Éléments d'une architecture WiFi de base

Comme vous l'avez vu, la connexion utilisateur-ressource fait appel aux principes de base réseau-télécom. Cette connexion permet de mettre en relation l'utilisateur et sa ressource, elle fait intervenir un terminal (mobile...) qui dispose des éléments de connexion : réseau sans fil, réseau filaire, pour accéder à la ressource ; cette dernière fait de même. En WiFi, il est impératif que la connexion passe par une borne WiFi (passerelle d'accès). Cette chaîne de liaison (grise) par défaut permet de communiquer, mais ne fait pas intervenir de dispositifs de sécurité.

Eléments intervenants dans l'architecture de sécurité
Éléments intervenant dans l'architecture de sécurité

Dispositifs de sécurité d'une architecture WiFi de base

L'architecture de sécurité se compose de plusieurs éléments de sécurité ou dispositifs (rouge), où chacun a son rôle dans l'architecture de base qui permet à un utilisateur de manipuler une ressource.

Le problème est qu'il est difficile de procéder à une reconnaissance (authentification Bonne Pratique 1 et Bonne Pratique 3) d'utilisateurs que l'on ne connaît pas, c'est-à-dire n'ayant pas été identifiés au préalable (identification Bonne Pratique 1 et Bonne Pratique 3), c'est le même cas pour tous les sites ouverts au public, on ne peut pas appliquer les même mécanismes ; on prend donc en compte 2  zones :

  • hostile : considérée ainsi car tout utilisateur peut potentiellement être manipulé par un ennemi ;

  • de confiance : considérée ainsi car toute entreprise est supposée n'autoriser les entrées qu'à des utilisateurs légitimes, qu'elle connaît et a au préalable identifiés.

L'architecture va donc appliquer des mécanismes distincts au sein de ces deux zones, puis un mécanisme de relais entre la protection de la "zone hostile" et celle de la "zone de confiance" :

  • "zone de confiance" : l’architecture de sécurité va débuter par la mise en place d'un serveur "bastion" qui va contrôler les accès aux ressources protégées par lui dès la zone de confiance ;

  • "zone hostile" : ensuite, elle va permettre la mise en place des dispositifs de sécurité pour sécuriser la zone hostile, c'est-à-dire la connexion entre l'utilisateur et la borne WiFi. Il va s'agir de tunnels  et de protocoles de chiffrement dédiés.

Architecture de coupure

On comprend que l'on ne peut pas appliquer les mêmes mécanismes, bien... mais comment faire pour passer d'une zone à l'autre  ?

C'est le rôle du dispositif de sécurité de la passerelle WiFi que de s'assurer que seuls les utilisateurs légitimes entrent en zone de confiance.

Dans cette optique, l'architecture de coupure propose un filtrage au niveau réseau (couche liaison de données, pour ceux qui connaissent) ; ce filtrage applique la règle "ceux qui sont en mesure de fournir les protocoles compatibles avec le serveur d'authentification derrière la passerelle WiFi pourront répondre au challenge d'authentification".

Cela évite le passage d'attaque par Brut Force, Man-in-the-Middle, etc. Le WEP ne propose pas d'architecture de coupure, ce protocole est exposé et doit être enrichi par une architecture d'accès et un protocole d'accès robuste.

Protocoles d'accès

Bien sûr, encore faut-il que le protocole d'accès proposé soit robuste.  L'objectif est qu'il ne permette pas de révéler les données secrètes du serveur ou du client pendant cette phase.

C'est pourquoi la phase de présentation du ou des secrets se déroule pas à pas et commence par un challenge du serveur, c'est-à-dire que le serveur envoie un défi, ce défi est fait de telle sorte que seul celui qui connaît l'information demandée par le serveur la produise. De cette façon, le serveur ne s'expose pas, le client prouve qui il est.

On voit que les architectures d'accès et de coupure, ainsi que les protocoles, travaillent de concert pour contribuer à identifier les bonnes personnes, c'est-à-dire celles qui peuvent accéder de façon légitime à la ressource.

Architectures avancées WPA

WPA, comme WiFi Protected Access, fournit un accès protégé aux réseaux WiFi, en répondant à la norme 802.11i.

Il s'agit plus d'une architecture et d'une méthode de chiffrement ; il vient compléter avantageusement le protocole WEP à partir des phases 3 et 4 du schéma d'accès proposé ci-dessus, puisqu'il  propose de chiffrer dès cette étape vos données sensibles (votre mot de passe).

WPA2, son successeur, comprend tous les éléments obligatoires de la norme 802.11i mais impose en plus un protocole de chiffrement fort : le mécanisme CCMP basé sur AES.

À cette étape, WPA fait appel à un protocole de sécurité afin de permettre l'échange des données transmises par une méthode de chiffrement adaptée et renforcée ; ce qui n'est pas le cas du WEP.

Le dispositif WPA-Enterprise introduit deux dispositifs sous forme de protocole et d'architecture :

  • EAP : Extensible Authentication Protocol ;

  • 802.1X : une architecture de coupure.

Architecture de coupure 802.1X

IEEE 802.1X est un contrôle d'accès dit par port, qui vise  la vérification des comptes avant la connexion de l'ordinateur au réseau ; ce qui permet de placer l'ordinateur client comme s'il appartenait au réseau.

Il faut donc bien comprendre que son usage est simplement de contrôler l'accès physique et logique au réseau local, c'est-à-dire, d'une certaine manière, transformer notre zone hostile comme une zone de confiance à authentifier ; il faudra ensuite bien authentifier les utilisateurs. Une authentification plus traditionnelle peut s'effectuer par un serveur d'authentification centralisé, par exemple un serveur RADIUS.

Architecure de controle d'accès par port
Architecture de contrôle d'accès par port dans la norme 802.1X

Dans la norme IEEE 802.1X, plusieurs composants distincts ont un rôle précis et nécessitent l'activation du standard IEEE 802.1X  dans leurs configurations :

  1. Le client appelé "supplicant": client terminal mobile, ordinateur...

  2. La passerelle d'accès 802.1X appelée "système authentificateur", chargée d'ouvrir ou fermer le port contrôlé et de laisser passer les informations permettant les authentifications.

  3. Le "serveur d'authentification" chargé de valider l'identité de l'utilisateur.

Le standard 802.1X scinde par conséquent les flux en deux ports d'accès logiques (au niveau de la couche liaison de données), ce sont donc deux ports logiques connectés en parallèle sur le port physique du système authentificateur :

  • le premier port logique est dit « contrôlé », il peut prendre deux états :

    • « ouvert »,

    • « fermé» ;

  • le second port logique est dit « non contrôlé », il est accessible par défaut mais ne laisse passer que des trames spécifiques de type 802.1X.

Ainsi, le système authentificateur ne débloquera le port contrôlé qu'en cas d'authentification réussie devant le serveur d'authentification ; ce qui nous montre qu'il existe un processus complet où l'activité de ces deux ports est dépendante de l'un et de l'autre, entre la partie WiFi (zone hostile) et la partie de confiance. Ce processus complet s'inscrit dans le protocole d'accès 802.1X.

Protocole d'accès 802.1X

Nous allons expliquer le protocole d'accès de façon globale.

Architecture de coupure 802,1x
Principe des échanges au sein de l'architecture de coupure 802.1X

Le serveur d'authentification permet de valider l'identité de l'utilisateur, transmise par le système authentificateur, et de lui renvoyer les droits associés en fonction des informations d'identification fournies. De plus, le serveur d'authentification peut stocker et tracer les informations de connexion (en vue d'une facturation à la durée ou au volume, par exemple).

Cette architecture renforce le contrôle d'accès par un serveur d'authentification 802.1X, qui attribue différentes clés à chaque utilisateur. Là encore, c'est un plus que ne propose pas le WEP, afin d'assurer une cohérence entre les deux passerelles ; il faut un protocole unique qui permette à chaque passerelle de se mettre d'accord ; ce sera le rôle du standard EAP.

Méthodes de chiffrement EAP

Le standard EAP n'est pas un nouveau protocole d'authentification ; il s'agit plutôt d'un protocole visant une mise en accord sur l'utilisation de protocoles standard existants.

Au départ d'Internet, il existait un protocole PPP réseau (Point to Point Protocol - couche liaison de données) utilisé pour établir les connexions à distance, le plus souvent via un modem sur le réseau RTC classique. Ces protocoles n'avaient pas de mécanisme de contrôle d'accès.

Le besoin d'un protocole enrichissant ce protocole de connexion de base s'est fait ressentir. Afin d'authentifier le dialogue entre le système authentificateur et le client à l'aide d'une méthode d'authentification, il fut introduit le protocole EAP : Extensible Authentication Protocol, qui explique de cette façon son nom.

Le protocole EAP permet d'utiliser différentes méthodes d'identification, et son principe de fonctionnement rend très souple l'utilisation de différents systèmes d'authentification. EAP présente ainsi plusieurs méthodes d'authentification. Les plus connues sont :

  • EAP-MD5 ;

  • EAP-PEAP ;

  • EAP-TLS ;

  • EAP-TTLS.

L'objectif de ce cours n'est pas de développer tous les protocoles de contrôle d'accès au WiFi, mais de désigner les plus recommandés dans les bonnes pratiques.

Méthodes d'authentification

Les méthodes d'authentification présentent 2 aspects :

  • le chiffrement pour masquer la phase d'échange du secret ;

  • le protocole de chiffrement.

Ces deux aspects vous permettent de respecter un protocole d'échange du secret entre un client et un serveur, conforme aux propriétés de confidentialité et d'intégrité ; en particulier d'imputabilité de la source et du destinataire. Il vous suffit de vous remémorer ce que nous avions abordé en introduction et dans les bonnes pratiques 1 et 3.

Protocoles de chiffrement WiFi et recommandations

Dans les bonnes pratiques 1 et 3, nous avons montré l'importance de la longueur d'une clé qui rentre dans la phase de durcissement des protocoles de chiffrement :

  • WEP inclut un algorithme de chiffrement RC4 qu'il est déconseillé d'utiliser, ayant été facilement craqué de par sa longueur de clé et le mécanisme de calcul des messages chiffrés avec cette clé ;

  • TKIP (Temporal Key Integrity Protocol) est un protocole de chiffrement utilisé pour la protection et l'authentification des données transitant sur le réseau WiFi. Il a été recommandé pendant plusieurs années mais en novembre 2008, deux chercheurs ont découvert une faille de sécurité dans le mécanisme de sécurité TKIP/WPA ;

  • AES (Advanced Encryption Standard) est un dispositif  de chifffrement faisant partie des protocoles recommandés ;

  • CCMP(Counter-Mode/CBC-Mac Protocol) constitue un protocole de chiffrement basé sur AES. CCMP utilise le chiffrement par bloc d'AES. Afin d'éviter qu'un attaquant ne devine les futurs caractères  d'un message, on introduit un changement à chaque message, que ne peut connaître l'attaquant. Ce principe est à l'heure actuelle le plus sûr.

Les bonnes pratiques des réseaux WiFi

Aujourd’hui, la plupart des réseaux sans fil sont déployés en mode "maître-esclave" afin de mettre en place des paramètres de sécurité.  Alors, n’oublions pas les bonnes pratiques pour vous prévenir de ce genre d’attaque :

  • ne pas diffuser votre identifiant réseau, changer et masquer ces informations sensibles, ce qui fait que quand l’attaquant va scruter la liste des AP, il ne verra pas vos identifiants ;

  • contrôler régulièrement les « logs » pour connaître les éventuelles traces d’adresses IP non identifiées par vous ;

  • chiffrer avec des clés d’authentification fortes, au moins du type WPA2 pour les entreprises ;

  • cartographier vos points d’accès WiFi afin d’en garder la maîtrise.

En utilisant cette architecture, cela va vous permettre de sécuriser vos utilisateurs via les portails captifs :

Exemple
Principe d'une architecture d'accès au réseau WiFi par portail captif

À travers ce portail captif, vous allez directement créer des VPN avec des utilisateurs ; c'est-à-dire des réseaux particulièrement sûrs qui vont vous permettre ensuite de contrôler les accès, de vérifier leur identité, d’avoir une authentification sur le serveur et l’annuaire de l’entreprise, puis de traverser un firewall et seulement enfin, d’accéder aux ressources sans fil de l’entreprise.

Vous avez aussi une bonne pratique que vous devez donner à vos utilisateurs du système d’information :

  • il faudra ne jamais divulguer votre ID de connexion à des access points non fiables ;

  • activer les fonctions de pare-feu sur les postes de travail ;

  • désactiver les bornes d’accès lorsqu’elles ne sont pas utilisées ;

  • n’utiliser que les WiFi publics référencés ;

  • ne pas utiliser les WiFi dans les gares, les aéroports ou hôtels pour des raisons de sécurité et de confidentialité ;

  • assurez-vous que votre ordinateur est protégé par un antivirus à jour et un pare-feu ;

  • protégez vos données dans un déplacement, et si jamais vous devez absolument utiliser un service de type WiFi, assurez-vous de ne pas communiquer vos données personnelles et confidentielles ; considérez toujours que vous êtes exposé au maximum.

Que ce soit chez vos clients, fournisseurs, etc., protégez de manière imminente vos données sensibles, car vous pourriez être victime d’une attaque de l’homme dans le milieu : c'est-à-dire que vous allez être conduit à un site web malveillant, forgé au préalable par un attaquant qui vous fera croire que c’est un site légitime. Préférez avoir recours à une borne d’accès dédiée si vous devez absolument vous fournir d’un accès réseau, et ne partagez jamais votre connexion avec des personnes qui sont « en manque de réseau » parce qu’ils ont soit-disant perdu leur portable, ou n’ont plus de batterie, etc.

Exemple de certificat de réussite
Exemple de certificat de réussite