Portail officiel de la sécurité informatique - ANSSI - République française

• Je suis...
  • Particulier
  • Entreprise
  •  
• Je cherche...
  • Autoformation
  • Fiche technique
  • Guide de configuration
  • Mémento
  • Question/Réponse
  • Une solution pour me protéger
  • Passeport de conseils aux voyageurs
  • Lien
  •  
• Actualités
  • Alertes
  • Faits marquants
  • Technique
  •  

Fiches techniques

Wi-Fi

La problématique générale des réseaux sans fil

Pourquoi cela présente des attraits ?

L’évolution des postes nomades ou du télétravail, l’augmentation des services disponibles accroît l’intérêt de ces solutions sans fil.

D’un point de vue pratique, tout passe dans les airs, on ne voit donc rien.

WiFi

D’un point de vue économique, cela évite d’installer un réseau de câbles. De nombreux restaurants, sites touristiques, aéroports, etc. offrent ainsi un accès Wi-Fi (Hot Spot).

Les problématiques associées

 Les interfaces de communication sans fil sont accessibles sans fil, c’est-à-dire, en théorie, par toute personne par les airs.
 Il est difficile de maîtriser proprement un signal, ou des ondes électromagnétiques.
 Tout va très vite : les appareils doivent posséder les dernières technologies, voire même combiner "tout en un" (Wi-Fi+GPS+Bluetooth+infrarouge+GSM+…).
 Les mises à jour sont loin d’être simples et triviales sur les produits actuels.

Présentation

Sous le nom WiFi ou Wi-Fi (contraction de Wireless Fidelity) se trouvent rassemblées les normes 802.11b, 802.11g ou 802.11n selon le matériel. Tout produit le supportant est identifiable par le petit logo :

wifi

Principes de sécurité proposés

 Ne pas diffuser l’identifiant de réseau SSID (Service Set Identifier)
Il est préférable de le changer et de le masquer, mais cette seule solution n’est pas suffisante.

 Le filtrage des adresses MAC (Media Access Control)
Ce n’est pas une solution de sécurité absolue, mais une première bonne solution de sécurité. La plupart des routeurs/points d’accès actuels permettent de l’effectuer.

 Le chiffrement WEP (Wired Equivalent Privacy)
Les clés sont rarement changées, et l’efficacité du chiffrement est très fragile. Il vaut mieux l’utiliser dans le pire des cas, quand les solutions qui suivent n’existent pas, car il reste préférable à une utilisation sans chiffrement.

 Les protocoles de chiffrement WPA et WPA2 (Wi-Fi Protected Access)
Pour le chiffrement du lien radio dans les réseaux sans fil, le WPA apporte un niveau de sécurité supérieur à celui fourni par le WEP. Il permet aujourd’hui de se prémunir contre la plupart des attaques cryptographiques connues contre le protocole de chiffrement WEP. Pour le WPA (comme pour le WEP d’ailleurs) : il faut choisir un mot de passe robuste ! (mots avec caractères spéciaux, chiffres, majuscules et minuscules). L’idéal, dans la mesure du possible, et de le combiner à une solution d’authentification. Son successeur depuis 2004 est WPA2. Il utilise une norme de sécurité qui se nomme 802.11i et un algorithme de chiffrement du nom d’AES.

Mais… un chiffrement robuste ne garantit en aucun cas à lui seul un bon niveau de sécurité de son réseau sans fil. Voici quelques risques…

Les dangers

Les dangers des logiciels gérant les cartes Wi-Fi

En 2007, de multiples vulnérabilités ont été identifiées, concernant le pilotes de matériels sans fil Wi-Fi, comme les cartes réseaux. Elles concernaient la majeure partie des constructeurs courants. Dans les faits, ces systèmes sont rarement mis à jour par les éditeurs et quand c’est le cas leur application sur les ordinateurs est complexe.

Les points d’accès illégitimes

Un point d’accès n’est rien d’autre qu’un ordinateur avec une carte réseau Wi-Fi.

Un point d’accès sauvage ou illégitime est un point d’accès qui cherche à tromper les utilisateurs.

Quelles sont les conséquences ?

L’utilisateur se connectera à un point d’accès qui n’est pas celui qu’il pense et qui pourra :

 lire les données et récupérer les informations intéressantes,
 rediriger l’utilisateur vers des sites malveillants,
 modifier le contenu avant de le réexpédier.

Attention donc à tous les portails/serveurs disponibles dans les lieux publics : il n’y a pas de garantie a priori de leur "bonne foi".

Que faire ? Les bonnes pratiques

Si vous avez un point d’accès Wi-Fi

Changer la configuration par défaut des points d’accès est une première étape essentielle dans la sécurisation de son réseau sans fil. Pour cela il est nécessaire de :

 changer les mots de passe par défaut (notamment administrateur) par des mots de passe plus forts ;
 désactiver les services disponibles non utilisés (SNMP, Telnet...) ;
 régler la puissance d’émission du point d’accès au minimum nécessaire ;
 mettre à jour le logiciel (firmware) de son point d’accès ;
 enregistrer si possible (journaux) l’activité du point d’accès ;
 limiter l’accès physique aux appareils ;

Si vous avez une carte réseau Wi-Fi

Penser à désactiver, quand cela n’est pas nécessaire, les interfaces sans fil Wi-Fi.

L’idéal est de le bloquer au niveau du BIOS. Sinon, certains ordinateurs portables disposent d’interrupteurs, sinon sous Windows XP : Démarrer => Connexions => Afficher toutes les connexions

wifischema

Conclusion

Le Wi-Fi présente peu de garantie en termes de sécurité. Bien que les solutions proposées deviennent de plus en plus convaincantes, les clients ou points d’accès restent de très sensibles éléments pouvant servir de porte d’entrée dans le réseau. En fonction des usages, si cette solution est indispensable, il faut alors opter pour une configuration plus robuste : WPA, ou WPA2 avec authentification, en considérant le réseau formé comme “non de confiance”, et donc en l’isolant des autres réseaux filaires.

Pour aller plus loin

Configurer une connexion Wi-Fi en WPA2 (ou WPA) avec Windows Vista