Avec la transmission sans-fil, le réseau est en quelques sortes ouvert à tous les vents, mais accessible seulement depuis une courte distance.
Comme toujours dans les problèmes de sécurité, il ne faut ni sous-estimer le danger, ni tomber dans la paranoïa.

Hiérarchie des risques

La probabilité pour qu'un espion international suréquipé s'attaque à une PME de province ou de banlieue est bien entendu faible. Pourtant, le risque d'une intrusion par le réseau sans fil est, elle, bien réelle. Voici quelques exemples.
L'incident le plus fréquent est l'intrusion sur le réseau d'un salarié débrouillard, soit par jeu, ou pour défier sa hiérarchie, pour faciliter son propre travail, pour connaître la prime de fin d'année des cadres dirigeants, voire pour surfer en toute tranquillité sur Internet (ce ne sont que des exemples). Des incidents similaires peuvent se produire avec un voisin, s'apercevant par hasard qu'il peut pénétrer sur un réseau inconnu.
Comme le disait Georges Brassens, "la manie de l'acte gratuit se développe". Le war-driving, ou drive-by hacking distraction nouvelle et contestable, consiste à circuler dans la ville avec un ordinateur portable ou un PDA équipés d'une carte Wi-Fi pour repérer et pénétrer dans les réseaux locaux mal protégés.
Il existe de nombreux logiciels conçus plus à cet effet qu'à un usage normal d'analyse de son propre réseau.
Les dégâts, volontaires ou involontaires, qui résultent de ces différentes intrusions peuvent être l'altération de données, la saturation de voies de communication, la prise de connaissance et la divulgation d'informations plus ou moins confidentielles...
Comme d'habitude, les dispositions sécuritaires doivent donc être proportionnées aux risques et inscrites dans un plan général apte à limiter à tous les niveaux les conséquences d'une intrusion (zonage, mots de passe...).

Limiter l'"arrosage"

Lors de l'installation d'un système Wi-Fi, on se pose d'abord la question de couvrir correctement les locaux. Ensuite, il apparaît qu'il est préférable de faire correspondre au plus juste, surface à couvrir, et surface réellement couverte.
Les ondes Wi-Fi ayant une portée limitée, c'est au voisinage immédiat des appareils que le danger est le plus grand.
C'est pourquoi il est préférable d'utiliser des antennes directives et de les placer en hauteur ou dans le coin des pièces, afin de réduire la propagation en dehors des volumes concernés.

SSID (Service Set IDentifier)

Le SSID est un identifiant de 32 caractères propre à chaque réseau et qui est présent en tête des messages.
Le SSID désigne le réseau auquel est attaché le poste. Il faut donc choisir un identifiant spécifique, non intuitif.
Il en va de même avec les autres paramètres par défaut définis par le constructeur et facilement repérés. Il est intéressant, par exemple, que l'on ne puisse pas deviner de l'extérieur la marque et le modèle des différents composants (car ils ont tous leurs points faibles spécifiques).
Selon une étude RSA, 39 % des réseaux Wi-Fi dans Paris conservent un nom de domaine explicite et ne modifie pas leurs paramètres systèmes.

WEP (Wired Equivalent Privacy)

C'est un système de cryptage de sécurité (40 à 128 bits) pour les liaisons par radio de type 802.11 (Wi-Fi, AirPort). La sécurité offerte par ce système est considérée comme moyenne car

• il utilise une clé publique de type RC4, qui doit être installée manuellement sur chaque poste,
• plus que le fait que la clé peut être percée assez facilement par un algorithme, son défaut est d'être rarement modifiée, pour ne pas dire (pire !) pas toujours installée,
• le système ne permet pas l'authentification des interlocuteurs.

Cette critique est un peu sévère. Il y a quand même moins de risques d'avoir un vicieux bien équipé en bas de chez soi, plutôt qu'en train de scanner toutes les adresses IP chez lui grâce au réseau Internet.
A mettre en place, donc, dans tous les cas.

WPA (Wi-Fi Protected Access)

Protocole de sécurité mis en place par la Wi-Fi Alliance (les fabricants) et qui offre un niveau de sécurité élevé.
Il fait appel au principe de cryptage des données TKIP (Temporal Key Integrity Protocol) qui créé dynamiquement une nouvelle clé pour chaque paquet de données transmises.
Cette clé intègre des données spécifiques aux utilisateurs :

• un code convenu : le "secret partagé" (Pre Shared Key),
• le SSID,
• les adresses physiques des éléments.

De plus, WPA prévoit l'authentification suivant deux niveaux :

• un mode entreprise : qui comprend l'existence d'un serveur d'authentification,
• un mode personnel : qui permet les liaisons point-à-point, sans authentification.

C'est une version anticipée de IEEE 802.11i.
Attention, les installations qui incluent matériel à la norme WEP et matériel à la norme WPA ne bénéficient que du niveau de sécurité WEP (principe du maillon le plus faible de la chaîne).

WPA2 (IEEE 802.11i)

C'est l'implémentation par la Wi-Fi Alliance du standard IEEE 802.11i homologué en juin 2004 par l'IEEE (Institut of Electrical Electronical Engineers).
Sécurisé par l'algorithme de chiffrement moderne AES (Advanced Encryption Standard), le matériel WPA2 est théoriquement compatible avec WPA.

Le danger des postes nomades

Un poste nomade présente 2 niveaux de faiblesse :

• lors de l'utilisation d'un hot spot, les cryptages de type WEP ou WPA sont généralement déconnectés. Le poste client est alors une cible potentielle pour un pirate situé à proximité,
• lorsqu'un ordinateur portable a été piraté, il devient un excellent relai pour une attaque du site central, puisqu'il sera reconnu par celui-ci comme un ami.

Les postes nomades requièrent donc une protection soigneuse, aussi bien pour eux mêmes, que pour le danger potentiel qu'il représente pour le site central (mise en place de firewalls individuels, communications en mode VPN...).

Firewall

Classiquement, le firewall isole le réseau de l'entreprise et ses postes de travail de l'extérieur, à savoir l'Internet.
En première approche, les postes clients reliés par Wi-Fi font partie du réseau interne et sont donc aussi placés derrière le firewall.
Une précaution efficace consiste à utiliser un firewall pour isoler la zone Wi-Fi du réseau principal.
Dans la pratique, tout se complique, pour deux raisons :

• les bornes Wi-Fi peuvent être disséminées çà et là dans les bâtiments pour compenser des problèmes de câblages
• les utilisateurs peuvent appartenir à des unités fonctionnelles mixant postes câblés et wireless et disposant donc théoriquement des mêmes prérogatives d'accès.

802.11 et les Réseaux sans fil

Real 802.11 security

Securing wireless LANs