Hiérarchie des risques

La probabilité pour qu'un espion international suréquipé s'attaque à une PME de province ou de banlieue est bien entendu faible. Pourtant, le risque d'une intrusion par le réseau sans fil est, elle, bien réelle. Voici quelques exemples.
L'incident le plus fréquent est l'intrusion sur le réseau d'un salarié débrouillard, soit par jeu, ou pour défier sa hiérarchie, pour faciliter son propre travail, pour connaître la prime de fin d'année des cadres dirigeants, voire pour surfer en toute tranquillité sur Internet (ce ne sont que des exemples). Des incidents similaires peuvent se produire avec un voisin, s'apercevant par hasard qu'il peut pénétrer sur un réseau inconnu.
Comme le disait Georges Brassens, "la manie de l'acte gratuit se développe". Le war-driving, distraction nouvelle et contestable, consiste à circuler dans la ville avec un ordinateur portable ou un PDA équipés d'une carte Wi-Fi pour repérer et pénétrer dans les réseaux locaux mal protégés.
Il existe de nombreux logiciels conçus plus à cet effet qu'à un usage normal d'analyse de son propre réseau.
Les dégâts, volontaires ou involontaires, qui résultent de ces différentes intrusions peuvent être l'altération de données, la saturation de voies de communication, la prise de connaissance et la divulgation d'informations plus ou moins confidentielles...
Comme d'habitude, les dispositions sécuritaires doivent donc être proportionnées aux risques et inscrites dans un plan général apte à limiter à tous les niveaux les conséquences d'une intrusion (zonage, mots de passe...).

Limiter l'"arrosage"

Lors de l'installation d'un système Wi-Fi, on se pose d'abord la question de couvrir correctement les locaux. Ensuite, il apparaît qu'il est préférable de faire correspondre au plus juste, surface à couvrir, et surface réellement couverte.
Les ondes Wi-Fi ayant une portée limitée, c'est au voisinage immédiat des appareils que le danger est le plus grand.
C'est pourquoi il est préférable d'utiliser des antennes directives et de les placer en hauteur ou dans le coin des pièces, afin de réduire la propagation en dehors des volumes concernés.

SSID (Service Set IDentifier)

Le SSID est un identifiant de 32 caractères propre à chaque réseau et qui est présent en tête des messages.
Le SSID désigne le réseau auquel est attaché le poste. Il faut donc choisir un identifiant spécifique, non intuitif. Il en va de même avec les autres paramètres par défaut définis par le constructeur et facilement repérés. Il est intéressant, par exemple, que l'on ne puisse pas deviner de l'extérieur la marque et le modèle des différents composants (car ils ont tous leurs points faibles spécifiques).

WEP (Wired Equivalent Privacy)

C'est un système de cryptage de sécurité (40 à 128 bits) pour les liaisons par radio de type 802.11 (Wi-Fi, AirPort). La sécurité offerte par ce système est considérée comme moyenne car

• il utilise une clé publique de type RC4, qui doit être installée manuellement sur chaque poste,
• plus que le fait que la clé peut être percée assez facilement par un algorithme, son défaut est d'être rarement modifiée, pour ne pas dire (pire !) pas toujours installée,
• le système ne permet pas l'authentification des interlocuteurs.

Cette critique est un peu sévère, car il y a quand même moins de risques d'avoir un vicieux en bas de chez soi qu'en train de scanner toutes les adresses IP sur Internet.
A mettre en place, donc, dans tous les cas.

WPA (Wi-Fi Protected Access)

Protocole de sécurité mis en place par la Wi-Fi Alliance (les fabricants) et qui offre un niveau de sécurité élevé.
Il fait appel au principe de cryptage des données TKIP (Temporal Key Integrity Protocol) qui créé dynamiquement une nouvelle clé pour chaque paquet de données transmises.
Cette clé intègre des données spécifiques aux utilisateurs :

• un code convenu : le "secret partagé" (Pre Shared Key),
• le SSID,
• les adresses physiques des éléments.

De plus, WPA prévoit l'authentification suivant deux niveaux :

• un mode entreprise : qui comprend l'existence d'un serveur d'authentification,
• un mode personnel : qui permet les liaisons point-à-point, sans authentification.

C'est une version dérivée de IEEE 802.11i, attendue, elle, pour fin 2004. Normalement, elle est conçue pour assurer la compatibilité ascendante avec cette norme dès qu’elle sera publiée.
Attention, les installations qui incluent matériel à la norme WEP et matériel à la norme WPA ne bénéficient que du niveau de sécurité WEP (principe du maillon le plus faible de la chaîne).

Le danger des postes nomades

Un poste nomade présente 2 niveaux de faiblesse :

• lors de l'utilisation d'un hot spot, les cryptages de type WEP ou WPA sont généralement déconnectés. Le poste client est alors une cible potentielle pour un pirate situé à proximité,
• lorsqu'un ordinateur portable a été piraté, il devient un excellent relai pour une attaque du site central, puisqu'il sera reconnu par celui-ci comme un ami.

Les postes nomades requièrent donc une protection soigneuse, aussi bien pour eux mêmes, que pour le danger potentiel qu'il représente pour le site central (mise en place de firewalls individuels, communications en mode VPN...).

Firewall

Classiquement, le firewall isole le réseau de l'entreprise et ses postes de travail de l'extérieur, à savoir l'Internet.
En première approche, les postes clients reliés par Wi-Fi font partie du réseau interne et sont donc aussi placés derrière le firewall.
Une précaution efficace consiste à utiliser un firewall pour isoler la zone Wi-Fi du réseau principal.
Dans la pratique, tout se complique, pour deux raisons :

• les bornes Wi-Fi peuvent être disséminées çà et là dans les bâtiments pour compenser des problèmes de câblages
• les utilisateurs peuvent appartenir à des unités fonctionnelles mixant postes câblés et wireless et disposant donc théoriquement des mêmes prérogatives d'accès.