Wi-Fi : le réseau sans-fil
Vincent le 02 février 2003 (86 187 lectures)
La Sécurité
C’est le revers de la médaille. Vous ne pouvez en effet que très partiellement contrôler la diffusion des ondes radios. Et à moins de posséder une maison immense, ces ondes vont généralement bien plus loin que votre appartement. Plus la région dans laquelle vous vous trouvez est urbanisée et plus sa densité de population est élevée, plus le danger est grand. En particulier si vous habitez prés d’une zone de grand passage type aéroport/gare.
Plusieurs menaces peuvent apparaître:
Tout d’abord une connexion pirate : quelqu’un vient se brancher sur votre réseau et profite de votre abonnement Internet à votre insu. En allant plus loin, il se retrouve sur le même réseau que vous et donc peut facilement jeter un oeil sur les ordinateurs de votre réseau. Il est en effet plus facile de pirater un ordinateur si l’on se trouve dans le même réseau que lui.
Enfin, l’interception des données émises entre votre ordinateur et le point d’accès Wi-Fi. C’est un peu comme si l’on mettait votre téléphone sur écoute.
Mais tout n'est pas perdu : il existe plusieurs type de sécurité en standard sur les équipements Wi-Fi.
Tout d’abord le SSID (Service Set Identifier) qui a pour but de différencier un réseau d’un autre. Généralement votre point d’accès bénéficie d’un nom standard selon le constructeur. Ainsi CISCO a pour habitude de mettre « Tsunami », Linksys d’utiliser « Linksys ». J’ai même rencontré certains points d’accès ayant pour nom « default » ! La majorité des logiciels tentant de repérer et se connecter sur les réseaux Wi-Fi disposent de tous les noms utilisés par défaut par les constructeurs et les testent un par un. C'est pourquoi nous vous conseillons fortement de mettre un nom exotique à votre SSID…
Ce n’est pas tout, certains OS comme Windows XP intègre une gestion du Wi-Fi qui permet lors de l’activation de la carte et/ou au démarrage d’interroger les points d’accès et de s’y connecter directement. Il faut donc désactiver le broadcast du SSID au niveau du point d’accès ou (si la fonction n’est pas disponible) augmenter le Beacon Interval qui est la fréquence a laquelle le point d’accès transmets le SSID pour annoncer son existence.
Ensuite, l’authentification via adresse MAC : chaque carte réseau, y compris votre carte Wi-Fi, possède un numéro d’identification unique : c’est l’adresse MAC. La plupart des routeurs/points d’accès Wi-Fi possède une fonction permettant de gérer l’autorisation ou non à votre point d’accès en fonction des adresses MAC. Je ne saurais trop vous conseiller d’interdire toute connexion à votre point d’accès, sauf si la demande vient de l’adresse MAC de votre propre carte réseau. Comme toute protection, celle-ci n’est pas infaillible, car on peut « spoofer » cette adresse, c’est-à-dire maquiller l’adresse d’une carte et lui en donner une autre.
La seconde protection en standard est le « Wired Equivalent Privacy » (WEP). Pour faire court, cette protection repose sur le cryptage des données échangées entre les ordinateurs de votre réseau et le point d’accès sans-fil.
Le cryptage/décryptage des données se fait de manière totalement transparente pour l’utilisateur. Généralement, votre routeur/point d’accès vous permet de préciser si vous souhaitez utiliser ou non le WEP. Dans le cas ou vous souhaitez l’utiliser, il va falloir préciser un mot de passe sur lequel votre appareil va se baser pour créer une clef de cryptage. Cela rend beaucoup plus difficile la compréhension des données échangés si un pirate souhaite intercepter vos données. En revanche, le cryptage/décryptage des données engendre une baisse de performance : plus les données sont compressées, plus le débit sera réduit.
Le WEP se base sur l’algorithme RC4, un algorithme dont le mode de fonctionnement est bien connu. Encore une fois, cette protection n'est pas parfaite. Certains documents soulignent d'ailleurs le côté « passoire » de la norme Wi-Fi, en particulier les travaux de Nikita Borosov, Ian Goldberg et David Wagner, étudiants de l’université de Berkeley. Ceux-ci montrent qu’un pirate bien équipé ayant de solides connaissances peut facilement contourner la protection WEP.
Même si toutes ces protections ne sont pas infaillibles, et même si vos voisins ne sont pas tous des Kevin Mitnick en puissance, je vous conseille néanmoins de les utiliser, particulièrement si vous vous trouvez en centre-ville…
Suite aux nombreuses critiques d’experts concernant la sécurité de ce genre de solutions, une nouvelle norme devrait progressivement remplacer le WEP, afin de fournir toujours plus de protection. A titre indicatif, dans le domaine professionnel, sécuriser un réseau Wi-Fi passe (ou devrait passer) par la mise en place d’un voire de plusieurs firewalls et l’emploi des technologies Virtual Private Network (VPN).
C’est le revers de la médaille. Vous ne pouvez en effet que très partiellement contrôler la diffusion des ondes radios. Et à moins de posséder une maison immense, ces ondes vont généralement bien plus loin que votre appartement. Plus la région dans laquelle vous vous trouvez est urbanisée et plus sa densité de population est élevée, plus le danger est grand. En particulier si vous habitez prés d’une zone de grand passage type aéroport/gare.
Plusieurs menaces peuvent apparaître:
Tout d’abord une connexion pirate : quelqu’un vient se brancher sur votre réseau et profite de votre abonnement Internet à votre insu. En allant plus loin, il se retrouve sur le même réseau que vous et donc peut facilement jeter un oeil sur les ordinateurs de votre réseau. Il est en effet plus facile de pirater un ordinateur si l’on se trouve dans le même réseau que lui.
Enfin, l’interception des données émises entre votre ordinateur et le point d’accès Wi-Fi. C’est un peu comme si l’on mettait votre téléphone sur écoute.
Mais tout n'est pas perdu : il existe plusieurs type de sécurité en standard sur les équipements Wi-Fi.
Tout d’abord le SSID (Service Set Identifier) qui a pour but de différencier un réseau d’un autre. Généralement votre point d’accès bénéficie d’un nom standard selon le constructeur. Ainsi CISCO a pour habitude de mettre « Tsunami », Linksys d’utiliser « Linksys ». J’ai même rencontré certains points d’accès ayant pour nom « default » ! La majorité des logiciels tentant de repérer et se connecter sur les réseaux Wi-Fi disposent de tous les noms utilisés par défaut par les constructeurs et les testent un par un. C'est pourquoi nous vous conseillons fortement de mettre un nom exotique à votre SSID…
Ce n’est pas tout, certains OS comme Windows XP intègre une gestion du Wi-Fi qui permet lors de l’activation de la carte et/ou au démarrage d’interroger les points d’accès et de s’y connecter directement. Il faut donc désactiver le broadcast du SSID au niveau du point d’accès ou (si la fonction n’est pas disponible) augmenter le Beacon Interval qui est la fréquence a laquelle le point d’accès transmets le SSID pour annoncer son existence.
Ensuite, l’authentification via adresse MAC : chaque carte réseau, y compris votre carte Wi-Fi, possède un numéro d’identification unique : c’est l’adresse MAC. La plupart des routeurs/points d’accès Wi-Fi possède une fonction permettant de gérer l’autorisation ou non à votre point d’accès en fonction des adresses MAC. Je ne saurais trop vous conseiller d’interdire toute connexion à votre point d’accès, sauf si la demande vient de l’adresse MAC de votre propre carte réseau. Comme toute protection, celle-ci n’est pas infaillible, car on peut « spoofer » cette adresse, c’est-à-dire maquiller l’adresse d’une carte et lui en donner une autre.
La seconde protection en standard est le « Wired Equivalent Privacy » (WEP). Pour faire court, cette protection repose sur le cryptage des données échangées entre les ordinateurs de votre réseau et le point d’accès sans-fil.
Le cryptage/décryptage des données se fait de manière totalement transparente pour l’utilisateur. Généralement, votre routeur/point d’accès vous permet de préciser si vous souhaitez utiliser ou non le WEP. Dans le cas ou vous souhaitez l’utiliser, il va falloir préciser un mot de passe sur lequel votre appareil va se baser pour créer une clef de cryptage. Cela rend beaucoup plus difficile la compréhension des données échangés si un pirate souhaite intercepter vos données. En revanche, le cryptage/décryptage des données engendre une baisse de performance : plus les données sont compressées, plus le débit sera réduit.
Le WEP se base sur l’algorithme RC4, un algorithme dont le mode de fonctionnement est bien connu. Encore une fois, cette protection n'est pas parfaite. Certains documents soulignent d'ailleurs le côté « passoire » de la norme Wi-Fi, en particulier les travaux de Nikita Borosov, Ian Goldberg et David Wagner, étudiants de l’université de Berkeley. Ceux-ci montrent qu’un pirate bien équipé ayant de solides connaissances peut facilement contourner la protection WEP.
Même si toutes ces protections ne sont pas infaillibles, et même si vos voisins ne sont pas tous des Kevin Mitnick en puissance, je vous conseille néanmoins de les utiliser, particulièrement si vous vous trouvez en centre-ville…
Suite aux nombreuses critiques d’experts concernant la sécurité de ce genre de solutions, une nouvelle norme devrait progressivement remplacer le WEP, afin de fournir toujours plus de protection. A titre indicatif, dans le domaine professionnel, sécuriser un réseau Wi-Fi passe (ou devrait passer) par la mise en place d’un voire de plusieurs firewalls et l’emploi des technologies Virtual Private Network (VPN).
Sommaire
- 1. Intro / Intérêt / Fonctionnement
- 2. La sécurité
