AccueilCCNACCNA coursIntroduction à la sécurité WiFi

Introduction à la sécurité WiFi

Cette article n’est plus d’actualité pour le nou­veau CCNA mais je pense qu’il est inté­res­sant pour la connais­sance générale 🙂

Avec l’ex­plo­sion du mar­ché des télé­phones mobiles mais sur­tout des tablettes, le WiFi renaît de ses cendres.

Il y a quelques années, on pou­vait trou­ver du WiFi dans cer­taines entre­prises mais fran­che­ment on trou­vait sur­tout du WiFi chez le par­ti­cu­lier comme vous et moi.

Les entre­prises ne voyaient pas trop l’a­van­tage d’ins­tal­ler du WiFi dans leur locaux du fait de la qua­li­té assez faible de trans­mis­sion, des pertes de paquets, de la latence et pour cou­ron­ner le tout, des failles de sécu­ri­té.

Alors non, pas beau­coup d’en­tre­prises ne sou­hai­taient ins­tal­ler du WiFi dans leurs locaux… mais ce n’é­tait qu’une ques­tion de temps…

Le retour de la revanche de la contre attaque

Il y a 2 fac­teurs qui ont rame­né le WiFi sur le devant de la scène :

  • le WiFi per­son­nel avec les mil­lions de box ven­dus aux citoyens qui a incons­ciem­ment pous­sé les entre­prises à faire de même (ça craint un peu qu’une entre­prise soit moins bien lotie qu’un par­ti­cu­lier…). Et sou­vent ça venait des sphères hautes de l’en­tre­prise : comme par exemple le PDG qui ne com­prend pas pour­quoi il ne peut pas uti­li­ser son ordi­na­teur por­table en WiFi lors­qu’il est dans le sofa « Roche Bobois » de son bureau… rigo­lez pas, c’est déjà arri­vé. Et hop 4 mois plus tard, une borne WiFi était ins­tal­lé dans son bureau… la magie de l’autorité 🙂

  • les tablettes… alors là, c’est deve­nu de la folie ! Les entre­prises ins­talle du WiFi dans tous les sens pour que n’im­porte qui puissent accé­der à Inter­net avec sa tablette. C’est véri­ta­ble­ment la vente des tablettes qui a fait reve­nir les pro­jets WiFi chez les inté­gra­teurs. Mer­ci qui ? Apple, Sam­sung, Archos…
Et c’est même deve­nu une sorte de drogue car il est com­mun que lors­qu’une per­sonne réserve un hôtel pour ses vacances, elle regarde s’il y a du WiFi à dis­po­si­tion, non ? Vous ne l’a­vez jamais fait ?
Allez je ne vous en veut pas, on est tous un peu Geek sur les bords 🙂

Et la sécurité dans tout ça ?

Avant tout, lisez/relisez le cha­pitre d’intro­duc­tion du WiFi, vous y trou­ve­rez des infor­ma­tions impor­tantes pour le CCNA.

Qui pirate le WiFi ?

Fran­che­ment, je peux clai­re­ment dire tout le monde !
Et oui, qui n’a jamais essayé de se connec­ter à une borne WiFi dans la rue, chez les voi­sins, dans une entre­prise, chez un client… et j’en passe.
Aujourd’­hui, on essai d’a­voir Inter­net sur son télé­phone tout le temps. Alors certes la 3G/4G per­met ça mais clai­re­ment pas au débit du WiFi. Alors quand on est chez quel­qu’un notre por­table bas­cule auto­ma­ti­que­ment sur une liai­son WiFi qui traîne par là, on ne sait jamais 🙂
Par­mi ces per­sonnes, une caté­go­rie de gens est appe­lée les « War Dri­vers ». Ce sont des per­sonnes qui espionnent / se baladent en voi­ture dans les rues à la recherche de WiFi « ouvert », c’est à dire de WiFi non pro­té­gé par un mot de passe. Puis ils éta­blissent une car­to­gra­phie iden­ti­fiant tous les WiFi gra­tuits en fonc­tion de la localisation.
Vous allez me dire que c’est débile car main­te­nant la 3G/4G est qua­si­ment par­tout. Oui c’est vrai mais ça ne l’é­tait pas dans les années 2000.
Donc pre­mière mesure de sécu­ri­té ; c’est inter­dire n’im­porte qui de se connec­ter à son WiFi tout sim­ple­ment en effec­tuant une authen­ti­fi­ca­tion (par un mot de passe par exemple) lors de la ten­ta­tive de connexion.
Il est inté­res­sant de connaitre cette notion de « War Dri­ver » car c’était une ques­tion au pré­cé­dent CCNA.

Est-ce que mes données sensibles sont plus facilement accessibles en WiFi ?

Quand on est dans un réseau filaire, votre ordi­na­teur trans­met vos don­nées sen­sibles sur le câble cuivre/optique, qui est phy­si­que­ment connec­té à un switch, qui est lui même phy­si­que­ment connec­té à un autre switch… jus­qu’au rou­teur de sor­tie Internet.
Le fait qu’un pirate veuille vous déro­ber vos don­nées (je parle ici de pira­tage au niveau réseau et pas au niveau appli­ca­tif comme par exemple un virus), il faut qu’il ait phy­si­que­ment accès au câble, ou au switch. L’at­taque n’est pas si facile que ça il faut l’avouer.
En revanche, lorsque votre ordi­na­teurs envoient ces mêmes don­nées sen­sibles mais cette fois par la carte WiFi, et bien vos don­nées partent dans les airs pour atteindre la borne WiFi qui se trouve 50 mètres plus loin.
Et c’est là où est tout le pro­blème, les ondes radios partent dans tous les sens, attei­gnant bien la borne WiFi mais attei­gnant aus­si la carte WiFi du pirate qui se trouve lui à 20 mètres de vous (mais si rap­pe­lez vous, votre col­lègue que vous détestez).
Rien ne l’empêche d’ins­tal­ler un logi­ciel (par exemple Wire­shark) qui pren­dra le contrôle de sa carte WiFi et lui per­met­tra de récu­pé­rer tous les paquets des ondes radios que sa carte WiFi « voit » passer.
L’at­taque est beau­coup plus simple et vous n’y voyez que du feu ! Pas besoin d’al­ler for­cer un local tech­nique pour ins­tal­ler un snif­feur réseau (tou­jours Wire­shark). La carte Wifi du pirate le fait très bien tout seul.
Donc deuxième mesure de sécu­ri­té pour pro­té­ger les don­nées sen­sibles : chif­frer les trames WiFi pour que lors du trans­port dans les airs elles soient illisibles.

Est-ce que la disponibilité du WiFi est identique au filaire ?

Autre point impor­tant, sur­tout dans les entre­prises, c’est la dis­po­ni­bi­li­té du service.

Ima­gi­nez-vous dans une salle de confé­rence avec le big boss en visio­con­fé­rence direc­te­ment de New-York. Le vidéo pro­jec­teur com­mu­nique en Wifi et vous voyez la tête de votre patron sur un écran géant Et puis PAF d’un coup, l’i­mage saute ain­si que le son, vous ne voyez plus votre patron (cer­tains me diront la chance!).

Et tout ça parce que votre sta­giaire s’est amu­sé à faire une attaque en déni de ser­vice sur la borne WiFi qui fait le lien entre le réseau filaire et le vidéo-pro­jec­teur. Moche le stagiaire…

Sauf que vous êtes le res­pon­sable de l’in­fra­struc­ture IT de la com­pa­gnie. Ima­gi­nez la réac­tion de votre par­ton à New-York… pen­sez à faire vos bagages, cher­chez une autre boite et au retour de votre boss, ce sera votre sta­giaire qui pren­dra votre place 🙂

Un des gros pro­blèmes d’une infra­struc­ture WiFi est la dis­po­ni­bi­li­té. Il faut mettre en place des méca­nismes qui per­mettent de limi­ter les dégâts et d’i­den­ti­fier les poten­tielles attaques et les contre-car­rés, ou du moins les atténuer.

Tous ces méca­nismes font par­ti d’un sys­tème de pro­tec­tion qu’on appelle « W‑IDS » ou Wire­less Intru­sion Detec­tion System.

Ce qu’il fallait retenir pour l’ancienne version du CCNA

Il faut rete­nir les points suivants :

  • On authen­ti­fie les ordinateurs/portables/tablettes qui sou­haitent uti­li­ser le WiFi
  • On chiffre les trames WiFi pour sécu­ri­ser les don­nées qu’elles transportent
  • On met en place des méca­nismes de détec­tion d’in­tru­sion pour atté­nuer tous types d’at­taques contre une infra­struc­ture WiFi. Ces méca­nismes se nomment W‑IDS, Wire­less Intru­sion Detec­tion System

2 Commentaires

  1. Salut Cyril,
    Encore moi avec mes remarques quotitdiennes :
    En fait je suis très content pour ce tuto. Je vou­drai néa­moins pré­ci­ser une erreur de frappe : Dans le 5e para­graphe du sous trire « Est ce mes don­nées.…… » tu as écrit « Rien de l’empêche d’installer un logi­ciel » au lieu de « Rien ne l’empêche.….. »
    Bonne soirée

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Les plus populaires