Menaces courantes pour les réseaux sans fil


Les réseaux sans fil sont de plus en plus courants dans les organisations. Avec l'augmentation des attaques sur les réseaux sans fil, la sécurité sans fil garantit que l'accès non autorisé aux réseaux sans fil est limité.

Plusieurs raisons peuvent être à l'origine de l'augmentation des attaques sur les réseaux sans fil. Contrairement aux réseaux câblés, qui nécessitent qu'un attaquant accède physiquement au réseau, avec les réseaux sans fil, l'attaquant n'a besoin que d'être à proximité. Par conséquent, la nature même d'un réseau sans fil, qui permet un accès facile aux utilisateurs finaux, est à l'origine de l'augmentation des attaques.

Les menaces courantes pour la sécurité des réseaux sans fil sont présentées ci-dessous, ainsi que la manière dont vous pouvez vous en protéger.

7 menaces courantes pour les réseaux sans fil

  • Si les actions malveillantes sont monnaie courante, les réseaux sans fil sont également menacés par des actions non malveillantes. Il existe de nombreux exemples où des erreurs innocentes, mais négligentes, ont été à l'origine d'une violation importante de la sécurité. Nous présentons ci-dessous sept des menaces les plus courantes pour les réseaux sans fil.
    Problèmes de configuration - Configurations incomplètes ou erreurs de configuration.
  • Déni de service - L'attaquant envoie de grandes quantités de trafic (ou de virus) via le réseau dans l'intention de submerger ou de détourner les ressources.
  • Écoute clandestine ou capture passive - L'attaquant écoute à portée d'un point d'accès dans le but de capturer des informations sensibles.
  • Points d'accès pirates (ou non autorisés/ad hoc) - Usurper l'identité d'un point d'accès (PA) légitime et tromper les dispositifs sans fil pour qu'ils s'y connectent.
  • Attaques de jumeaux maléfiques - Semblable à la précédente, mais ici l'attaquant imite un point d'accès et fournit un signal plus fort pour que les utilisateurs autorisés se connectent automatiquement.
  • Piratage de dispositifs sans fil perdus ou volés - Les cybercriminels évaluent le dispositif physique pour y déceler des faiblesses et des vulnérabilités, ce qui peut leur permettre de contourner le mot de passe pour y accéder.
  • Le parasitisme - Bien qu'il ne soit généralement pas malveillant, les utilisateurs non autorisés se servent de votre réseau sans fil pour obtenir un accès gratuit. Que cette pratique soit malveillante ou non, elle n'en comporte pas moins des conséquences sur le plan de la sécurité.

Protection de votre réseau sans fil

De nombreuses petites et moyennes entreprises cherchent à sécuriser leur réseau sans fil en limitant l'accès aux seuls appareils autorisés. Pour sécuriser votre réseau sans fil, il existe trois techniques courantes. Ces techniques peuvent être utilisées soit indépendamment les unes des autres, soit collectivement :

Prévention de la diffusion du SSID
Filtrage des adresses MAC
Activation du cryptage Wi-Fi (WEP et WPA)

Nous expliquons ici chacune de ces techniques de manière plus détaillée.

Voir aussi : Sécurité Wi-Fi : Sécurisation de votre réseau sans fil

Prévention de la diffusion du SSID

Chaque réseau sans fil possède une identité, connue sous le nom de SSID (Service Set Identifier). Cet identifiant est diffusé pour que tous les périphériques sans fil de la zone soient informés de leur présence.

Le périphérique client sans fil affiche généralement une liste de réseaux Wi-Fi à portée, classés par nom. Un utilisateur peut sélectionner le réseau dans la liste et les informations d'identification associées pour établir une connexion sans fil. Si les informations d'identification sont incorrectes, ou si le périphérique sans fil client ne connaît pas le nom du réseau sans fil, aucune connexion ne peut être établie.

La technique de sécurité consiste à empêcher votre réseau sans fil de diffuser son SSID. Cette technique n'est pas reconnue comme une méthode de sécurité robuste. Il s'agit plutôt d'une gêne pour les attaquants potentiels comme pour les utilisateurs.

La désactivation de la capacité de diffusion du SSID signifie que les utilisateurs de bonne foi qui souhaitent se connecter à votre réseau sans fil devront identifier le nom à l'avance.

Dans un petit bureau, où il n'y a qu'une poignée de dispositifs sans fil, cette méthode protégera votre SSID des bureaux et utilisateurs voisins.

Pour une petite entreprise, telle qu'un hôtel ou une maison d'hôtes, il faudra identifier un mécanisme pour informer les nouveaux utilisateurs du nom du SSID/réseau. En outre, une procédure permettant de changer le nom périodiquement devra être mise en place.

Filtrage des adresses MAC

Le filtrage d'adresses MAC consiste à restreindre l'accès au réseau sans fil en fonction de l'adresse MAC. Cette approche constitue une méthode de sécurité très puissante, qui vous permet de limiter l'accès à votre réseau sans fil par des périphériques spécifiques.

Chaque appareil qui se connecte à un réseau câblé ou sans fil possède un identifiant MAC (media access control). Vous pouvez en savoir plus sur les identifiants MAC ici.

Chaque adaptateur réseau possède un identifiant MAC unique, ou adresse, attribué par le fabricant de l'adaptateur.

Pour configurer le filtrage des adresses MAC sur votre réseau Wi-Fi, chaque point d'accès sans fil doit être configuré pour n'autoriser que les communications provenant d'adresses MAC spécifiques. Dans la plupart des cas, cette configuration peut être effectuée via l'interface de votre routeur sans fil.

Le filtrage par adresse MAC nécessite les éléments suivants :

L'adresse MAC de chaque périphérique sans fil (ordinateur/portable/smartphone) qui est autorisé à se connecter au réseau sans fil.
L'entrée de ces adresses MAC dans la liste des adresses permises/autorisées sur le routeur sans fil.

Il convient de noter que les cybercriminels peuvent imiter l'adresse MAC à l'aide d'un équipement spécialisé. Malgré cela, le filtrage des adresses MAC
Annonce

Le filtrage d'adresses MAC est une méthode de sécurité robuste car elle permet de restreindre l'accès par appareil. Toutefois, cette méthode de sécurité peut s'avérer ardue pour les organisations disposant d'un grand nombre de dispositifs sans fil.

De même, cette méthode de sécurité est inadaptée aux organisations où le dispositif client sans fil change fréquemment, comme dans un hôtel, un café, etc., en raison de la nécessité de trouver chaque adresse MAC pour chaque dispositif.

Toutefois, si votre inventaire de périphériques sans fil est essentiellement statique, le filtrage des adresses MAC est recommandé.

Activation du cryptage Wi-Fi

L'utilisation de techniques de cryptage sans fil pour sécuriser votre réseau sans fil sécurise les données transmises et reçues entre le point d'accès sans fil (WAP) et le périphérique sans fil. Les techniques de sécurité par cryptage sans fil rendent difficile la violation du signal sans fil par des personnes mal intentionnées.

WEP et WPA

Le cryptage Wi-Fi est disponible en deux méthodes :

WEP (Wired Equivalent Privacy)
WPA (Wireless protected access)

Développé aux premiers jours du Wi-Fi, le WEP (Wired Equivalent Privacy) a été créé en réponse au fait qu'il était plus difficile de crypter une transmission sans fil qu'une transmission filaire. Bien que le WEP ait été adapté à son époque, avec l'évolution des ordinateurs et de l'informatique, la sécurité WEP peut désormais être facilement dépassée.

Heureusement, depuis l'avènement du WEP, d'autres protocoles de sécurité sans fil ont été développés. Vous trouverez ci-dessous un résumé des protocoles de cryptage sans fil :

Wired Equivalent Privacy (WEP) : Le plus ancien protocole de cryptage s'est toutefois révélé vulnérable. Au fil des ans, un nombre croissant de failles de sécurité ont été découvertes.
Wi-Fi Protected Access (WPA) : Version originale du protocole WPA. Sécurité améliorée, mais considérée désormais comme vulnérable aux intrusions. Remplacée par WPA2. Utilisait le protocole d'intégrité des clés temporelles (TKIP) comme méthode de cryptage.
Wi-Fi Protected Access 2 (WPA2) : Tout appareil fabriqué après 2006 avec un logo "Wi-Fi" doit prendre en charge le cryptage WPA2. Utilise la norme de cryptage avancée (AES).

Le WPA offre les algorithmes de sécurité suivants :

PSK (Pre-Shared Key) - Également connu sous le nom de WPA-PSK. Un seul mot de passe s'applique à tous les utilisateurs, qui est défini sur un routeur sans fil ou un point d'accès (AP). Les utilisateurs doivent saisir le mot de passe lorsqu'ils se connectent au réseau Wi-Fi. L'accès sans fil ne peut pas être géré de manière individuelle ou centralisée. Les mots de passe WPA-PSK sont stockés sur le périphérique client sans fil. Par conséquent, toute personne utilisant le périphérique client sans fil peut se connecter au réseau sans fil et voir le mot de passe.
WPA-Enterprise (WPA-802.1x, RADIUS) - Bien que plus complexe à configurer, WPA-Enterprise offre un contrôle individualisé et centralisé de l'accès à votre réseau sans fil. WPA-Enterprise doit nécessiter un serveur RADIUS pour l'authentification des clients. Les clés de cryptage sont créées et attribuées de manière sécurisée par session utilisateur, une fois que l'utilisateur présente ses informations d'identification.
Wi-Fi Protected Setup (WPS) - Similaire à WPA-PSK, sauf que le mot de passe est généré par le routeur sans fil, au lieu d'être défini manuellement. Le WPS offre deux méthodes de connexion, soit par le biais d'un code PIN à 8 chiffres généré par le routeur sans fil, soit par le biais d'une connexion par bouton-poussoir. Il est conseillé de toujours opter pour la connexion par bouton-poussoir, car les codes PIN WPS peuvent être forcés en une journée environ.

Accès protégé Wi-Fi 3 (WPA3)

Sorti en 2018, le WPA3 est le protocole le plus actuel et le plus sécurisé actuellement disponible. WPA3 offre deux modes de fonctionnement différents :

WPA3-Personal - WPA3 personal utilise une clé de chiffrement de 128 bits qui est communiquée à la fois à l'AP et au client, avant l'établissement d'une connexion sans fil. Il utilise un protocole Forward Secrecy qui empêche les anciennes données d'être compromises par une attaque ultérieure et offre une résistance aux tentatives de deviner un mot de passe hors ligne.
WPA3-Enterprise - WPA3-Enterprise utilise un cryptage par clé de 192 bits. Il utilise en outre un vecteur d'initialisation de 48 bits garantissant un niveau de sécurité minimum.

La robustesse de toute technique de cryptage dépend de la manière dont le cryptage est mis en œuvre.

Les grandes organisations peuvent opter pour WPA-Enterprise, qui offre une plus grande protection car il utilise plusieurs clés de cryptage, qui ne sont pas partagées avec plusieurs hôtes.

Pour les petites et moyennes entreprises, le cryptage WPA2-PSK (AES) est plus rentable. Cependant, toute personne ayant un accès autorisé ou non peut décrypter les paquets.

Certains appareils offrent à la fois WPA et WPA2, avec TKIP et AES. Bien que cela assure une compatibilité maximale avec les anciens appareils que vous pouvez avoir, cela permet également à un attaquant de craquer les protocoles WPA et TKIP, plus vulnérables.

Dix conseils pour améliorer la sécurité de votre réseau sans fil

Pour assurer une protection maximale et maintenir l'essor de votre entreprise, il n'y a pas d'alternative à un réseau sans fil sûr, sécurisé et fiable. Vous voulez donner à votre entreprise les meilleures choses possibles.

Nous vous présentons ci-dessous quelques suggestions solides qui vous aideront à améliorer la sécurité de votre WLAN et à tirer le maximum de ce que les réseaux sans fil ont à offrir :

1. Restez vigilant - Ne supposez jamais que les pirates ne s'intéressent pas à votre entreprise. Vous n'êtes peut-être pas celui qu'ils visent, mais vous pourriez être un excellent support pour leur cible. Pour mieux comprendre comment les menaces en ligne peuvent avoir un impact sur votre entreprise, lisez la rubrique Cybersécurité pour les entreprises.

2. Mettez à niveau les protocoles de sécurité de votre réseau local sans fil (WLAN) - Mettez à niveau la sécurité de votre appareil par rapport au protocole WEP (Wired Equivalent Privacy) de base. Vous pouvez opter pour les appareils modernes qui intègrent le protocole WPA (Wi-Fi Protected Access) pour une meilleure protection.

3. Vérifiez que votre équipement répond aux normes WLAN - Lorsque vous achetez un nouvel équipement WLAN, vous devez d'abord vérifier s'il répond aux normes requises pour les réseaux sans fil. Il est préférable de commander des équipements du même fabricant, afin qu'il n'y ait pas de problème de compatibilité par la suite.
Annonce

4. Activez les fonctions de sécurité du réseau local sans fil - N'oubliez pas d'activer les fonctions de sécurité telles que les restrictions d'adresse MAC, la diffusion de SSID et le cryptage Wi-Fi, lorsque vous installez le nouvel équipement. Vérifiez à nouveau si vous n'êtes pas sûr, car omettre la sécurité peut exposer l'ensemble de votre réseau à des attaques.

5. Assurez-vous que la sécurité physique est satisfaisante - Placez votre dispositif de transfert de données loin du mur extérieur de votre bâtiment afin de réduire les fuites de signaux radio. Vous éviterez ainsi tout risque d'interception extérieure.

6. Limitez l'accès aux seuls utilisateurs autorisés - Dans la plupart des cas, la plupart, voire la totalité, de vos employés seront autorisés à utiliser le Wi-Fi. Cependant, les employés doivent également avoir l'autorisation de la direction pour ajouter des points d'accès. Vous devez être très prudent à ce sujet car un seul point d'accès non sécurisé suffit à mettre tout votre réseau en danger. Vous pouvez en savoir plus sur les points d'accès et les autres composants de réseau sans fil.

7. Utilisez un VPN - Pour une sécurité de haut niveau, utilisez les dernières technologies et le cryptage comme les protocoles de communication SSL ou un réseau privé virtuel (VPN) pour protéger les données transférées. L'utilisation de pare-feu pour séparer le WLAN du reste du réseau serait un choix judicieux. Vous pouvez apprendre comment améliorer la sécurité du réseau avec un VPN et des pare-feu.

8. Surveillez et évaluez - Vérifiez votre réseau et vos journaux de temps en temps pour vous assurer de la sécurité du réseau. De plus, demander conseil à un expert vous permettra d'obtenir les meilleurs résultats.

9. Maintenez le matériel et le micrologiciel à jour - Assurez-vous que votre logiciel et le micrologiciel de votre routeur ou de votre point d'accès sans fil sont toujours mis à jour, car cela renforce la sécurité à chaque mise à jour.

10. Demandez l'avis d'un professionnel - Et enfin, si vous n'êtes pas doué pour les questions techniques, faites appel à un expert pour qu'il vérifie en profondeur vos mesures de sécurité.