Réseau > Réseau > Réseau sans fil (Wi-Fi) : Sécurité)

Connexion réseau sans-fil (Wi-Fi) : Sécurité

Page précédente :

 

Réseau sans fil

 

La Sécurité en connexion Wi-Fi :

La sécurité est un point important avec une connexion Wi-Fi :
Particulièrement en ville.
Sans protection, votre voisin peut se connecter sur votre réseau !

Le pire des cas est le "piratage" de la connexion Internet :
La connexion peut être utilisée pour propager des virus, envoyer des mails injurieux, des spams, etc.
Hors, c'est l'abonné de la connexion Internet qui est responsable de son utilisation... donc vous !

 

Livebox, FreeBox, etc. sont protégées d'origine. Normalement, pas d'inquiétude dans le cadre d'une utilisation normale.
Cependant, une clé de sécurité n'est pas inviolable (se renseigner plus avant sur ce point si la sécurité du réseau est un point primordial).

 

Pour sécuriser son équipement, il faudra voir les points suivants :

Il existe trois possibilités pour protéger son réseau :
- utiliser une clé de cryptage,
- ne pas diffuser le SSID sur le réseau
- établir un filtrage sur les adresses MAC.

 

 

0 - Désactiver le WPS après utilisation :

Sur les Box récentes (Livebox 2 par exemple), il existe une fonctionnalité très pratique pour connecter un ordinateur ou une tablette au réseau Wi-Fi : le WPS

Au lieu de rentrer, manuellement, la clé de sécurité pour connecter l'ordinateur, on appuie sur le bouton Wi-Fi de la Box, et on dispose de quelques minutes pour se connecter automatiquement.

Pour des raisons de sécurité, on peut désactiver cette fonction après utilisation :

- aller dans l'interface de la Box : taper http://192.168.1.1 dans le navigateur Internet

- aller dans la partie configuration du Wi-Fi : Onglet Configuration, Livebox, Paramètres WiFi pour une Livebox 2

- désactiver la fonction WPS

 

Exemple, sur une Livebox 2 :

- désactiver "Wifi Easy pairing" (pour une connection avec le kit de connexion)
- désactiver "WPS pairing" (pour une connexion avec WPS)

WPS sur Livebox 2

 

 

1 - Utiliser une clé de cryptage :

C'est la solution la plus utilisée. Présente par défaut sur la plupart des connexions Wi-Fi.
Il s'agit de rentrer une "clé" ou un mot de passe pour accéder au réseau Wi-Fi.

 

Il existe différents niveaux de cryptage.

- Eviter la clé WEP
- Utiliser une clé WPA ou WPA2

 

WEP (Wired equivalent privacy) :

Clé sous la forme de nombres hexadécimaux (0 à 9 et A à F)
De longueur (puissance de chiffrement) différente : 64, 128 ou 256 bits.

Exemple :

03-AF-GC-2A-6F-23-4D-BB

Remarquer la limitation des caractères (0 à 9 et A à F = soit 16 possibilités) contrairement à un vrai mot de passe (0 à 9 et a à Z)

 

Le plus simple.
Souvent configuré par défaut (exemple : Livebox première génération)
Non compatible avec la norme 802-11n

A éviter. Car n'est pas assez sécurisé.
Préférer une clé en chiffrement WPA (avec un vrai mot de passe)

 

Voir aussi :

27/05/2008 : MacBidouille.com - SVM part en guerre contre la loi Hadopi, nous aussi
"tout le monde ne maîtrise pas les arcanes de la sécurisation d'un réseau wi-fi. Beaucoup, bien trop encore ne sont protégés que par une clé Wep, 64 ou 128 bits et se pensent en sécurité.
Pourtant, le Wep a vécu. Pour le prouver, nous avons mis en ligne une vidéo que nous avons réalisé et qui montre comment on peut trouver cette clé en moins de 4 minutes.

Les limites d'une clé WEP :
http://fr.youtube.com/watch?v=DBbic9hoRrc

Sachez également que si vous utilisez une protection WPA ou WPA2 avec une passphrase trop courte, vous êtes aussi vulnérable."

 

 

WPA (Wi-Fi Protected Access) et PSK (Pre-Shared Key) :

Clé sous la forme d'un mot de passe, librement définissable par l'utilisateur.

Utilise une authentification :
protocole PSK = Pre-Shared Key parfois appelé "WPA Personal"

 

Algorithme de chiffrement :

au choix :

- TKIP = Temporal Key Integrity Protocol
- AES = Advanced Encryption System

 

WPA = WPA + PSK + TKIP
WPA2 = WPA + PSK + AES

WPA2 est la solution la plus sécurisée.
D'après Jean-Claude Bellamy :
WPA2 est intégré dans XP SP3 (et donc OS suivants),
et à partir de XP SP2 avec le patch prévu dans la KB893357 mise à jour par la KB917021 :
http://support.microsoft.com/kb/917021/

 

C'est la meilleure solution actuellement.
voir :
http://fr.wikipedia.org/wiki/WPA

 

Exemple sur une Livebox 2 :

Dans Mode de sécurité : WPA/WPA2 (TKIP/AES)

Livebox 2 : WPA

 

Exemple sur un routeur Netgear :

Sécurité Wifi sur Netgear

 

 

Une page sur le site Microsoft :

Quelles sont les différentes méthodes de sécurité réseau sans fil ?

WPA (Wi-Fi Protected Access)
Il existe deux types d'authentification WPA : WPA et WPA2.
- WPA est conçu pour fonctionner avec un serveur d'authentification 802.1X qui distribue des clés différentes pour chaque utilisateur. On parle de WPA-Enterprise ou WPA2-Enterprise.
- Il peut également être utilisé en mode de clé prépartagée (PSK), où un mot de passe identique est attribué à tous les utilisateurs. On parle de WPA-Personal ou WPA2-Personal.

WEP (Wired Equivalent Privacy)
WEP est une technique de sécurité réseau plus ancienne qui prend encore aujourd'hui en charge des périphériques antérieurs. Toutefois, son utilisation n'est plus recommandée.

Authentification 802.1X
802.1X ne fonctionne pas avec des clés WEP (Wired Equivalent Privacy) ou WPA (Wi-Fi Protected Access)

 

 

2 - Ne pas diffuser le SSID sur le réseau :

Le SSID est le nom du réseau Wi-Fi (ex : Livebox-3456).
Par défaut, il est diffusé à la vue de tous.

C'est très pratique pour identifier la Box sur laquelle on veut se connecter. Mais la Box est visible.
Il vaut mieux désactiver la diffusion.

PS : Sauf que dans certains cas, cela est impossible car on ne peut alors rejoindre le réseau Wi-Fi (comme avec Linux ou Raspberry)

 

Si le SSID est diffusé sur le réseau (broadcast activé) :

- le nom du réseau Wi-Fi sera visible sur tous les ordinateurs situés dans les environs.

Exemple :

Avec une connexion Wi-Fi, on affiche tous les réseaux dont le SSID est diffusé.
Pour le pirate, il ne reste plus qu'à trouver le mot de passe...

Affichage du SSID

 

Si le SSID n'est pas diffusé sur le réseau (broadcast désactivé) :

- il faudra rentrer le nom du réseau pour s'y connecter.

C'est moins pratique. Car il faut connaître le SSID pour pouvoir s'y connecter. Mais c'est beaucoup plus sécurisé !

 

 

Désactiver le SSID sur une Livebox :

Sur une Livebox 2 :

- onglet Configuration, Livebox, Paramètres WiFi
- désactiver "Diffuser le SSID"

Livebox 2 : SSID

 

Sur une Livebox :

- aller dans la section "Réseau sans fil"
- décocher "Emission SSID"

SSID sur une Livebox

 

 

3 - Etablir un filtrage sur les adresses MAC :

L'adresse MAC n'a rien à voir avec les ordinateurs Mac(intosh).

Chaque élément de réseau (modem, routeur, switch, carte réseau, etc.) possède une adresse MAC.
Cette adresse est unique au monde.

On peut limiter l'accès d'un réseau wifi à certaines adresses MAC uniquement, celles du (ou des) ordinateurs autorisés à utiliser le réseau wifi.

Inconvénient : peu pratique pour les connexions occasionnelles.

 

Il faudra :
- connaître l'adresse MAC de l'ordinateur à autoriser,
- rentrer l'adresse MAC de l'ordinateur dans le routeur (ex : Livebox) pour qu'il soit reconnu et autorisé.

 

Pour afficher l'adresse MAC d'un ordinateur :

- ouvrir une fenêtre "Invite de commandes",
- taper :
ipconfig /all
Pour chaque élément de réseau :
- voir :
Adresse physique........ : XX-XX-XX-XX-XX-XX

 

Dans la configuration du routeur Wi-Fi :

- activer le filtrage par adresse MAC
- rentrer manuellement l'adresse MAC de chaque ordinateur pour qu'il puisse se connecter au réseau Wi-Fi.

 

Sur une Livebox 2 :

- onglet Configuration, Livebox, Paramètres WiFi
Dans Equipements autorisés :
- cliquer sur "Ajouter"
- rentrer manuellement l'adresse MAC de l'ordinateur

Livebox 2 : Adresse MAC

 

 

Voir aussi :

28/09/2007 : Clubic.com - Forces et faiblesses des sécurités Wi-Fi

 

 

Exemple de configuration : Linksys WRT54G :

La configuration se fait en 2 temps :

1 - Configuration de base du réseau :

Dans l'interface de configuration du Linksys :
- aller dans Wireless, Basic Wireless Settings

Wireless Network Mode :
- 4 choix possibles : Disabled (wifi désactivé), Mixed (activé), B-Only (uniquement Wifi B), G-Only (uniquement Wifi G)
Si on ne dispose que de matériel en Wifi G, on peut sélectionner ce réglage

Wireless Network Name :
- c'est là que l'on nomme son réseau Wifi = SSID = le nom d'accès pour se connecter à son réseau

Wireless Channel :
- on peut modifier le canal utilisé pour une meilleur connexion.

Wireless SSID :
- on peut choisir de désactiver la diffusion du nom du réseau. Ce dernier ne sera pas visible sur les ondes. Il faudra rentrer, manuellement, le nom du réseau pour s'y connecter.

Configuration Wi-Fi sur Linksys WRT54G

 

2 - Sécurité du réseau :

Il s'agit de choisir une clé de cryptage

Dans l'interface de configuration du Linksys :
- aller dans Wireless, Wireless Security

Security Mode :
- on a le choix entre Disabled (désactivé), WPA Personal, WPA Enterprise, WPA2 Personal, WPA2 Enterprise, RADIUS et WEP
WPA Personal est suffisant pour une utilisation privée - WEP est à éviter.

WPA Algorithms :
- on a le choix entre TKIP et AES

WPA Shared Key :
- on peut choisir librement son mot de passe.

Configuration Wi-Fi sur Linksys WRT54G