Votre connexion wi-fi est-elle vraiment sécurisée ?
La connexion à Internet sans fil a révolutionné l’usage de l’informatique en entreprise. Il est maintenant possible d’ouvrir simplement son ordinateur portable à la cafétéria ou dans une salle de réunion, pour avoir accès au réseau de l’entreprise et effectuer dans de bonnes conditions une réunion d’affaires improvisée.
Cependant, la question de la sécurité revient souvent : si vous pouvez accéder à Internet depuis n’importe quel point de l’entreprise, juste en entrant un mot de passe, qu’en est-il de la sécurité du réseau et de toutes les informations sensibles qui y circulent ?
Il est donc grand temps, si vous avez un réseau wi-fi dans votre entreprise, de vous poser les questions suivantes : quels risques pèsent sur mon réseau ? Quels sont les protocoles qui permettent de le sécuriser et dans quelle mesure sont-ils efficaces ? Que puis-je faire pour améliorer la sécurité de mon réseau et protéger les données confidentielles qui y transitent ?
Nous allons répondre ensemble à ces questions.
Quels risques pèsent sur mon réseau ?
La principale différence entre un réseau classique câblé et un réseau wi-fi réside dans le sans-fil. Cela semble une évidence, mais c’est cette différence qui explique la plupart des risques encourus lorsqu’on se sert d’un réseau wi-fi. En effet, on n’est plus lié physiquement au réseau par un câble, mais on peut se placer n’importe où dans le rayon d’émission du routeur pour capter le signal. Et cette « ouverture » est la porte d’entrée idéale pour tous les malfaiteurs (pirates, espions industriels…) qui veulent profiter de votre réseau ou de vos informations. De nombreux outils ou appareils, pour pénétrer un réseau ou amplifier son rayon pour le capter de plus loin, sont aujourd’hui accessibles à un plus grand nombre que ceux nécessaires pour craquer un réseau filaire.
Pour corrompre votre réseau, il existe différentes méthodes :
- Le déni de service : l’attaquant empêche ou limite l’utilisation normale ou la gestion du réseau ou des appareils qui s’y trouvent, en inondant le réseau de messages à un rythme soutenu pour le faire saturer et empêcher le trafic légitime de circuler.
- L’écoute passive : l’attaquant contrôle passivement les communications sur le réseau, y compris les informations de connexion.
- L’entremise: l’attaquant incarne plusieurs parties autorisées sur le réseau : il va apparaître comme un client à un point d’accès et comme un point d’accès à un client… Il intercepte également les communications entre le point d’accès et le client, y compris les informations de connexion.
- Le déguisement : l’attaquant incarne un utilisateur autorisé et obtient avec des accès normalement non-autorisés.
- La modification de message : L’attaquant modifie un message légitime en effaçant, ajoutant ou réorganisant le contenu.
- La retransmission de messages : l’attaquant contrôle passivement les transmissions et retransmet les message, agissant comme s’il était un utilisateur légitime
- La réappropriation : l’attaquant vole ou fait un usage non autorisé du service
- L’analyse de trafic : l’attaquant contrôle passivement les transmissions pour identifier les schémas de communication et les participants.
La plupart de ces risques sont d’autant plus importants pour une entreprise que pour un particulier, car ils visent non pas à détruire le réseau ou à s’en servir pour leur propre usage (de préférence illégal), mais bien à collecter les informations qui y transitent, dans un but d’analyse ou de revente.
L’insertion dans le réseau d’un appareil corrompu n’est pas à exclure toutefois, mais c’est un risque commun aux réseaux filaires et sans fil.
Quels sont les protocoles qui permettent de sécuriser un réseau wi-fi ?
WEP (Wired Equivalent Privacy)
Conçu pour les réseaux locaux sans fil (WLAN : Wireless Local Area Network), le protocole WEP fournit une sécurité sans-fil équivalente à celle d’un réseau LAN filaire. Bien qu’il soit toujours considéré comme une protection disuasive, il possède plusieurs failles de sécurité connues que n’importe quel hacker un peu qualifié peut exploiter en peu de temps et de moyens.
Ces failles de sécurité ne peuvent pas être résolues par une reconfiguration du WEP, et augmenter la taille de la clé WEP n’augmentera que de manière minime la sécurité de votre réseau.
WPA (Wi-Fi Protected Access)
Le protocole WPA a été construit à partir du WEP, pour apporter un niveau de sécurité supérieur aux réseaux wi-fi. Il utilise le protocole de chiffrement TKIP (Temporal Key Integrity Protocol), qui utilise le même algorithme que WEP pour le chiffrement, mais ajoute une gestion de clé beaucoup plus sophistiquée et une vérification de l’intégrité des messages efficace. Le WPA remplace aujourd’hui le WEP comme norme de sécurité sur les réseaux wi-fi.
Ce n’est cependant pas un remède miracle, et comme pour toutes les nouvelles solutions de sécurité apparaissant sur le marché, des failles de sécurité sont rapidement trouvées. Comme avec son prédécesseur, on a trouvé dans le protocole WPA des faiblesses qui suffisent à un attaquant pour détruire un réseau. Les attaques par déni de service exploitent ainsi souvent les failles du WPA.
WPA est pour l’instant le standard de sécurité wi-fi le plus répandu pour protéger les connexions wi-fi et leurs utilisateurs, en demandant systématiquement l’authentification des utilisateurs et en chiffrant les échanges de données. Cependant, il montre vite ses limites dans les réseaux qui utilisent un clé pré-partagée (WPA-PSK : Pre-shared Key), puisque n’importe qui détenant cette clé peut entrer dans le réseau et observer les communications. C’est pourquoi WPA est plus efficace quand il est complété par d’autre systèmes de sécurité.
WPA-2
La seconde génération de WPA remplace la clé de chiffrement TKIP par le Standard de Chiffrement Avancé 128 bits (AES : Advanced Encryption Standard), pour correspondre aux normes de sécurité américaines.
Comme avec chaque génération de normes, on fait face à de nouveaux problèmes. WPA2 requiert une puce dédiée pour prendre en charge le chiffrement et le déchiffrement, ce qui nécessite une mise à jour matérielle pour beaucoup d’utilisateurs pour pouvoir en bénéficier.
Aujourd’hui, nous avons donc le choix entre une norme chère ou peu efficace pour protéger son réseau sans fil. L’administrateur réseau n’a pas la possibilité de créer un profil itinérant pour un utilisateur sans fil. Et aucune des technologies que nous avons mentionnées ne prend en compte les points d’accès corrompus et la protection des données de l’utilisateur sans fil en cas de corruption.
Que puis-je faire pour améliorer la sécurité de mon réseau wi-fi ?
Il existe différentes solutions pour améliorer la sécurité. La plupart requièrent l’installation d’un matériel supplémentaire sur votre réseau.
A Ganesh Distribution, nous avons choisi Cyberoam qui, en plus d’offrir d’inclure tous les standards de sécurité dans son installation, a décidé de baser sa politique de sécurité sur l’utilisateur, en ajoutant une huitième couche aux 7 niveaux de sécurité habituellement reconnus : les contrôles de politique de sécurité basée sur l’identité de l’utilisateur.
Cette couche 8 « Pare-feu basé sur l’identité » a été conçue pour répondre au besoin d’une technologie plus robuste pour sécuriser les LAN. Cyberoam propose l’identité de l’utilisateur comme critère de correspondance dans les règles de pare-feu. Cela permet aux entreprises de se placer en avance par rapport aux appareils et applications de sécurité qui lient les règles de pare-feu aux adresses IP.
Grâce à cette technologie, vous avez la possibilité de segmenter votre réseau wi-fi selon les différents profils d’utilisateurs (collaborateurs, visiteurs…). L’administrateur a également la possibilité de créer des profils itinérants pour les utilisateurs sans fils, ainsi qu’un accès au LAN filaire et aux serveurs externes basé sur l’identité de l’utilisateur.
Ainsi le réseau exige une authentification solide de l’utilisateur, et bloque les tentatives de corruption et de corruption du réseau et des données qui y circulent.
Vous souhaitez plus de renseignement sur les technologies mises en place par Cyberoam pour sécuriser votre infrastructure informatique ? Contactez-nous !
