Sécuriser son réseau WiFi est beaucoup plus important qu’on ne le croit. En effet, les protocoles WEP (Wired Equivalent Privacy) et même WPA (Wi-Fi Protected Access) contiennent des failles de sécurité rendant le piratage de notre connexion relativement facile.

Nous allons voir comment sécuriser notre réseau Wi-Fi en 5 points après avoir donné des explications.

Des menaces peu importe où l’on se trouve ?

Il n’est pas possible de contrôler la portée du réseau sans-fil, qui va très certainement loin dans votre voisinage. Et même si vous connaissez bien vos voisins et pensez qu’ils ne vous feront rien de mal, il faut savoir qu’il existe des pratiques spécialement destinées à rechercher des réseaux Wi-Fi ouverts ou faiblement sécurisés afin de s’y connecter pour y effectuer toutes sortes d’actions malveillantes.

On notera par exemple le fait d’intercepter les données transmises en clair ou le fait d’effectuer des piratages (de comptes, systèmes ou même films) via votre point d’accès et dont vous aurez à porter la responsabilité.

Ces pratiques sont appelées le WarDriving et le Warchalking. La première consiste à chercher des réseaux sans fils ouverts ou peu sécurisés via un smartphone ou un ordinateur portable, et la deuxième consiste à utiliser des symboles sous forme de tags dans les rues pour signaler des réseaux Wi-Fi ouverts.

wardriving

Une personne effectuant du WarDriving à l’aide d’une voiture.

WEP est-il vraiment si faillible ?

Le protocole WEP utilise l’algorithme de chiffrement à clé symétrique RC4 ainsi qu’une somme de contrôle pour assurer la confidentialité et l’intégrité des échanges entre machines.

Le problème est que cette clé est statique et donc partagée entre toutes les machines connectées à une même box. Ce qui permet de la retrouver en communiquant simplement avec le réseau.

En 2001 déjà, des chercheurs ont découvert que les premiers octets du flux utilisé pour le chiffrement ne sont pas aléatoires, et qu’en observant un grand nombre de messages chiffrés on pouvait en fait retrouver la clé…en quelques minutes !

Donc la réponse, c’est OUI, il est vraiment faillible.

Alors WPA c’est mieux ?

Pour combler les faiblesses de WEP, l’IEEE a développé un autre protocole de sécurisation des réseaux sans fils appelé WPA.

Le protocole WPA permet un meilleur chiffrement des données qu’avec le protocole WEP car il utilise des clés TKIP (Temporal Key Integrity Protocol) dynamiques. Ainsi, le WPA permet d’utiliser une clé par machine connectée à un réseau sans fil.

Les clés WPA sont donc générées automatiquement par le point d’accès sans fil.

Le protocole TKIP améliore la sécurité par rapport au WEP car :

  • Il double la taille du vecteur d’initialisation (bits aléatoires ajoutés aux données). Les programmes permettant de déterminer facilement la clé WEP constituent d’ailleurs une liste de ces vecteurs d’initialisation pour mener à bien l’attaque.
  • Le WPA double également le code d’intégrité du message passant de 4 à 8 octets.
  • Les clés de cryptage sont générées de façon périodique et automatique pour chaque client.

La Wi-Fi Alliance (l’association qui possède la marque Wi-Fi) a ensuite crée une nouvelle certification appelée WPA2 pour les matériels supportant le standard 802.11i. WPA2 est basé sur WPA, il supporte le cryptage AES au lieu du RC4 et offre de nouvelles fonctionnalités comme le « Key Caching » et la « Pré-Authentification ».

Pour résumer, le WPA-2 offre par rapport au WPA :

  • Une sécurité et une mobilité plus efficaces grâce à l’authentification du client indépendamment du lieu où il se trouve.
  • Une intégrité et une confidentialité fortes garanties par un mécanisme de distribution dynamique de clés.
  • Une flexibilité grâce à une ré-authentification rapide et sécurisée.

WPA3 est l’évolution logique de WPA-2. Il apporte quelques nouveautés mais reste basé sur le même mode de fonctionnement global.

Comment sécuriser son réseau Wifi ?

Voici à présent les 5 points pour sécuriser son Wi-Fi que je vais détailler par la suite :

  1. Chiffrer son réseau Wi-Fi
  2. Changer le mot de passe par défaut de la box
  3. Mettre à jour sa box
  4. Faire du filtrage MAC
  5. Changer le nom du réseau

Voici plus de détails :

1. Chiffrer son réseau Wi-Fi

On a vu qu’avec un réseau Wi-Fi, n’importe quelle donnée envoyée ou reçue peut être interceptée par n’importe qui disposant des outils nécessaires. Les renifleurs réseaux sont notamment utilisés pour lire le contenu en clair des messages qui transitent. Ces messages pouvant être des mots de passe et autres informations confidentielles.

Le chiffrement permet donc de rendre illisibles ces données même si elles sont interceptées. Pour cela il faut mettre en place le protocole WPA2 et surtout pas le protocole WEP.

Vous ne savez pas quel protocole de chiffrement vous avez actuellement ou souhaitez passer au WPA2, procédez comme suit :

  • D’abord il faut passer par le panneau d’administration de votre modem. Cela dépend de votre fournisseur d’accès, vous trouverez la démarche pour le votre ici.
  • Une fois dans votre panneau d’administration, cherchez l’option concernant le protocole de chiffrement et passer le en WPA2.

Voici un exemple avec WPA2 (CCMP) dans l’interface de Free :

sécuriser son réseau WiFi

2. Changer le mot de passe par défaut de la box

Si vous devez donner un nom d’utilisateur et un mot de passe pour entrer dans le panneau de configuration (chez Free il faut d’abord se connecter via son compte abonné), vérifiez d’avoir choisi un mot de passe compliqué et surtout pas celui par défaut. Il est possible que certains fournisseurs d’accès envoient le mot de passe par défaut par mail ou courrier.

C’est un mot de passe qu’il faut ensuite changer comme tous mots de passe par défaut. Certains identifiants d’accès à l’administration du modem sont parfois extrêmement évidents et connus de tous. En effet, certains sites répertorient les identifiants par défaut de la plupart des fournisseurs.

La politique de sécurité des mots de passe s’applique ensuite, à savoir un mot de passe compliqué et long, qui ne doit pas être sauvegardé dans le navigateur.

Plus d’informations sur les mots de passe.

3. Mettre à jour sa box

Les fournisseurs d’accès mettent éventuellement à disposition des mises à jour logicielles. Il s’agit de mises à jour qui peuvent être liées à la sécurité du modem. Elles sont donc par conséquent à prendre au sérieux et à faire dès que possible. Pour les modems récents, les mises à jour devraient par ailleurs être automatiques.

4. Faire du filtrage par adresse Mac

Une adresse Mac est une adresse stockée dans une carte réseau qui est unique au monde. Le filtrage par adresse Mac consiste donc à indiquer à votre modem que seules les personnes dont la carte réseau contient l’adresse Mac en question sont autorisées à se connecter.

Il y a des avantages comme des inconvénients : La sécurité est assurée dans le sens où vous décidez qui accède au réseau pour de bon, mais vous devrez ajouter des adresses Mac à chaque changement de cartes réseaux ou ajout de périphériques au réseau Wi-Fi.

EDIT: Le Mac spoofing est une technique permettant de modifier son adresse Mac de façon logicielle afin de se faire passer pour une autre machine. Le filtrage par adresse Mac n’est donc pas un vrai principe de sécurité. Merci à Schwarzer de l’avoir précisé.

Pour trouver l’adresse Mac de vos cartes réseaux sous Windows, effectuez la manipulation suivante:

  • Appuyez simultanément sur les touches Windows et R.
  • Tapez « cmd.exe ».
  • Tapez « ipconfig /all »
  • L’adresse Mac de la carte réseau en question se trouve sur la ligne « Adresse physique ».

adressemac

Le filtrage Mac se configure ensuite en fonction de votre fournisseur d’accès, vous devriez trouver l’option dans votre panneau d’administration.

5. Changer le nom du réseau Wi-Fi

Bien que cela ne joue que très peu sur la sécurité du réseau Wi-Fi en elle même, changer le nom du réseau (SSID) par défaut est un moyen d’indiquer aux potentiels pirates que vous prenez votre sécurité au sérieux. Il y a moins de chance qu’on attaque une personne qui semble s’y connaître par rapport à une personne qui semble débutante avec un nom de réseau par défaut.

Cela se fait là encore via votre panneau d’administration.

Lecture complémentaire :

Savoir qui utilise mon Wi-Fi.

Articles similaires

Menu