N'TIC Magazine 15 - novembre 2007 Aujourd’hui le Wifi s’est démocratisé et est de plus en plus présent dans nos foyers, l’Assilabox d’EEPAD, par exemple, en est équipée.
Si vous ne savez pas ce qu’est le Wifi (WIreless FIdelity), sachez simplement que c’est une technologie permettant de mettre en place des réseaux informatiques
sans fil et de connecter des ordinateurs à internet sans aucun câblage.
Lors du déploiement d’un réseau sans fil chez soi, il faut particulièrement veiller à bien le sécuriser car n’importe quelle personne mal intentionnée qui
serait dans le périmètre de couverture de celui-ci pourrait essayer de l’utiliser pour accéder au web ou encore à vos fichiers personnels.
Les équipements WiFi étant nombreux et variés, Nous n’allons pas vous guider pas à pas dans la configuration de votre matériel mais uniquement vous
indiquer les mesures à prendre pour garantir un bon niveau de sécurité, n’hésitez donc pas à feuilleter le manuel de votre appareil pour avoir des renseignements
détaillés sur la configuration de celui-ci.
1. Changer le mot de passe de votre routeur wifi :
Votre routeur wifi est doté d’un login et mot de passe par défaut pour accéder à son interface de
configuration, cette dernière est accessible via un simple navigateur web en tapant l’adresse IP
du routeur (par exemple : http://192.168.30.1/ dans le cas de l’Assilabox). Toutes les personnes
connectées à votre wifi peuvent donc y accéder d’où l’importance de modifier le mot de passe
mis en place par le fabricant.
2. Activer le cryptage de votre réseau :
C’est la mesure la plus importante et la plus efficace pour la sécurisation de votre réseau wifi.
Il existe actuellement trois normes de cryptage :
WEP, WPA et WPA2.
Le WEP (Wired Equivalent Privacy) est souvent activé par défaut car étant compatible avec l’ensemble des équipements wifi, cela dit, ce protocole de cryptage est à éviter car il n’est plus sûr depuis quelques années et des outils permettant de décrypter les clés WEP circulent sur le net, ilsuffit de deux heures maximum pour pirater un réseau wifi protégé par une clé WEP de 128bits.
Le WPA (Wi-Fi Protected Access) et le WPA2 corrigent les faiblesses du WEP, le WPA2 est en fait
la version normalisée du WPA, il est compatible avec le mode ad-hoc et offre une meilleure sécurité
car il utilise respectivement les algorithmes CCMP et AES à la place des algorithmes Micheal
et RC4 du WPA.
Dans le cas d’un réseau de particulier, le WPA et WPA2 sont utilisés en mode PSK (Pre-Shared Key) avec lequel l’utilisateur doit choisir une paraphrase d’une taille maximale de 63 caractères.
La solidité des protections WPA et WPA2 dépend donc de la paraphrase que vous choisissez, il faut
alors veiller à utiliser une suite complexe de caractères aléatoires.
Bien qu’étant moins performant que le WPA2-PSK, nous vous conseillons tout de même d’utiliser un
cryptage en WPA-PSK car celui-ci est supporté par une plus large gamme d’appareils, les risques
d’incompatibilité sont ainsi moins grands.
Le WPA2 est utilisable uniquement si vous êtes sûr que l’ensemble de vos équipements (routeur,
carte wifi, dongle wifi…) supporte cette norme.
Important :
Sous Windows XP et Windows XP SP1, il est nécessaire d’installer un patch pour avoir la prise en charge de la
norme WPA, vous pouvez le télécharger depuis le site de Microsoft à cette adresse :
http://www.microsoft.com/downloads/details.aspx?FamilyID=5039ef4a-61e0-4c44-94f0-
c25c9de0ace9&DisplayLang=fr
3. Réduire le nombre de connexions simultanées possibles
En effet, il est plus sûr de réduire le nombre de connexions simultanées possibles au nombre de
PC que vous possédez, comme ça, il sera impossible à un tiers de se connecter à votre réseau si
toutes vos machines y sont déjà connectées.
Pour limiter le nombre d’ordinateurs connectables à votre routeur, il faut réduire la plage des
adresses IP distribuées par le serveur DHCP de votre appareil. Par exemple, si la plage IP du
DHCP commence à 192.168.1.2 et que vous avez 3 ordinateurs chez vous, il faudra configurer la fin
de plage IP du DHCP sur 192.168.1.4.
Pour les détails sur la configuration du serveur DHCP de votre équipement, consulter sa notice.
Notez aussi que pour augmenter encore plus la sécurité il est possible de désactiver le serveur
DHCP et d’attribuer des adresses IP fixes à vos ordinateurs en choisissant des plages IP non
standards. Cela dit, désactiver le DHCP se révèle peu pratique quelquefois.
4. Changer le nom de votre réseau wifi (SSID) :
Souvent les routeurs wifi ont un nom de réseau, SSID (Service Set ID), par défaut.
Ce nom peut servir à un pirate pour identifier la marque ou le modèle de votre matériel et ainsi
en déduire par exemple les login et mot de passe par défaut.
Sur un autre plan que celui de la sécurité, personnaliser le SSID de votre réseau permet d’éviter d’en avoir un semblable à celui de vos voisins et donc d’éviter certains problèmes de connexion.
Il existe aussi une option permettant de masquer votre SSID mais celle-ci n’apporte pas grandchose
en matière de sécurité car le SSID est tout de même affiché en clair dans les trames envoyées
par votre routeur wifi.
5. Filtrage des adresses MAC :
Certains modems/routeurs wifi proposent une option de filtration des adresses MAC, l’adresse
MAC (Media Access Control address) étant un identifiant physique stocké dans les cartes réseau
et interfaces réseau et qui est censé être unique pour chaque matériel.
Ainsi vous pouvez configurer votre réseau pour qu’il ne laisse se connecter que l’ordinateur ayant
une carte wifi avec une adresse MAC précise.
Cela peut sembler une bonne option de sécurisation sur le papier mais en pratique cela s’avère
être une mesure peu fiable tant il est facile de modifier l’adresse MAC d’une carte wifi ou d’une
carte réseau.
Un hacker pourrait donc modifier la sienne pour mettre celle d’une de vos cartes sans trop de problèmes.
6. Les autres mesures :
Il est possible de pousser un peu plus loin la protection de votre réseau sans fil en effectuant les
opérations suivantes :
- Désactiver la « réponse au ping » sur le port WAN.
Ce réglage permet de rendre votre réseau invisible aux utilitaires d’analyse du trafic.
- Activer et configurer le firewall de votre modem/ routeur wifi.
- Désactiver la configuration à distance du routeur.
- Réduire la portée du signal wifi de votre équipement pour ne couvrir que votre domicile.…etc.
Voilà, avec tout ça votre réseau sans fil domestique est beaucoup plus sécurisé qu’avec sa configuration basique, le risque qu’il se fasse pirater est minime.
Cela dit, dans le cas d’un réseau sans fil d’entreprise, pour garantir la sécurité des données il faut une configuration plus poussée, il est notamment recommandé d’utiliser un cryptage WPAAES
(autre dénomination du WPA2) couplé à un serveur d’authentification 802.1X (un serveur RADIUS par exemple).
Si vous êtes équipé de l’Assilabox d’origine SAGEM, il faut vous procurer gratuitement la carte
d’extension wifi auprès d’une des agences de l’EEPAD.
PRATIQUE :Le générateur de clé WPA
Pour obtenir facilement et rapidement une clé WPA sécurisée, vous pouvez vous servir du générateur
proposé par le site skyminds à cette adresse :
http://www.skyminds.net/outils/generateur-decles- wpa-securisees/
Sécurisation de son réseau WiFi Par Nassim KACHA
- nabil