WiFi et sécurisation : les recommandations simples de l'État

Le par  |  15 commentaire(s)
wifi

L'Agence nationale de la sécurité des systèmes d'information publie une note technique sur les recommandations de sécurité pour les réseaux WiFi.

Publié cette semaine par l'Anssi, ce document sur les recommandations de sécurité pour les réseaux WiFi s'adresse à un large public dont les particuliers. Pour ces derniers, il dresse une série de mesures simples à prendre afin de rendre son réseau WiFi personnel robuste.

Selon le constat dressé par l'Anssi, début 2013, près de la moitié des réseaux WiFi n'utilisent tout bonnement aucun moyen de chiffrement ou un moyen devenu obsolète. Un risque dès lors réel avec des données parfois sensibles qui peuvent être compromises.

La check-list pour les particuliers porte principalement sur les points suivants :

Pour les terminaux :

  • N'activer l'interface WiFi que lorsqu'elle celle-ci doit être utilisée ;
  • Afin de garder le contrôle sur la connectivité du terminal, désactiver systématiquement l'association automatique aux points d'accès WiFi configurés dans le terminal ;
  • Maintenir le système d'exploitation et les pilotes WiFi du terminal en permanence à jour des correctifs de sécurité ;
  • Éviter tant que possible de se connecter à des réseaux sans fil inconnus ou qui ne sont pas de confiance ;
  • Bloquer, par configuration du pare-feu local, les connexions entrantes via l'interface WiFi.


Pour les points d'accès WiFi comme une box, un routeur
:

  • Configurer le point d’accès pour utiliser un chiffrement robuste. Le mode WPA2 avec l'algorithme de chiffrement AES-CCMP est fortement recommandé. Pour les points d'accès personnels, utiliser le mode d'authentification WPA-PSK (WPA-Personnel) avec un mot de passe long (une vingtaine de caractères par exemple) et complexe, d'autant plus que ce dernier est enregistré et n'a pas besoin d'être mémorisé par l'utilisateur ;
  • Lorsque l'accès au réseau WiFi n'est protégé que par un mot de passe (WPA-PSK), il est primordial de changer régulièrement ce dernier mais également de contrôler sa diffusion. En particulier, il convient de : ne pas communiquer le mot de passe à des tiers non autorisés (prestataires de services par exemple) ; ne pas écrire le mot de passe sur un support qui pourrait être vu par un tiers non autorisé ; changer le mot de passe régulièrement et lorsqu'il a été compromis ;
  • Ne pas conserver un nom de réseau (SSID) générique et proposé par défaut. Le SSID retenu ne doit pas être trop explicite par rapport à une activité professionnelle ou une information personnelle ;
  • Désactiver systématiquement la fonction WPS (WiFi Protected Setup) des points d'accès en raison d'une vulnérabilité que cette fonctionnalité ré-introduit ;
  • Sécuriser l'administration du point d'accès WiFi : utiliser des protocoles d'administration sécurisés (HTTPS par exemple) ; connecter l'interface d'administration à un réseau filaire d'administration sécurisé, a minima en y empêchant l'accès aux utilisateurs WiFi ; utiliser des mots de passe d'administration robustes ;
  • Configurer le point d'accès pour que les événements de sécurité puissent être supervisés ;
  • Maintenir le firmware des points d’accès à jour.

Anssi-logo 

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1252962
Après cet article, faut arrêter de croire que la connexion Wifi est inviolable.... la preuve.
Même avec un chiffrement de sécurité, on peut être vulnérable sans le savoir.
Le #1253022
Oui mais avec une clé de 26 lettres, chiffres et signes aléatoires, et sans aucune suite logique, et utilisée avec un cryptage WPA2, il faut avoir le temps et le matériel ad hoc pour craquer l'accès.

De plus il faut bloquer les adresses MAC inconnues dans l'interface d'administration des box.
Le #1253032
lol... ce ne sont que des recommandations, mais on va vite voir HADOPI arriver pour en faire la référence.

- Comment on fait quand on a une Nintendo DS qui ne gère que le WEP ? Allo le fabricant ? besoin d'un firmware plus récent... pas possible sur ce modèle, achetez une nouvelle console...
- L'accès https à la box ok, mais encore faut-il que le fabricant l'ai prévu (Box SFR = pas de https)..
- Désactiver le WPS, ok, mais faudrait déjà que les FAI ne l'activent pas par défaut.
- Mot de passe robuste>allez dire ça à Alcatel. Depuis 2005, il utilisent un algo qui est vulnérable. La clé WEP ou WPA se déduit du SSID sur leur appareils (dont les TG de club-internet et bouygues)
- supervision des évènements =>Quelles FAI-box le permettent ?
- ne pas noter le mot de passe =>le dire aux FAI qui l'indiquent sous la box

Et pour finir, j'adore la remarque sur la longueur du mot de passe. C'est sur que c'est facile de la faire mémoriser par le PC ou le GSM, mais c'est aussi facile de retrouver cette clé par divers logiciels. Donc soit on met un truc simple à mémoriser qu'on tape à chaque fois, soit on mets un truc compliqué mais facile à pirater (faut juste un accès à une machine déjà connectée)

Bref, le wifi c'est de toute façon pas 100% sécurisé. Le WPA2, c'est bien, mais les failles sont ailleurs (cf injection arp).
Le #1253042
Sur ma box j'ai tout personnalisé : SSID, mot de passe, clé de cryptage, plage du DHCP etc ...

Ce qui permet quand même d'être un peu plus sécurisé que la moyenne des utilisateurs qui laissent leur box comme à la livraison.
Le #1253052
Tilt56 a écrit :

Oui mais avec une clé de 26 lettres et signes aléatoires, et sans aucune suite logique, et utilisée avec un cryptage WPA2, il faut avoir le temps et le matériel ad hoc pour craquer l'accès.


Le temps n'est plus un soucis depuis l'arrivée des "cloud crackers". Des centaines de machines sont utilisées pour générer des "hash" depuis des mots de passes aléatoires, et des centaines d'autres machines puisent ensuite dans ces bases de "hash" pré-calculés pour déchiffrer à partir d'un simple handshake.
J'ai perso un fichier basé sur 135 000 000 mots et combinaisons de français, et un fichier de hash de mots de passe de 1 à 8 caractères aléatoires. En général, ça m'ouvre 90% des réseaux que je teste (professionnellement, et avec accord écrit du proprio) et en moins d'une heure.


Le #1253062
Tilt56 a écrit :

Sur ma box j'ai tout personnalisé : SSID, mot de passe, clé de cryptage, plage du DHCP etc ...

Ce qui permet quand même d'être un peu plus sécurisé que la moyenne des utilisateurs qui laissent leur box comme à la livraison.


C'est un bon réflexe, mais peu d'abonnés internet le font. Les FAI ne leur explique pas comment faire. Pire, ils le décourage: essayez de désactiver le serveur dhcp d'une sfr box, et vous aurez un message vous disant que la TV risque de ne plus fonctionner...

Perso et sans être parano, j'ai un outils qui scanne mon réseau régulièrement et m'indique les IP et adresses mac nouvelles (ce qui ne devrait pas exister, puisque je rentre les machines une à une à la main). J'ai aussi un cisco en borne wifi, il me loggue les "anomalies" de connexion. ça reste léger, mais on voit combien les "voisins" testent chaque jour de se connecter..
Le #1253072
ViktorE a écrit :

Tilt56 a écrit :

Oui mais avec une clé de 26 lettres et signes aléatoires, et sans aucune suite logique, et utilisée avec un cryptage WPA2, il faut avoir le temps et le matériel ad hoc pour craquer l'accès.


Le temps n'est plus un soucis depuis l'arrivée des "cloud crackers". Des centaines de machines sont utilisées pour générer des "hash" depuis des mots de passes aléatoires, et des centaines d'autres machines puisent ensuite dans ces bases de "hash" pré-calculés pour déchiffrer à partir d'un simple handshake.
J'ai perso un fichier basé sur 135 000 000 mots et combinaisons de français, et un fichier de hash de mots de passe de 1 à 8 caractères aléatoires. En général, ça m'ouvre 90% des réseaux que je teste (professionnellement, et avec accord écrit du proprio) et en moins d'une heure.


Dans la vie, il est des choses qui ne se disent pas, au risque qu'elles se retournent contre toi..... on n'est jamais trop prudent.... surtout si on développe une stratégie qui "craque" les mots de passes.
Le #1253132
De toute façon j'habite à la campagne loin des hackers et vu le peu de puissance que je reçois des box voisines, je pense que je jouerai vraiment de malchance si un quidam venait à arriver à se connecter chez moi !
Anonyme
Le #1253152
Un autre point simple et qui n'est pas évoqué, c'est aussi de ne pas diffuser le SSID.

Mais il est vrai aussi que certains appareils ne permettent pas de se connecter à un réseau qui ne diffuse pas son SSID.
patheticcockroach Hors ligne VIP 7663 points
Le #1253292
ViktorE a écrit :

Tilt56 a écrit :

Oui mais avec une clé de 26 lettres et signes aléatoires, et sans aucune suite logique, et utilisée avec un cryptage WPA2, il faut avoir le temps et le matériel ad hoc pour craquer l'accès.


Le temps n'est plus un soucis depuis l'arrivée des "cloud crackers". Des centaines de machines sont utilisées pour générer des "hash" depuis des mots de passes aléatoires, et des centaines d'autres machines puisent ensuite dans ces bases de "hash" pré-calculés pour déchiffrer à partir d'un simple handshake.
J'ai perso un fichier basé sur 135 000 000 mots et combinaisons de français, et un fichier de hash de mots de passe de 1 à 8 caractères aléatoires. En général, ça m'ouvre 90% des réseaux que je teste (professionnellement, et avec accord écrit du proprio) et en moins d'une heure.


Le "cloud" ne défie pas encore les lois de la physique, quand même http://everything2.com/title/Thermodynamics+limits+on+cryptanalysis
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]