Publié cette semaine par l'Anssi, ce document sur les recommandations de sécurité pour les réseaux WiFi s'adresse à un large public dont les particuliers. Pour ces derniers, il dresse une série de mesures simples à prendre afin de rendre son réseau WiFi personnel robuste.

Selon le constat dressé par l'Anssi, début 2013, près de la moitié des réseaux WiFi n'utilisent tout bonnement aucun moyen de chiffrement ou un moyen devenu obsolète. Un risque dès lors réel avec des données parfois sensibles qui peuvent être compromises.

La check-list pour les particuliers porte principalement sur les points suivants :

Pour les terminaux :

  • N'activer l'interface WiFi que lorsqu'elle celle-ci doit être utilisée ;
  • Afin de garder le contrôle sur la connectivité du terminal, désactiver systématiquement l'association automatique aux points d'accès WiFi configurés dans le terminal ;
  • Maintenir le système d'exploitation et les pilotes WiFi du terminal en permanence à jour des correctifs de sécurité ;
  • Éviter tant que possible de se connecter à des réseaux sans fil inconnus ou qui ne sont pas de confiance ;
  • Bloquer, par configuration du pare-feu local, les connexions entrantes via l'interface WiFi.


Pour les points d'accès WiFi comme une box, un routeur
:

  • Configurer le point d’accès pour utiliser un chiffrement robuste. Le mode WPA2 avec l'algorithme de chiffrement AES-CCMP est fortement recommandé. Pour les points d'accès personnels, utiliser le mode d'authentification WPA-PSK (WPA-Personnel) avec un mot de passe long (une vingtaine de caractères par exemple) et complexe, d'autant plus que ce dernier est enregistré et n'a pas besoin d'être mémorisé par l'utilisateur ;
  • Lorsque l'accès au réseau WiFi n'est protégé que par un mot de passe (WPA-PSK), il est primordial de changer régulièrement ce dernier mais également de contrôler sa diffusion. En particulier, il convient de : ne pas communiquer le mot de passe à des tiers non autorisés (prestataires de services par exemple) ; ne pas écrire le mot de passe sur un support qui pourrait être vu par un tiers non autorisé ; changer le mot de passe régulièrement et lorsqu'il a été compromis ;
  • Ne pas conserver un nom de réseau (SSID) générique et proposé par défaut. Le SSID retenu ne doit pas être trop explicite par rapport à une activité professionnelle ou une information personnelle ;
  • Désactiver systématiquement la fonction WPS (WiFi Protected Setup) des points d'accès en raison d'une vulnérabilité que cette fonctionnalité ré-introduit ;
  • Sécuriser l'administration du point d'accès WiFi : utiliser des protocoles d'administration sécurisés (HTTPS par exemple) ; connecter l'interface d'administration à un réseau filaire d'administration sécurisé, a minima en y empêchant l'accès aux utilisateurs WiFi ; utiliser des mots de passe d'administration robustes ;
  • Configurer le point d'accès pour que les événements de sécurité puissent être supervisés ;
  • Maintenir le firmware des points d’accès à jour.

Anssi-logo