Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Sécurité Protection d'acces WiFi

Protection d'acces WiFi

80 réponses
Avatar
WinTerMiNator
Bonjour,



Je vois passer régulièrement des fils concernant la protection des réseaux
(familiaux) WiFi.



Les réponses données par les différents contributeurs sont souvent
incomplètes, voire contradictoires.



J'ai donc décidé d'apporter ma contribution au débat (et j'espère que
j'éviterai au moins de me contredire, à défaut d'être complet). ;-)



Les conseils que je donne supposent l'utilisation de Windows, mais peuvent
en grande partie s'appliquer à d'autres systèmes.



1) Schéma d'attaque:



Il faut avant tout définir contre quoi on veut se protéger. Voici un
scénario possible, en l'absence de protection du réseau WiFi.



- Un attaquant se connecte à un réseau WiFi "familial" (par exemple un
modem-routeur passerelle NAT parefeu, quelques postes de travail) accès WiFi
non protégé (= dansl'état du déballage).



- Il repère facilement le FAI et donc potentiellement le type du
modem-routeur, simplement par le nom du point d'accès ("Wanadoo xxx",
"Netgear"); ou bien en naviguant sur internet, va sur le site de la CNIL,
obtient l'adresse IP "vue d'internet" du modem-routeur, fait un "Whois" et
identifie le FAI.



- A partir de la liste des modem-routeurs loués par le FAI, et avec les docs
prises sur le site du FAI, l'attaquant détermine le nom d'utilisateur / mot
de passe par défaut (en général, admin / admin).



- Avec un "ipcfg /all" sous Windows il détermine l'adresse du modem-routeur
vue du réseau interne, se connecte en http au modem-routeur avec le nom
d'utilisateur et le mot de passe par défaut.



- Il prend le contrôle du modem-routeur (change le mot de passe), prend
connaissance du nom d'utilisateur et du mot de passe de connexion à
internet.



- Puis il pirate le compte sur le site du FAI (se créée une BAL, prend
connaissance des messages, se crée des pages persos ou change le contenu de
celles qui existent).



- Et peut aussi pirater le contenu des PC du réseau familial, si les
partages de fichiers sont activés (cas par défaut sous Windows).



- Il peut enfin se livrer sur internet à des activités délictueuses ou
frauduleuses, en toute impunité, en se faisant passer pour le détenteur du
compte qui pourra, lui, avoir maille à partir avec la justice...



Bref, sans protection, risque de dégâts maximaux.



2) La protection :



- Il vaut mieux avoir un poste connecté directement en ethernet (liaison
filaire) au modem-routeur, pour le configurer. A défaut, il faudra établir
d'abord une liaison WiFi non sécurisée, et faire vite pour la sécuriser!



- Avant tout, mettez à jour les systèmes d'exploitation des postes de
travail (sous XP le WiFi est intégré au système), le BIOS du modem-routeur
et ceux d'éventuels autres éléments flashables du réseau, les divers drivers
et programmes d'installation des éléments du réseau. Ceci permettra sans
doute de profiter des plus hauts degrés de protection, de boucher des
failles et corriger des bugs.



- Changez le ou les mots de passe du modem-routeur.



- Choisissez en tant que mode de chiffrement: WPA2 / PSK si tous les postes
le peuvent, ou WPA / PSK sinon (le WEP n'est pas sûr); activez le changement
périodique de clé (par exemple toutes les heures); utilisez AES comme
algorithme de chiffrement. Utilisez comme "secret partagé" une longue phrase
de passe. Configurez tous vos postes WiFi de la même manière que le
modem-routeur (ou laissez faire la recherche automatique de réseau) et
copiez la phrase de passe du secret partagé (à transporter dans un fichier,
sur une clé USB, puis copier / coller, ou CTRL C / CTRL V sous Windows, pour
éviter les erreurs de saisie).



- Une fois les liaisons WiFi configurées, créez ou configurez sur chaque
poste la connexion correspondante (celle qui utilise le dispositif WiFi),
avec attribution d'une IP fixe, unique, dans la même tranche que celle du
modem-routeur, l'IP du modem-routeur comme passerelle et serveur DNS (et
255.255.255.0 comme masque de sous-réseau si on vous le demande).



- Si le but de votre réseau local est le simple partage de la liaison à
internet, désactivez dans les propriétés des connexions WiFi les éléments
"Client pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes
pour les réseaux Microsoft". Ne laissez activé que TCPIP et éventuellement
un élément de type "Connexion 802.1x" rajouté parfois lors de l'installation
d'un dispositif de connexion WiFi sécurisée lorsqu'on utilise une ancienne
version de Windows (2000 par exemple). Dans les propriétés de TCPIP,
désactivez Netbios.



- Si vous voulez réellement partager des fichiers, songez à des serveurs /
clients FTP. Pour l'administration des postes à distance, songez à Ultra
VNC. Pour un partage d'imprimante, certains modem-routeurs font serveur
d'impression (USR 9108 par exemple). Bref, même si vous en avez envie,
évitez d'activer les éléments de réseaux Microsoft sur des connexions vers
internet!



- Limitez l'accès des postes autorisés à configurer le modem-routeur aux
seuls postes du réseau interne (liste limitative des IP des appareils
autorisés à administrer le mode-routeur, avec leurs adresses IP internes).
Désactivez le serveur DHCP du routeur.



- Vous pouvez si vous le désirez perdre (un peu) de votre temps avec
quelques babioles inutiles qui n'apporteront rien en matière de sécurité,
mais si ça peut vous rassurer, ça ne fait pas de mal:

* changer le nom SSID du réseau, et ne pas le diffuser ("on" arrivera quand
même à le retrouver, avec un détecteur de réseau WiFi couplé à un analyseur
de paquets) ;

* filtrer l'accès au réseau WiFi par les adresses MAC des dispositifs de
connexion (ça se retrouve, comme le nom SSID du réseau, et puis ça s'usurpe
avec des utilitaires à disposition sur internet) ;

* changer l'adresse par défaut du modem-routeur et la tranche d'adresse des
postes (ça ne sert à rien si le réseau n'est pas protégé, ça ne sert plus à
rien s'il est protégé) ;

* changer le nom du groupe de travail Windows (inutile car vous n'avez pas
de réseau Windows si vous avez suivi ces conseils) ;

* comme l'a suggéré un posteur, mettre une horloge sur l'alimentation
électrique du modem-routeur (s'il est correctement protégé, il l'est tout le
temps; s'il est mal protégé, il ne faut pas le mettre en service).




--
Michel Nallino aka WinTerMiNator
http://anonapps.samizdat.net (Anonymat sur Internet)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3 4 5
Avatar
Eric Masson
"nospheratus" writes:

'Lut,

Ecoute j'ai demandé à mon frere, ma mère, ma femme. Trois internautes.
Ils savent tous changer une adresse Ip mais aucun ne sait spoofé une
mac adresse. Pourtant ce sont tous des internautes. Ils m'ont meme
demandé ce que voulait dire spoofer. Fais un sondage ds ton entourrage
et tu verras que j'ai raison.


Et trois personnes sont suffisantes pour créer un échantillon
représentatif ?

Encore une fois je te le repete, n'importe qui sait changer son
adresse IP, mais tout le monde ne sait pas spoffer une mac adresse.


Il y a une personne plus haut dans ce fil qui t'a répondu qu'elle ne
savait pas le faire, ça ne te gène pas plus que ça de continuer à
affirmer que "tout le monde" sait le faire ?

Il y a un truc qui pardonne rarement en sécu, c'est d'être persuadé
d'avoir raison.

--
Niveau mental, a-t-elle/il dit.
Pas d'affolement : remplace donc mental par Marengo, tomates et

champignons devraient t'aider à digérer beaucoup plus aisément.
-+-DM In : <http://www.le-gnu.net> - Comment servir le neuneu -+-

Avatar
Eric Razny
Le Thu, 12 Oct 2006 14:39:56 +0000, nospheratus a écrit :

Ecoute j'ai demandé à mon frere, ma mère, ma femme. Trois
internautes.


Waou, un super échantillon statistique ça. Si je demande à trois potes
particuliers ils vont faire sauter ton wep en deux coups de cuillère à
pot...

Ils
savent tous changer une adresse Ip mais aucun ne sait spoofé une mac
adresse. Pourtant ce sont tous des internautes. Ils m'ont meme demandé
ce que voulait dire spoofer. Fais un sondage ds ton entourrage et tu
verras que j'ai raison.


Tu devrais te méfier. L'entourage de certains ici peut être particulier
:)

J'ai juste fais la remarque que restrindre par l'IP n'etait pas plus
performent que de restrindre par Mac adresse, et j'ai meme dis que au
contraire ce n'etait pas le cas. Encore une fois je te le repete,
n'importe qui sait changer son adresse IP, mais tout le monde ne sait
pas spoffer une mac adresse.


Faux. Je connais plein de monde (en particulier dans des entreprise avec
de "simples" utilisateur d'internet) qui ne savent même pas qu'on peut
mettre une adresse IP en dur (ou même qui n'ont qu'une vague idée de ce
qu'est une adresse IP).

Maintenant ici c'est fr.comp.securite, pas fr.misc.cuisine-sans-fil :) Il
ne s'agit pas de se protéger uniquement contre l'internaute qui a fait
une erreur (clickodrome, mauvais AP, toussa) mais de celui qui veut
entrer.

Même si ce n'est pas un as en info tu peux raisonnablement supposer qu'il
sait se servir d'un moteur de recherche.

Démonstration :
http://fr.search.yahoo.com/search?p=pirater+une+connection+wifi&fr=FP-tab-web-t340&ei=UTF-8&meta=vc%3D

Tu remarquera que j'ai choisi du français et pas le moteur de recherche
numéro 1.

Resultat en position 3 :
http://www.59hardware.net/index.php?option=com_content&task=view&Itemid=1&id74

ce qui nous mène à :
http://www.lesnouvelles.net/articles/attaques/706-du-wep-cracke-en-dix-minutes.html

Le moins qu'on puisse dire est que ce ne sont pas des pages underground ou
de hacker.

Donc oui (je pense qu') il est plus répandu de trouver des gens qui
savent changer d'adresse IP que d'adresse MAC mais ça ne signifie
aucunement qu'une méthode soit plus sure que l'autre. C'est typiquement
avec ce genre de raisonnement qu'on finit avec une machine à poil sur le
net.

Je me contente donc de reprendre la conclusion : "Bref, le filtrage des
adresse MAC est une solution intéressante et il serait stupide de ne pas
la mettre en oeuvre si votre point d'accès le permet, mais il ne faut pas
compter dessus pour arrêter un pirate déterminé. Tout au plus cela va
le retarder, et encore... Mieux vaut compter sur une vraie, longue, clé
WPA !"

De mon côté j'ai tendance à penser que si le WPA ne suffit pas à
arrêter le pirate ce n'est même pas la peine de filtrer par IP ou MAC[1]


Exacte. Désolé ma connaissance n'est pas absolue surtout sous Linux.
J'apprends tous le sjours sous cet environnement. J'ai repondu un peu
vite, oubliant que le fihcier de conf etait forcément lu par un
programme auquel on pouvait sans nul doute passer les paramètres.
Maintenant si on continue ds ce sens on va vite entrer HS.


Eric

[1] Ce qui ne m'empêche pas de filtrer quand je peux par IP, car si le
spoofing d'adresse IP est aisé sur un LAN c'est une autre paire de manche
via le WAN (je ne sais même pas si il reste dans la nature beaucoup d'OS
avec une pile IP prédictible qui font tourner des services sur le net) à
cause de la procédure en aveugle qu'on doit lancer.

Avatar
Nina Popravka
On 13 Oct 2006 01:39:35 GMT, "WinTerMiNator" wrote:

il ne faut que quelques minutes pour casser la clé WEP.
N'exagérons rien, ça prend quand même quelques heures ;->

--
Nina

Avatar
pchene
Bonjour,

Et pour alimenter la problématique du WEP et aussi du WPA-PSK un petit
doc à lire :
http://tutorial.monserveurperso.com/decrypter_une_clef_wep_sous_windows/crack_clef_wep_sous_windows.pdf
En conclusion même sous windows :
WEP facile à casser
WPA-PSK cassable facilement, la durée du casse est proportionnel à la
complexité de la passphrase. Et donc commencer par éviter des mots
usités dans le dictionnaire

Quand à batir un système sécurisé sur le fait que son arrière
grand-mère ou son petit frère de 3 ans ne connaisse pas la
signification d'une adresse IP et d'une MAC, on évite d'en faire une
généralité. Quelques révisions sur les statistiques/probabilités
chapitre "echantillon représentatif" s'imposent.
Ce qui est tout de même extrodinaire, c'est que nombreux sont ici les
personnes que l'ont peut qualifier de professionnel de la sécurité
car c'est leur gagne pain. Et oser systèmatiquement la ramener quand
ils disent non ou rigole ouvertement cela est plus proche d'une non
maîtrise du sujet ou de la volonté farouche de démarrer un troll.

A+

Patrick
Avatar
Nina Popravka
On 13 Oct 2006 10:27:37 GMT, "pchene" wrote:

WPA-PSK cassable facilement,
tout dépend de ce qu'on entend par "facile" ;->


la durée du casse est proportionnel à la
complexité de la passphrase. Et donc commencer par éviter des mots
usités dans le dictionnaire
D'ailleurs rien que cette histoire de mot de passe serait une

excellente raison d'abandonner définitivement le WEP.
Aucune personne normalement constituée ne peut mémoriser une clé WEP
aléatoire.
Tout le monde peut mémoriser une clé WPA constituée par exemple des
prénoms de son grand père associés au nom de jeune fille de sa mère et
entrelardés avec la date de naissance du petit dernier ou le tatouage
du chat. Et ça, c'est robuste...
--
Nina

Avatar
Thierry
"pchene" écrivait
news::

WPA-PSK cassable facilement, la durée du casse est proportionnel à la
complexité de la passphrase. Et donc commencer par éviter des mots
usités dans le dictionnaire


Mais ça c'est pas spécifique a WPA mais s'applique a tout systeme utilsant
une clé faible. Donc WPA n'est pas cassable "facilement".

Avatar
void
On 13 Oct 2006 01:39:35 GMT, "WinTerMiNator" wrote:

il ne faut que quelques minutes pour casser la clé WEP.
N'exagérons rien, ça prend quand même quelques heures ;->

HAHAHA

Tiens 10 minutes chrono:
http://www.lesnouvelles.net/illustrations/wepcrack.swf
Et si t'aimes pas linux windows peux aussi:
http://tutorial.monserveurperso.com/decrypter_une_clef_wep_sous_windows/crack_clef_wep_sous_windows.pdf

Quand on sait pas on se tait?

--
Moridunon


Avatar
nospheratus
Ecoute j'ai demandé à mon frere, ma mère, ma femme. Trois
internautes.


Waou, un super échantillon statistique ça. Si je demande à trois potes
particuliers ils vont faire sauter ton wep en deux coups de cuillère à
pot...


Bah c'est mieux que rien du tout. En plus j'ai jamais dis que le Wep etait
une solution fiable. Relis bien les posts.

Ils
savent tous changer une adresse Ip mais aucun ne sait spoofé une mac
adresse. Pourtant ce sont tous des internautes. Ils m'ont meme demandé
ce que voulait dire spoofer. Fais un sondage ds ton entourrage et tu
verras que j'ai raison.


Tu devrais te méfier. L'entourage de certains ici peut être particulier
:)


Bah peu m'importe en fait.

J'ai juste fais la remarque que restrindre par l'IP n'etait pas plus
performent que de restrindre par Mac adresse, et j'ai meme dis que au
contraire ce n'etait pas le cas. Encore une fois je te le repete,
n'importe qui sait changer son adresse IP, mais tout le monde ne sait
pas spoffer une mac adresse.


Faux. Je connais plein de monde (en particulier dans des entreprise avec
de "simples" utilisateur d'internet) qui ne savent même pas qu'on peut
mettre une adresse IP en dur (ou même qui n'ont qu'une vague idée de ce
qu'est une adresse IP).


Tu argumentes dans mon sens là non ? Si ces gens ne savent meme pas changer
une Ip je pense qu'ils ne savent meme pas que les Mac adresses existent...

Maintenant ici c'est fr.comp.securite, pas fr.misc.cuisine-sans-fil :) Il
ne s'agit pas de se protéger uniquement contre l'internaute qui a fait
une erreur (clickodrome, mauvais AP, toussa) mais de celui qui veut
entrer.


Oui quoi que le post original etait tout de même orienter général plus que
contre la protection contre les vrai pirates.

Même si ce n'est pas un as en info tu peux raisonnablement supposer qu'il
sait se servir d'un moteur de recherche.

Démonstration :

http://fr.search.yahoo.com/search?p=pirater+une+connection+wifi&fr=FP-tab-web-t340&ei=UTF-8&meta=vc%3D


Tu remarquera que j'ai choisi du français et pas le moteur de recherche
numéro 1.

Resultat en position 3 :

http://www.59hardware.net/index.php?option=com_content&task=view&Itemid=1&id74


ce qui nous mène à :

http://www.lesnouvelles.net/articles/attaques/706-du-wep-cracke-en-dix-minutes.html


Le moins qu'on puisse dire est que ce ne sont pas des pages underground ou
de hacker.


Certes.

Donc oui (je pense qu') il est plus répandu de trouver des gens qui
savent changer d'adresse IP que d'adresse MAC mais ça ne signifie
aucunement qu'une méthode soit plus sure que l'autre. C'est typiquement
avec ce genre de raisonnement qu'on finit avec une machine à poil sur le
net.


Je te l'accorde. C'est bien d'ailleur la raison pour laquelle je suis
intervenu sur ce post. J'ai réagis au fait que WinTerMiNator disait que le
filtragepar Ip etait une bonen chose, et que le filtrage par Mac adresse
non. Or, tu me rejoindras sans doute, quitte à choisir autant prendrele
filtrage par Mac adresse qui necessite du pirate une connaissance plus
approfondie des reseaux. Je ne pense pas avoir dit une seule fois que seule
le filtrage par Mac Adresse suffisait à protèger son Wifi... Si je l'ai dis,
fais moi un c/c et je ferai amende honorable.
Pour la petite histoire sur le wifi à la maison, je n'ai meme pas activé le
filtrage par MacAdresse donc bon, tu vois bien que j'ai pas d'appriori !

Je me contente donc de reprendre la conclusion : "Bref, le filtrage des
adresse MAC est une solution intéressante et il serait stupide de ne pas
la mettre en oeuvre si votre point d'accès le permet, mais il ne faut pas
compter dessus pour arrêter un pirate déterminé. Tout au plus cela va
le retarder, et encore... Mieux vaut compter sur une vraie, longue, clé
WPA !"


Je suis entierement d'accord avec toi. Reconnait tout de même que dans le
post originale il etait dit clairement : filtrage par Ip imperatif, filtrage
par mac optionnel. Il y avait de quoi je pense réagir afin de ne pas laisser
croire qu'un filtrage Ip suffit à la protection. Au pire on le fait par
macadresse, mais bon ça ne suffit certainement pas !
Sans vouloir trop m'avancer je pense qu'un WPA suffit, le mec qui veut
entrer chez toi et qui est capable de peté ton wpa, il entrera de toutes
façon quelque soit la protection que tu adopteras. Après le mieux est sans
doute d'avoir un firewall independant qui lui reglera les accès sur le lan
et sur le net. Une machine sous linux avec un bon iptable sur un vieux
486dx2 66 suffit pour ça.

De mon côté j'ai tendance à penser que si le WPA ne suffit pas à
arrêter le pirate ce n'est même pas la peine de filtrer par IP ou MAC[1]


Je suis d'accord avec toi. Mais reconnait que quitte à choisir mieux vaut un
filtrage par mac que par Ip (il insiste le bougre lol )

--
NosPHeratus
http://www.nosland.com


Avatar
nospheratus
Et trois personnes sont suffisantes pour créer un échantillon
représentatif ?


J'avais que ça sous la main.

Encore une fois je te le repete, n'importe qui sait changer son
adresse IP, mais tout le monde ne sait pas spoffer une mac adresse.


Il y a une personne plus haut dans ce fil qui t'a répondu qu'elle ne
savait pas le faire, ça ne te gène pas plus que ça de continuer à
affirmer que "tout le monde" sait le faire ?


En effet j'aurais du etre plus nuancé. Je ferais cette equation :

Sait pas changer d'IP > Sait changer une IP > Sait changer une mac adresse.


Il y a un truc qui pardonne rarement en sécu, c'est d'être persuadé
d'avoir raison.


Tu devrais donc commencer à t'interroger sur ton systeme de sécurité alors,
car dans le genre je sais tout tu es pas le denrier à la crier.

--
NosPHeratus
http://www.nosland.com


Avatar
Nina Popravka
On 13 Oct 2006 15:59:38 GMT, void wrote:

Quand on sait pas on se tait?
Quand on n'a jamais essayé, et qu'on se contente de renvoyer sur des

liens, on se tait.
Vu que quelque part c'est un peu mon taf, j'ai essayé, et ça n'est
jamais passé en moins de 2h30 mini.
--
Nina

1 2 3 4 5