Connexion réseau sans-fil (Wi-Fi) : Sécurité
- La sécurité en Wi-Fi
- 0 - Désactiver le WPS après utilisation
- 1 - Utiliser une clé de cryptage :
- WEP (Wired equivalent privacy)
- WPA (Wi-Fi Protected Access) et PSK (Pre-Shared Key)
- 2 - Masquer le nom de réseau SSID
- Désactiver le SSID sur une Livebox
- 3 - Filtrer par l'adresse MAC
Page précédente :
La
Sécurité en connexion Wi-Fi :
La sécurité est un point important avec une connexion Wi-Fi :
Particulièrement en ville.
Sans protection, votre voisin peut se connecter sur votre réseau !
Le pire des cas est le "piratage" de la connexion Internet :
La connexion peut être utilisée pour propager des virus, envoyer des mails injurieux, des
spams, etc.
Hors, c'est l'abonné de la connexion Internet qui est responsable de son utilisation... donc vous
!
Livebox, FreeBox, etc. sont protégées d'origine. Normalement, pas d'inquiétude
dans le cadre d'une utilisation normale.
Cependant, une clé de sécurité n'est pas inviolable (se renseigner plus avant sur
ce point si la sécurité du réseau est un point primordial).
Pour sécuriser son équipement, il faudra voir les points suivants :
Il existe trois possibilités pour protéger son réseau :
- utiliser une clé de cryptage,
- ne pas diffuser le SSID sur le réseau
- établir un filtrage sur les adresses MAC.
0
- Désactiver le WPS après utilisation :
Sur les Box récentes (Livebox 2 par exemple), il existe une fonctionnalité très pratique pour connecter un ordinateur ou une tablette au réseau Wi-Fi : le WPS
Au lieu de rentrer, manuellement, la clé de sécurité pour connecter l'ordinateur, on appuie sur le bouton Wi-Fi de la Box, et on dispose de quelques minutes pour se connecter automatiquement.
Pour des raisons de sécurité, on peut désactiver cette fonction après utilisation :
- aller dans l'interface de la Box : taper http://192.168.1.1 dans le navigateur Internet
- aller dans la partie configuration du Wi-Fi : Onglet Configuration, Livebox, Paramètres WiFi pour une Livebox 2
- désactiver la fonction WPS
Exemple, sur une Livebox 2 :
- désactiver "Wifi Easy pairing" (pour une connection avec le kit de connexion)
- désactiver "WPS pairing" (pour une connexion avec WPS)
1
- Utiliser une clé de cryptage :
C'est la solution la plus utilisée. Présente par défaut sur la
plupart des connexions Wi-Fi.
Il s'agit de rentrer une "clé" ou un mot de passe pour accéder au réseau
Wi-Fi.
Il existe différents niveaux de cryptage.
- Eviter la clé WEP
- Utiliser une clé WPA ou WPA2
WEP (Wired
equivalent privacy) :
Clé sous la forme de nombres hexadécimaux (0 à 9 et A à F)
De longueur (puissance de chiffrement) différente : 64, 128 ou 256 bits.
Exemple :
03-AF-GC-2A-6F-23-4D-BB
Remarquer la limitation des caractères (0 à 9 et A à F = soit 16 possibilités) contrairement à un vrai mot de passe (0 à 9 et a à Z)
Le plus simple.
Souvent configuré par défaut (exemple : Livebox première génération)
Non compatible avec la norme 802-11n
A éviter. Car n'est pas assez sécurisé.
Préférer une clé en chiffrement WPA (avec un vrai mot de passe)
Voir aussi :
27/05/2008 : MacBidouille.com - SVM part en guerre contre la loi Hadopi, nous aussi
"tout le monde ne maîtrise pas les arcanes de la sécurisation d'un réseau
wi-fi. Beaucoup, bien trop encore ne sont protégés que par une clé Wep, 64 ou 128
bits et se pensent en sécurité.
Pourtant, le Wep a vécu. Pour le prouver, nous avons mis en ligne une vidéo que nous avons
réalisé et qui montre comment on peut trouver cette clé en moins de 4 minutes.
Les limites d'une clé WEP :
http://fr.youtube.com/watch?v=DBbic9hoRrc
Sachez également que si vous utilisez une protection WPA ou WPA2 avec une passphrase trop courte, vous êtes aussi vulnérable."
WPA (Wi-Fi
Protected Access) et PSK (Pre-Shared Key) :
Clé sous la forme d'un mot de passe, librement définissable par l'utilisateur.
Utilise une authentification :
protocole PSK = Pre-Shared Key parfois appelé "WPA Personal"
Algorithme de chiffrement :
au choix :
- TKIP = Temporal Key Integrity Protocol
- AES = Advanced Encryption System
WPA = WPA + PSK + TKIP
WPA2 = WPA + PSK + AES
WPA2 est la solution la plus sécurisée.
D'après Jean-Claude Bellamy :
WPA2 est intégré dans XP SP3 (et donc OS suivants),
et à partir de XP SP2 avec le patch prévu dans la KB893357 mise à jour par la KB917021 :
http://support.microsoft.com/kb/917021/
C'est la meilleure solution actuellement.
voir :
http://fr.wikipedia.org/wiki/WPA
Exemple sur une Livebox 2 :
Dans Mode de sécurité : WPA/WPA2 (TKIP/AES)
Exemple sur un routeur Netgear :
Une page sur le site Microsoft :
Quelles sont les différentes méthodes de sécurité réseau sans fil ?
WPA (Wi-Fi Protected Access)
Il existe deux types d'authentification WPA : WPA et WPA2.
- WPA est conçu pour fonctionner avec un serveur d'authentification 802.1X qui distribue des clés
différentes pour chaque utilisateur. On parle de WPA-Enterprise ou WPA2-Enterprise.
- Il peut également être utilisé en mode de clé prépartagée
(PSK), où un mot de passe identique est attribué à tous les utilisateurs. On parle
de WPA-Personal ou WPA2-Personal.
WEP (Wired Equivalent Privacy)
WEP est une technique de sécurité réseau plus ancienne qui prend encore aujourd'hui
en charge des périphériques antérieurs. Toutefois, son utilisation n'est plus recommandée.
Authentification 802.1X
802.1X ne fonctionne pas avec des clés WEP (Wired Equivalent Privacy) ou WPA (Wi-Fi Protected
Access)
2
- Ne pas diffuser le SSID sur le réseau :
Le SSID est le nom du réseau Wi-Fi (ex : Livebox-3456).
Par défaut, il est diffusé à la vue de tous.
C'est très pratique pour identifier la Box sur laquelle on veut se connecter.
Mais la Box est visible.
Il vaut mieux désactiver la diffusion.
PS : Sauf que dans certains cas, cela est impossible car on ne peut alors rejoindre le réseau Wi-Fi (comme avec Linux ou Raspberry)
Si le SSID est diffusé sur le réseau (broadcast activé) :
- le nom du réseau Wi-Fi sera visible sur tous les ordinateurs situés dans les environs.
Exemple :
Avec une connexion Wi-Fi, on affiche tous les réseaux dont le SSID est diffusé.
Pour le pirate, il ne reste plus qu'à trouver le mot de passe...
Si le SSID n'est pas diffusé sur le réseau (broadcast désactivé) :
- il faudra rentrer le nom du réseau pour s'y connecter.
C'est moins pratique. Car il faut connaître le SSID pour pouvoir s'y connecter. Mais c'est beaucoup plus sécurisé !
Désactiver
le SSID sur une Livebox :
Sur une Livebox 2 :
- onglet Configuration, Livebox, Paramètres WiFi
- désactiver "Diffuser le SSID"
Sur une Livebox :
- aller dans la section "Réseau sans fil"
- décocher "Emission SSID"
3
- Etablir un filtrage sur les adresses MAC :
L'adresse MAC n'a rien à voir avec les ordinateurs Mac(intosh).
Chaque élément de réseau (modem, routeur, switch, carte réseau, etc.) possède
une adresse MAC.
Cette adresse est unique au monde.
On peut limiter l'accès d'un réseau wifi à certaines adresses MAC uniquement, celles du (ou des) ordinateurs autorisés à utiliser le réseau wifi.
Inconvénient : peu pratique pour les connexions occasionnelles.
Il faudra :
- connaître l'adresse MAC de l'ordinateur à autoriser,
- rentrer l'adresse MAC de l'ordinateur dans le routeur (ex : Livebox) pour qu'il soit reconnu et autorisé.
Pour afficher l'adresse MAC d'un ordinateur :
- ouvrir une fenêtre "Invite de commandes",
- taper :
ipconfig /all
Pour chaque élément de réseau :
- voir :
Adresse physique........ : XX-XX-XX-XX-XX-XX
Dans la configuration du routeur Wi-Fi :
- activer le filtrage par adresse MAC
- rentrer manuellement l'adresse MAC de chaque ordinateur pour qu'il puisse se connecter au réseau
Wi-Fi.
Sur une Livebox 2 :
- onglet Configuration, Livebox, Paramètres WiFi
Dans Equipements autorisés :
- cliquer sur "Ajouter"
- rentrer manuellement l'adresse MAC de l'ordinateur
Voir aussi :
28/09/2007 : Clubic.com - Forces et faiblesses des sécurités Wi-Fi
Exemple
de configuration : Linksys WRT54G :
La configuration se fait en 2 temps :
1 - Configuration de base du réseau :
Dans l'interface de configuration du Linksys :
- aller dans Wireless, Basic Wireless Settings
Wireless Network Mode :
- 4 choix possibles : Disabled (wifi désactivé), Mixed (activé), B-Only (uniquement
Wifi B), G-Only (uniquement Wifi G)
Si on ne dispose que de matériel en Wifi G, on peut sélectionner ce réglage
Wireless Network Name :
- c'est là que l'on nomme son réseau Wifi = SSID = le nom d'accès pour se connecter à son
réseau
Wireless Channel :
- on peut modifier le canal utilisé pour une meilleur connexion.
Wireless SSID :
- on peut choisir de désactiver la diffusion du nom du réseau. Ce dernier ne sera pas
visible sur les ondes. Il faudra rentrer, manuellement, le nom du réseau pour s'y connecter.
2 - Sécurité du réseau :
Il s'agit de choisir une clé de cryptage
Dans l'interface de configuration du Linksys :
- aller dans Wireless, Wireless Security
Security Mode :
- on a le choix entre Disabled (désactivé), WPA Personal, WPA Enterprise, WPA2 Personal,
WPA2 Enterprise, RADIUS et WEP
WPA Personal est suffisant pour une utilisation privée - WEP est à éviter.
WPA Algorithms :
- on a le choix entre TKIP et AES
WPA Shared Key :
- on peut choisir librement son mot de passe.
Voir aussi
mes pages : Voir aussi
mes pages : Voir aussi
mes pages :