|
SECURITE
Le gros point faible de la norme 802.11b et de ses déclinaisons,
c'est la sécurité. Pour crypter les données,
un mécanisme appelé Wired Equivalent Privacy
(WEP) est utilisé. Suffisant pour une utilisation domestique,
il peut toutefois être piraté par quelqu'un d'expérimenté
en quelques jours. Le problème du WEP tient à
ce qu'il utilise une clé unique pour toutes les communications,
il est donc assez facile de la trouver en analysant le trafic
réseau.
Côté sécurité, alors que pour
s'introduire sur un réseau filaire il faut s'y relier
physiquement, en Wi-Fi toute personne, voisin ou passant,
se trouvant dans l'aire du réseau peut potentiellement
s'y raccorder. Et cette faculté est d'autant plus gênante
qu'à l'inverse de ce qui se passe en filaire, l'intrus
n'est pas forcément visible. Libre à lui de
fouiner sur les disques durs des PC raccordés au réseau
ou d'utiliser la connexion internet à mauvais escient.
Si des solutions existent, la protection d'un réseau
Wi-Fi est une contrainte supplémentaire.
La mise en �Suvre un peu plus complexe d'un réseau
sans fil constitue le dernier frein au développement
de ces réseaux. Qu'il s'agisse de relier quelques PC
entre eux ou de partager une connexion internet ne change
rien à l'affaire: dans les deux cas, l'installation
des matériels et leur paramétrage sont très
loin du "plug and play". Le vocabulaire lui-même
fleure bon le laboratoire.
Pour échanger des fichiers ou jouer en réseau,
il convient ainsi d'opter pour le mode "Ad hoc"
et d'équiper chaque ordinateur d'une carte Wi-Fi. Pour
partager une connexion internet, sans PC hôte obligatoirement
sous tension, c'est le mode dit "Infrastructure"
qu'il faut choisir. Outre un nombre de carte Wi-Fi égale
au nombre de PC, cette "topologie" - c'est le terme
consacré! - de réseau réclame un modem
pour compresser et décompresser les données
échangées, un routeur pour envoyer les bonnes
informations vers les bons PC et un point d'accès pour
relier les PC à l'internet; ces deux derniers produits
n'en faisant aujourd'hui qu'un seul.
La norme 802.11i intègrera plusieurs nouveautés:
802.1X, AES et TKIP.
La norme 802.1X ne s'applique pas uniquement au réseau
sans fil, elle est également utilisé en réseau
filaire. Elle utilise un serveur d'authentification au lieu
de la simple clé WEP. Chaque utilisateur sans fil possède
ses propres nom d'utilisateur et mot de passe, exactement
comme sur un réseau filaire classique. L'intérêt
pour une entreprise, c'est de pouvoir réutiliser les
comptes réseaux déjà existants, sur un
serveur de domaine Microsoft par exemple.
AES (Advanced Encryption Standard) vient en parallèle
du 802.1X et offre un système de chiffrement beaucoup
plus évolué que le WEP. Mais cela nécessite
l'utilisation d'une puce dédiée. Impossible
donc de mettre à jour un matériel déjà
existant. Sa compatibilité reste limitée au
matériel équipé de cette puce.
TKIP (Temporal Key Integrity Protocol) est un mécanisme
temporaire qui essaye de palier les défauts du WEP.
Au lieu d'utiliser une clé fixe pour chiffrer les paquets
de données, il génère régulièrement
une nouvelle clé à partir de l'adresse MAC (adresse
physique de la carte réseau, inscrite dans les composants)
de la carte réseau ou du point d'accès.
Cette solution est bien moins efficace que l'AES, mais tous
les appareils existants peuvent en bénéficier
en effectuant une simple mise à jour logicielle. Elle
a vocation à disparaître avec l'arrivée
de matériel compatible AES.
Une infrastructure adaptée
La première chose à faire lors de la mise en
place d'un réseau sans fil consiste à positionner
intelligemment les points d'accès selon la zone que
l'on souhaite couvrir. Il n'est toutefois pas rare que la
zone effectivement couverte soit largement plus grande que
souhaitée, auquel cas il est possible de réduire
la puissance de la borne d'accès afin d'adapter sa
portée à la zone à couvrir.
Eviter les valeurs par défaut
Lors de la première installation d'un point d'accès,
celui-ci est configuré avec des valeurs par défaut,
y compris en ce qui concerne le mot de passe de l'administrateur.
Un grand nombre d'administrateurs en herbe considèrent
qu'à partir du moment où le réseau fonctionne
il est inutile de modifier la configuration du point d'accès.
Toutefois les paramètres par défaut sont tels
que la sécurité est minimale. Il est donc impératif
de se connecter à l'interface d'administration (généralement
via une interface web sur un port spécifique de la
borne d'accès) notamment pour définir un mot
de passe d'administration.
D'autre part, afin de se connecter à un point d'accès
il est indispensable de connaître l'identifiant du réseau
(SSID). Ainsi il est vivement conseillé de modifier
le nom du réseau par défaut et de désactiver
la diffusion (broadcast) de ce dernier sur le réseau.
Le changement de l'identifiant réseau par défaut
est d'autant plus important qu'il peut donner aux pirates
des éléments d'information sur la marque ou
le modèle du point d'accès utilisé.
Le filtrage des adresses MAC
Chaque adaptateur réseau possède une adresse
physique qui lui est propre (appelée adresse MAC).
Cette adresse est représentée par 12 chiffres
hexadécimaux groupés par paires et séparés
par des tirets.
Les points d'accès permettent généralement
dans leur interface de configuration de gérer une liste
de droits d'accès (appelée ACL) basée
sur les adresses MAC des équipements autorisés
à se connecter au réseau sans fil.
Cette précaution un peu contraignante permet de limiter
l'accès au réseau à un certain nombre
de machines. En contrepartie cela ne résoud pas le
problème de la confidentialité des échanges.
WEP - Wired Equivalent Privacy
Pour remédier aux problèmes de confidentialité
des échanges sur les réseaux sans fil, le standard
802.11 intègre un mécanisme simple de chiffrement
des données, il s'agit du WEP, Wired equivalent privacy.
Le WEP est un protocole chargé du chiffrement des
trames 802.11 utilisant l'algorithme symétrique RC4
avec des clés d'une longueur de 64 ou 128 bits. Le
principe du WEP consiste à définir dans un premier
temps une clé secrète de 40 ou 128 bits. Cette
clé secrète doit être déclarée
au niveau du point d'accès et des clients. La clé
sert à créer un nombre pseudo-aléatoire
d'une longueur égale à la longueur de la trame.
Chaque transmission de donnée est ainsi chiffrée
en utilisant le nombre pseudo-aléatoire comme masque
grâce à un OU Exclusif entre le nombre pseudo-aléatoire
et la trame.
La clé de session partagé par toutes les stations
est statique, c'est-à-dire que pour déployer
un grand nombre de stations WiFi il est nécessaire
de les configurer en utilisant la même clé de
session. Ainsi la connaissance de la clé est suffisante
pour déchiffrer les communications.
De plus, 24 bits de la clé servent uniquement pour
l'initialisation, ce qui signifie que seuls 40 bits de la
clé de 64 bits servent réellement à chiffrer
et 104 bits pour la clé de 128 bits.
Dans le cas de la clé de 40 bits, une attaque par
force brute (c'est-à-dire en essayant toutes les possibilités
de clés) peut très vite amener le pirate à
trouver la clé de session. De plus une faille décelée
par Fluhrer, Mantin et Shamir concernant la génération
de la chaîne pseudo-aléatoire rend possible la
découverte de la clé de session en stockant
100 Mo à 1 Go de traffic créés intentionnellement.
Le WEP n'est donc pas suffisant pour garantir une réelle
confidentialité des données. Pour autant, il
est vivement conseillé de mettre au moins en oeuvre
une protection WEP 128 bits afin d'assurer un niveau de confidentialité
minimum et d'éviter de cette façon 90% des risques
d'intrusion.
Mise en place d'un VPN
Pour toutes les communications nécessitant un haut
niveau de sécurisation, il est préférable
de recourir à un chiffrement fort des données
en mettant en place un réseau privé virtuel
(VPN).
liens: http://www.ssi.gouv.fr/fr/actualites/Rec_WIFI.pdf
Présentation de la mise à jour de sécurité sans fil WPA dans
Windows XP
|
