Les ondes radios franchissent les murs !
Il est banal de le rappeler, mais les ondes radio-électriques se propagent dans toutes les directions, y compris d’un étage à l’autre, avec une portée relativement grande.
En 802.11b :
| Débit théorique | Portée en intérieur | Portée en extérieur |
| 11 Mbits/s | 50 m | 200 m |
| 5.5 Mbits/s | 75 m | 300 m |
| 1 Mbits/s | 150 m | 500 m |
En 802.11g le débit théorique maximun est de 54 Mbps, avec des portées équivalentes :
| Débit théorique | Portée en intérieur | Portée en extérieur |
| 54 Mbits/s | 27 m | 75 m |
| 36 Mbits/s | 30 m | 120 m |
| 24 Mbits/s | 30 m | 120 m |
| 6 Mbits/s | 90 m | 400 m |
Très facile à implanter les réseaux WLAN (Wireless Local Area Network ) opérant dans la bande de fréquence des 2.4 Ghz, sont le plus souvent laissés sans aucune mesure de protection avec les paramètres par défaut.
Avec une antenne omnidirectionnelle ou des répétiteurs WDS, on augmente encore le périmètre de diffusion.
Ecouter le trafic réseau ne présente aucune difficulté majeure pour quelqu’un de non autorisé, en particulier en dehors du l’enceinte du bâtiment où le réseau hertzien est implanté.
Certains se livrent même à la pratique du war driving , qui consiste à rechercher les réseaux sans fil disponibles en ville, en établir la cartographie avec un matériel GPS, puis de publier sur internet les sites non protégées permettant de se connecter "librement".
Il suffit d’un ordinateur portable ou même d’un assistant personnel, équipé d’une carte réseau sans fil.
Sans protection du réseau Wifi, il est facile d’y entrer :
D’ailleurs Windows XP sait nativement détecter les réseaux Wifi et s’y connecter automatiquement. Si le point d’accès utilise un serveur DHCP celui-ci lui donnera immédiatement une @IP légale...
La technologie est en libre service sur internet :
Le « sniffer », appelé « analyseur réseau » en français est un dispositif permettant d’"écouter" le trafic réseau radio comme le Wifi. Pour moins de 50 € certains donnent le nom du réseau sans fil (SSID), le mode de cryptage et le canal utilisé.
On trouve aussi sur internet des utilitaires sachant :
- casser en moins de 10 minutes et facilement le chiffrement WEP et même le récent WPA en mode Pre-Shared Key (c’est à dire à clé partagée), si le mot de passe est mal choisi ou trop court.
- modifier son adresse MAC.
Le déploiement d’un réseau Wifi impose des protections complémentaires :
Contrôle d’accès :
Pour contrôler l’accès à un réseau wi-fi, on utilise un identifiant (SSID) et une adresse MAC.
Le filtrage par adresses MAC est une fonctionnalité de sécurité que l’on trouve sur certains point d’accès Wifi. Ce service permet d’exclure ou de ne tolérer que certaines adresses MAC dans son réseau.
L’adresse MAC (Media Access Control Address) est également appelée adresse physique, adresse Ethernet ou adresse matérielle.
Chaque périphérique réseau dispose d’une @MAC associée, identifiant unique préfinie à la fabrication qui la distingue des autres cartes du même fabricant et du même modèle. Cette adresse inscrite sur les puces est définie sur 6 octets de long du type 01-23-45-AB-CD-EF. La norme veut que les 3 premiers octets indiquent le constructeur OUI (Organizational Unique Identifier) et que les 3 derniers correspondent au numéro de série.
Une adresse MAC est utilisée pour communiquer avec les autres cartes réseau sur le même sous-réseau.
Elle n’est pas liée directement à l’adresse IP. Production de fausses adresses Mac :
Le protocole 802.11b n’encrypte pas les trames où apparaissent ces adresses MAC. Un logiciel "sniffeur" peut visualiser les adresses MAC des clients. Il est possible de modifier l’@Mac de sa carte réseau et donc de faire croire que l’on est quelqu’un d’autre.
L’identifiant réseau Wifi ou SSID (Service Set Identifier) est une chaîne de caractères alphanumériques nommant votre réseau sans fil. Les postes clients et le point d’accès doivent utiliser le même SSID pour s’associer et communiquer. Le point d’accès (AP) émet périodiquement une trame non chiffrée d’association.
Un client qui désire rejoindre le réseau envoie alors une demande d’entrée (authentification request),
le point d’accès génère un challenge de 128 octets en clair (authentification challenge)
le client encode les 128 octets avec une trame WEP (authentification response) associée à un champ IV de 24 bits et une clé d’identification de 2 bits
puis le point d’accès notifie l’échec ou la réussite de l’opération (authentification result). Un "pirate" peut déduire du message en clair et du message chiffré les 128 premiers octets de la clé générés à partir du vecteur IV et de la clé d’identification.
L’interprétation du SSID est souvent grandement facilitée par le fait que le SSID porte le nom du service ou de l’organisme utilisant le réseau. Ainsi chaque constructeur de matériel Wifi propose un SSID par défaut. Par exemple Apple propose "Airport". Il existe donc une relation entre les SSID par défaut et les trois premiers octets des adresses MAC des cartes qui identifient le constructeur (00:30:65 pour Apple).
Avec la LiveBox de Wanadoo, modem/routeur/adsl/wifi fort diffusé, le SSID est au format "Wanadoo-xxxx", par exemple « Wanadoo_f9b9 » où xxxx sont les 4 dernières valeurs de l’adresse MAC de la passerelle ! Sachant qu’il n’existe que deux fabricants (Sagem et Inventel) avec ce SSID, on peut déduire l’adresse MAC de la LiveBox. Il ne reste plus qu’un octet à trouver !
Même un OS comme Windows XP intègre une gestion du Wi-Fi qui permet lors de l’activation de la carte et/ou au démarrage d’interroger les points d’accès et de s’y connecter directement (obtention d’une adresse IP "légale" automatiquement avec le serveur DHCP).
Au minimum il faut désactiver la diffusion « broadcast » du SSID par le point d’accès ou si la fonction n’est pas disponible augmenter le Beacon Interval qui est la fréquence à laquelle le point d’accès transmet la trame SSID pour annoncer son existence.
Généralement, les points d’accès possèdent un serveur DHCP [1] qui permet à n’importe quel poste client d’obtenir un accès sur ce dernier. Le DHCP donne à l’ordinateur client tous les paramètres nécessaires pour communiquer sur le réseau (adresse IP, nom de la passerelle pour se connecter à internet, les serveurs de résolution des noms de domaine, etc.). Ce service est souvent activé par défaut sur les points d’accès. Ainsi toute personne passant à portée radio de votre point d’accès pourra se faire attribuer une IP sur ce dernier et donc utiliser votre accès.
Cryptage des connexions :
A noter que l’activation du chiffrement ralentit le débit d’information en raison du temps de cryptage/décryptage. C’est surtout net sur des processeurs peu véloces.
La clef WEP (Wired Equivalent Privacy) de 64/128 bits basée sur l’algorithme RC4 assez peu sûr, devrait se changer régulièrement. Une clef symétrique est utilisé et elle ne change pas pendant toute la durée de l’association entre les deux extrémités d’une connexion WIFI est utilisé. Si un pirate, écoute suffisamment longtemps le trafic entre vos postes, il pourra avec certains outils logiciels recalculer cette clef WEP.
WPA ou Wi-fi Protected Access : C’est du cryptage par clé dynamique Temporal Key Integrity Protocol.
Voici quelques conseils pour sécuriser un peu son réseau sans fil :
Modifiez le nom du réseau sans fil SSID par défaut et en changer régulièrement.
Désactivez la diffusion du nom du réseau sans fil SSID (SSID Broadcasts) installé par défaut et désactiver la fonction qui consiste à l’envoi régulier de la trame balise (beacon).
On peut aussi régler la puissance d’émission du point d’Accès (AP) au minimum nécessaire, mais cela n’évite pas l’écoute du réseau à distance avec un amplificateur.
Désactiver le serveur DHCP Wifi et passer en IP fixe
Modifiez l’identifiant et le mot de passe par défaut du compte de l’administrateur. Ainsi sur la LiveBox le mot de passe et l’identifiant sont "admin" et la gestion de la LiveBox se fait en mode web donc par wifi par l’adresse http://192.168.1.1 !
Si possible, empêcher l’accès à la console d’administration par Wifi.
Activer le filtrage des adresses MAC ou (MAC Address Filtering) :
Attention, le filtrage est facilement contournable par substitution de @MAC. Au moment de l’association du client à la borne, l’en-tête de trame contenant les adresses MAC n’est pas encrypté par le WEP. Les adresses MAC autorisées sont diffusées en clair, peuvent donc être interceptées avec un sniffer WiFi puis être usurpées ensuite. Il existe même des outils permettant de déconnecter de force les postes clients. Lors de la nouvelle association de la borne, le pirate peut récupérer les @MAC via les réponses aux requêtes ARP (Address Resolution Protocol) émises.
Activer le cryptage WPA si votre matériel est compatible : Malheureusement la majorité des modems/routeurs ADSL WiFi ne proposent que le WEP. Parfois, une mise à jour du firmware (logiciel interne du routeur) permettra une évolution soit vers le WEP "dynamique" ou mieux vers le WPA.
Wep est insuffisant même en modifiant les clés de cryptage régulièrement. Mais faute de mieux, il faut l’utiliser.
Avec le WEP dynamique, la clé est changée automatiquement toutes les minutes.
WPA est plus sûr mais avec une clé longue (au moins 20 caractères).
Si on trouve que c’est trop compliqué il vaut beaucoup mieux utiliser un réseau classique par des câbles ou du courant porteur.
En plus de la couche réseau classique, il faut gérer une couche radio, une couche authentification et une couche sécurité !
Avec le courant porteur c’est plus simple, comme avec le Wifi, on peut ajouter un cryptage avec une clé DES 56 à 128 bits, mais surtout le compteur électrique constitue un filtre efficace, le réseau ne pouvant pas s’établir en amont du compteur EDF.
On peut faire mieux pour sécuriser son WLAN, mais cela demande quelques connaissances :
L’intégration d’un firewall et d’un VPN permettent de sécuriser chaque flot de trafic individuellement .
1) Installer un firewall comme si le point d’accès était une connexion internet.
Modifier les mots de passe SNMP
Ce firewall sera le serveur IPSec des postes clients sans fil.
2) Utiliser un VPN (Virtual Private Network) avec IPSec :
Le rôle d’un VPN est de proposer un tunnel sécurisé entre un client et un serveur.
IPSec est le protocole le plus utilisé dans les VPNs.
VPN offre les fonctions :
d’authentification et autorisation d’accès (aux deux extrémités du tunnel),
de chiffrage (confidentialité) et de protection (intégrité) des données (IPSec chiffre les adresses sources et destinations). En effet 802.11 intègre un code CRC (cyclic redundancy code) de 4 octets censé assurer l’intégrité des données. Mais à partir d’une trame en clair et de son CRC, il est possible de modifier une trame chiffrée tout en recalculant un CRC correct. Le protocole n’assure nullement l’intégrité des données.
Prix de la sécurité, en raison de l’utilisation des différents algorithmes MD5 (hachage pour l’intégrité), 3DES (chiffrement) et RSA (authentification par signature à clé publique) la bande passante va être diminuée d’environ 30%.
3)Passer en 802.11i : La norme 802,11 actuelle utilise des clefs de chiffrement relativement faibles et statiques, sans aucune gestion de leur distribution. Avec le nouveau protocole WPA2, le perfectionnement du MAC (Media Access Control) , le Wifi sort de l’ère du gadget technologique peu sécurisé.
La position du démissionnaire !
Paramétrer un réseau Wifi est compliqué. La sécurité ne fait pas bon ménage avec la facilité d’usage. Certains démissionnent devant la complexité de la tâche et préfèrent laisser le réseau ouvert à tout vent et à tout risque...
Ainsi Thierry Verson, distributeur du logiciel médical Axilog aux Antilles, estime qu’il est inutile d’appliquer le principe de précaution pour les données médicales confidentielles contenues sur les ordinateurs de ses clients médecins, en sécurisant correctement leurs réseaux Wifi :
"(...) Commencez par prouver ce que je considère comme des fantasmes et des phobies pour justifier (de sécuriser un réseau Wifi). Dites-nous combien de médecins se sont fait piquer leurs données par le Wifi depuis 18 mois, "(...)
Donc je ne vois pas pourquoi je me polluerai la vie et celle de mes clients (médecins) avec des problèmes de sécurité (sur un réseau Wifi) à sodomiser les mouches. Qu’on me montre déjà qu’il y a un risque et un précédent. Je prétends qu’aujourd’hui il y a trop de mecs qui utilisent leur temps et leurs compétences à bouffer la vie de leur congénères pour se la jouer...les informaticiens en premier. (...)
Alors arrêtons d’en rajouter. Simplifions l’informatique et la vie des utilisateurs ; après on verra ! (...)"
Obligation légale !
La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, impose une obligation de sécurité en matière de traitement d’informations. Ainsi, l’article 29 de la loi dispose que : " Toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés ".
Quel risque pour les pirates ?
Il existe un certain vide juridique. L’article 311-1 du code pénal qualifie de vol " la soustraction frauduleuse de la chose d’autrui ". Or la Cour de cassation a jusqu’à présent refusé de d’étendre la notion de vol aux biens immatériels comme les données. "L’information étant un bien incorporel, elle ne peut faire l’objet d’appropriation. Son détournement ne peut être sanctionné que s’il y a eu enlèvement du bien matériel la contenant" comme par exemple un disque dur ou un CD ROM.
802.11i
802.11i implante l’ensemble protocolaire WPA 2 avec le système de cryptage AES (Advanced Encryption System) doté de clés de 128, 192 et 256 bits. Le WPA 2 et les équipements 802.11i n’apportent strictement aucun avantage de vitesse mais beaucoup plus de sécurité.
La plupart des équipements Wi-Fi récents (sortis dans les six derniers mois environ) sont déjà compatibles avec la norme 802.11i (comme la plate-forme Centrino Intel).
L’AES est gourmand en puissance de calcul et il lui faut une puce dédiée, ce qui interdit des simples mises à jour pour profiter de la norme avec des matériels anciens.
La norme IEEE 802.11i définit deux modes de fonctionnement :
le WPA "Enterprise" avec utilisation d’une infrastructure d’authentification 802.1x (serveur d’authentification type serveur RADIUS et d’un contrôleur réseau (le point d’accès))
Le WPA "Personal" : infrastructure sécurisée sans serveur d’authentification. Le WPA personnel repose sur l’utilisation d’une clé partagée, appelées PSK (Pre-Shared Key), renseignée dans le point d’accès ainsi que dans les postes clients. Au contraire du WEP, il n’a pas à saisir une clé de longueur prédéfinie, mais une « passphrase » (phrase secrète), traduite en PSK par un algorithme de hachage.
Lire sur le Web médical :
Fulmedico :
Courant porteur ou Wifi ? Fulmedico :
Le routeur Fulmedico :
VPN ou Réseau Privé Virtuel Rémy Louvet :
Sécurité du WiFi médical
Sur le Web :
Le wifi piraté en 10 minutes chrono ! ! Le 802.11i sécurise le sans fil : Le protocole 802. 11i assure l’authentification d’un client sans fil, le chiffrement et l’intégrité de ses données. Il pallie les insuffisances du WEP.
Entête ARP Sniffer :
Détecteur Wifi Digital de Canary Wireless
Plan du site
