Bien protéger son Wi-Fi : Différence entre versions

De Vulgum Techus
Aller à : Navigation, rechercher
 
(Une révision intermédiaire par un utilisateur est masquée)
Ligne 1 : Ligne 1 :
 
<!-- Links checked 20/03/19 -->
 
<!-- Links checked 20/03/19 -->
 +
[[Catégorie:Fournisseurs d'accès Internet]]
 
[[Catégorie:Sécurité]]
 
[[Catégorie:Sécurité]]
 +
[[Catégorie:Téléphonie]]
 
  '''[[Lien court]]''' vers cette page : https://vt.cx/BpWF
 
  '''[[Lien court]]''' vers cette page : https://vt.cx/BpWF
 
  '''[[QR code]]''' vers cette page : https://vt.cx/BpWF.qr
 
  '''[[QR code]]''' vers cette page : https://vt.cx/BpWF.qr
Ligne 16 : Ligne 18 :
  
 
= Présentation =
 
= Présentation =
Protéger un '''[[réseau]] [[Wi-Fi]]''' c'est faire en sorte qu'aucun utilisateur non autorisé l'utilise sans l'accord éclairé de son propriétaire. Cela sous-entend de comprendre un certains nombre de notions simples qui conditionne la '''[[sécurité]]''' du '''[[réseau]]''' à savoir :
+
Protéger un '''[[réseau]] [[Wi-Fi]]''' c'est faire en sorte qu'aucun utilisateur non autorisé l'utilise sans l'accord éclairé de son propriétaire. Cela sous-entend de comprendre un certains nombre de notions simples qui conditionne la '''[[sécurité]]''' du réseau à savoir :
 
* Bonne gestion du '''[[mot de passe]]'''
 
* Bonne gestion du '''[[mot de passe]]'''
* Diffusion du '''SSID'''
+
* Diffusion du SSID
* Identification des utilisateurs et surveillance du '''[[réseau]]'''
+
* Identification des utilisateurs et surveillance du réseau
 
= Gestion du [[mot de passe]] =
 
= Gestion du [[mot de passe]] =
 
* Par défaut le '''[[réseau Wi-Fi]]''' est protégé par un '''[[mot de passe]]''' constructeur et très souvent, celui-ci correspond à tout ou partie du '''numéro de série''' sous la '''[[box]]''' qui est très facilement accessible à tous. Il est donc important de l'en changer rapidement.<br/>
 
* Par défaut le '''[[réseau Wi-Fi]]''' est protégé par un '''[[mot de passe]]''' constructeur et très souvent, celui-ci correspond à tout ou partie du '''numéro de série''' sous la '''[[box]]''' qui est très facilement accessible à tous. Il est donc important de l'en changer rapidement.<br/>
Ligne 29 : Ligne 31 :
 
Un minimum de '''14 caractères''' est prescrit. Éviter des phrases sans chiffre du type
 
Un minimum de '''14 caractères''' est prescrit. Éviter des phrases sans chiffre du type
 
  ceciestlemotdepassedemonwifi
 
  ceciestlemotdepassedemonwifi
Le changement de '''[[mot de passe]]''' est à faire le plus régulièrement possible (tous les mois par exemple). Dans le cas d'un '''[[mot de passe]]''' très long comme celui proposé plus haut, et pour simplifier le changement sur tous les dispositifs connectés, il suffit de changer juste une partie (exemple un ou deux nombres).
+
Le changement de mot de passe est à faire le plus régulièrement possible (tous les mois par exemple). Dans le cas d'un mot de passe très long comme celui proposé plus haut, et pour simplifier le changement sur tous les dispositifs connectés, il suffit de changer juste une partie (exemple un ou deux nombres).
 
   12ilestbondecodersonwifi23avecuncodetrès35longpourgarantirsasécurité46
 
   12ilestbondecodersonwifi23avecuncodetrès35longpourgarantirsasécurité46
 
   '''28'''ilestbondecodersonwifi'''65'''avecuncodetrès35longpourgarantirsasécurité'''97'''
 
   '''28'''ilestbondecodersonwifi'''65'''avecuncodetrès35longpourgarantirsasécurité'''97'''
  
 
== Choix de la [[norme]] d'encryptage ==
 
== Choix de la [[norme]] d'encryptage ==
La plupart des '''[[box]]''' ou des '''[[routeurs]] [[Wi-Fi]]''' proposent plusieurs '''[[normes]]''' de cryptage du code '''[[Wi-Fi]]''' à savoir :
+
La plupart des '''[[box]]''' ou des routeurs Wi-Fi proposent plusieurs '''[[normes]]''' de cryptage du code Wi-Fi à savoir :
*'''WEP (802.11) - Wired Equivalent Privacy''' -> A proscrire car facilement cassable par '''[[programme]]'''
+
*'''WEP (802.11) - Wired Equivalent Privacy''' A proscrire car facilement cassable par '''[[programme]]'''
*'''WPA (802.1x) - Wi-Fi Protected Access''' -> avec codage '''TKIP''', '''AES''' ou les '''2''' -> préférer la '''[[version]] 2''' si disponible
+
*'''WPA (802.1x) - Wi-Fi Protected Access''' avec codage TKIP, AES ou les 2 préférer la version 2 si disponible
*'''WPA2 (802.11i - Wi-Fi Protected Access V2''' -> avec '''AES''' uniquement -> Le plus fiable : a préférer
+
*'''WPA2 (802.11i - Wi-Fi Protected Access V2''' avec AES uniquement Le plus fiable : a préférer
Le choix de la méthode de protection ('''WEP''', '''WPA''' ou '''WPA2''') dépend aussi des périphériques susceptibles de ce connecter. Si aujourd'hui tous les appareils connectables en '''[[Wi-Fi]]''' supporte le '''WPA2''', ce n'était pas le cas il y a encore peu. C'est donc un point à vérifier au préalable.
+
Le choix de la méthode de protection (WEP, WPA ou WPA2) dépend aussi des périphériques susceptibles de ce connecter. Si aujourd'hui tous les appareils connectables en Wi-Fi supporte le WPA2, ce n'était pas le cas il y a encore peu. C'est donc un point à vérifier au préalable.
  
 
= Masquage du SSID =
 
= Masquage du SSID =
Le '''SSID (Service Set Identifier)''' est l'identifiant d'un réseau '''[[Wi-Fi]]''' et il est, par défaut, visible par n'importe quel périphérique '''[[Wi-Fi]]''' qui rentre dans son rayon d'action. Sur la plupart des '''[[box]]''' et '''[[routeurs]] [[Wi-Fi]]''' le '''SSID''' peut-être renommé et rendu '''invisible'''. La procédure dépend du périphérique émetteur comme décrit ici pour une '''[[Neufbox SFR]]''' Evolution dans l'article '''[[Rendre son Wifi invisible]]'''
+
Le SSID (Service Set Identifier) est l'identifiant d'un réseau Wi-Fi et il est, par défaut, visible par n'importe quel périphérique Wi-Fi qui rentre dans son rayon d'action. Sur la plupart des box et routeurs Wi-Fi le SSID peut-être renommé et rendu invisible. La procédure dépend du périphérique émetteur comme décrit ici pour une '''[[Neufbox SFR]]''' Evolution dans l'article '''[[Rendre son Wifi invisible]]'''
 
<br/><br/>
 
<br/><br/>
Une fois rendu invisible le '''SSID''' n’apparaît plus dans les liste des '''[[Wi-Fi]]''' accessibless et on s'y connecte en demandant la connexion à un autre '''[[réseau]]''' afin de pouvoir saisir le '''SSID''' (ou nom de '''[[réseau]]''') d'une part et le '''[[mot de passe]]''' d'autre part.
+
Une fois rendu invisible le SSID n’apparaît plus dans les liste des Wi-Fi accessibles et on s'y connecte en demandant la connexion à un autre réseau afin de pouvoir saisir le SSID (ou nom de réseau) d'une part et le mot de passe d'autre part.
 
<br/>
 
<br/>
Attention ! Le masquage du '''SSID'''' permet d'éviter d'être à la merci de hackers débutants mais reste facilement détectable par les spécialistes grâce au recours à des outils comme :
+
Attention ! Le masquage du SSID permet d'éviter d'être à la merci de hackers débutants mais reste facilement détectable par les spécialistes grâce au recours à des outils comme :
* [[Windows]] : [[inSSIDer]], [[WirelessNetView]], NetStumbler
+
* [[Windows]] : inSSIDer, [[WirelessNetView]], NetStumbler
* [[Android]] : [[inSSIDer]], HiddenSSID Enabler
+
* [[Android]] : inSSIDer, HiddenSSID Enabler
 
* [[iOS]] :  
 
* [[iOS]] :  
* [[Linux]] : [[Aircrack-ng]], [[Kismet]]
+
* [[Linux]] : [[Aircrack-ng]], Kismet
* [[OS X]] : [[inSSIDer]], [[Kismet]]
+
* [[macOS]] : inSSIDer, Kismet
  
 
= Identifier les utilisateurs =
 
= Identifier les utilisateurs =
L'identification des utilisateurs se fait sur leur '''[[adresse MAC]]''' suivant deux modes distincts et complémentaires :
+
L'identification des utilisateurs se fait sur leur adresse MAC suivant deux modes distincts et complémentaires :
* '''Filtrage MAC''' par le '''[[routeur]]''' ou la '''[[box]]''' qui consiste à n'autoriser que les adresses répertoriées à se connecter
+
* '''Filtrage MAC''' par le routeur ou la '''[[box]]''' qui consiste à n'autoriser que les adresses répertoriées à se connecter
 
* Surveillance du réseau par un '''[[logiciel]]''' spécialisé comme '''[[WiFi Guard]]''' pour identifier chaque utilisateur et signaler une intrusion
 
* Surveillance du réseau par un '''[[logiciel]]''' spécialisé comme '''[[WiFi Guard]]''' pour identifier chaque utilisateur et signaler une intrusion
  
 
== Filtrage MAC ==
 
== Filtrage MAC ==
 
[[Fichier:Sfr-neufbox-filtrage-adresse-mac-160813.jpg|vignette|droite|Filtrage des adresse MAC sur Neufbox SFR]]
 
[[Fichier:Sfr-neufbox-filtrage-adresse-mac-160813.jpg|vignette|droite|Filtrage des adresse MAC sur Neufbox SFR]]
Ce filtrage effectué au niveau de la '''[[box]]''' ou du '''[[routeur]]''', se passe en deux étapes
+
Ce filtrage effectué au niveau de la '''[[box]]''' ou du routeur, se passe en deux étapes
* La demande de '''filtrage MAC''' au niveau de la '''[[box]]''' ou du '''[[routeur]]'''
+
* La demande de '''filtrage MAC''' au niveau de la '''[[box]]''' ou du routeur
 
* L'entrée dans une liste d'adresse autorisées de toutes les '''[[adresses MAC]]''' susceptibles de se connecter.
 
* L'entrée dans une liste d'adresse autorisées de toutes les '''[[adresses MAC]]''' susceptibles de se connecter.
 
  Exemple sous '''[[Neufbox SFR]]''', aller à l'écran http://192.168.1.1/wifi/macfiltering
 
  Exemple sous '''[[Neufbox SFR]]''', aller à l'écran http://192.168.1.1/wifi/macfiltering
 
  Valider le '''filtrage MAC''' en mettant '''Activé''' à '''Activation du filtrage MAC'''
 
  Valider le '''filtrage MAC''' en mettant '''Activé''' à '''Activation du filtrage MAC'''
  Entrer les '''[[adresses MAC]]''' les unes après les autres.  
+
  Entrer les adresses MAC les unes après les autres.  
  Pour connaître l''''[[adresse MAC]]''' de chaque dispositif à autoriser, se reporter à '''[[Trouver l'adresse MAC d'un dispositif]]'''
+
  Pour connaître l'adresse MAC de chaque dispositif à autoriser, se reporter à '''[[Trouver l'adresse MAC d'un dispositif]]'''
  
== Surveillance du [[réseau]] ==
+
== Surveillance du réseau ==
Que le '''filtrage MAC''' soit opérationnel ou non, il est possible d'installer un '''[[utilitaire]]'''' sur un ou plusieurs des '''[[ordinateurs]]''' connectés au '''[[réseau]]''' afin d'en surveiller les dispositifs qui s'y connectent. Ces '''[[logiciels]]''' permettent ainsi de créer une liste de dispositifs connus, sur la base de leur '''[[adresse MAC]]''' mais aussi de signaler en temps réel toute connexion au '''[[réseau]]''' par un accès filaire '''(Ethernet)''' ou '''[[Wi-Fi]]'''.
+
Que le filtrage MAC soit opérationnel ou non, il est possible d'installer un '''[[utilitaire]]'''' sur un ou plusieurs des '''[[ordinateurs]]''' connectés au réseau afin d'en surveiller les dispositifs qui s'y connectent. Ces '''[[logiciels]]''' permettent ainsi de créer une liste de dispositifs connus, sur la base de leur adresse MAC mais aussi de signaler en temps réel toute connexion au réseau par un accès filaire (Ethernet) ou Wi-Fi.
  
 
== Articles [[Vulgum Techus]] ==
 
== Articles [[Vulgum Techus]] ==
Ligne 74 : Ligne 76 :
 
* [[Trouver l'adresse MAC d'un dispositif]]
 
* [[Trouver l'adresse MAC d'un dispositif]]
 
* [[MAC spoofing sur Windows]]
 
* [[MAC spoofing sur Windows]]
 +
* [[inSSIDer]]
 +
* [[Kismet]]
 +
* [[réseau]]
 +
* [[routeur]]
  
 
= Commentaires =
 
= Commentaires =

Version actuelle en date du 20 juin 2019 à 23:56

Lien court vers cette page : https://vt.cx/BpWF
QR code vers cette page : https://vt.cx/BpWF.qr

Présentation

Protéger un réseau Wi-Fi c'est faire en sorte qu'aucun utilisateur non autorisé l'utilise sans l'accord éclairé de son propriétaire. Cela sous-entend de comprendre un certains nombre de notions simples qui conditionne la sécurité du réseau à savoir :

  • Bonne gestion du mot de passe
  • Diffusion du SSID
  • Identification des utilisateurs et surveillance du réseau

Gestion du mot de passe

  • Par défaut le réseau Wi-Fi est protégé par un mot de passe constructeur et très souvent, celui-ci correspond à tout ou partie du numéro de série sous la box qui est très facilement accessible à tous. Il est donc important de l'en changer rapidement.
  • Sur certaines box comme la Neufbox SFR, on peut facilement accéder au mot de passe Wi-Fi sans même le connaitre ! Il faut donc veiller à ce que l'accès à ce qu'aucun visiteur ne puisse avoir accès aux deux trop facilement et changer fréquemment de mot de passe.

Choix du mot de passe

Les mots de passe Wi-Fi peuvent être très longs et c'est une faculté dont il faut profiter en mettant des phrases entières entrecoupées de chiffres par exemple :

12ilestbondecodersonwifi23avecuncodetrès35longpourgarantirsasécurité46

Un minimum de 14 caractères est prescrit. Éviter des phrases sans chiffre du type

ceciestlemotdepassedemonwifi

Le changement de mot de passe est à faire le plus régulièrement possible (tous les mois par exemple). Dans le cas d'un mot de passe très long comme celui proposé plus haut, et pour simplifier le changement sur tous les dispositifs connectés, il suffit de changer juste une partie (exemple un ou deux nombres).

 12ilestbondecodersonwifi23avecuncodetrès35longpourgarantirsasécurité46
 28ilestbondecodersonwifi65avecuncodetrès35longpourgarantirsasécurité97

Choix de la norme d'encryptage

La plupart des box ou des routeurs Wi-Fi proposent plusieurs normes de cryptage du code Wi-Fi à savoir :

  • WEP (802.11) - Wired Equivalent Privacy → A proscrire car facilement cassable par programme
  • WPA (802.1x) - Wi-Fi Protected Access → avec codage TKIP, AES ou les 2 → préférer la version 2 si disponible
  • WPA2 (802.11i - Wi-Fi Protected Access V2 → avec AES uniquement → Le plus fiable : a préférer

Le choix de la méthode de protection (WEP, WPA ou WPA2) dépend aussi des périphériques susceptibles de ce connecter. Si aujourd'hui tous les appareils connectables en Wi-Fi supporte le WPA2, ce n'était pas le cas il y a encore peu. C'est donc un point à vérifier au préalable.

Masquage du SSID

Le SSID (Service Set Identifier) est l'identifiant d'un réseau Wi-Fi et il est, par défaut, visible par n'importe quel périphérique Wi-Fi qui rentre dans son rayon d'action. Sur la plupart des box et routeurs Wi-Fi le SSID peut-être renommé et rendu invisible. La procédure dépend du périphérique émetteur comme décrit ici pour une Neufbox SFR Evolution dans l'article Rendre son Wifi invisible

Une fois rendu invisible le SSID n’apparaît plus dans les liste des Wi-Fi accessibles et on s'y connecte en demandant la connexion à un autre réseau afin de pouvoir saisir le SSID (ou nom de réseau) d'une part et le mot de passe d'autre part.
Attention ! Le masquage du SSID permet d'éviter d'être à la merci de hackers débutants mais reste facilement détectable par les spécialistes grâce au recours à des outils comme :

Identifier les utilisateurs

L'identification des utilisateurs se fait sur leur adresse MAC suivant deux modes distincts et complémentaires :

  • Filtrage MAC par le routeur ou la box qui consiste à n'autoriser que les adresses répertoriées à se connecter
  • Surveillance du réseau par un logiciel spécialisé comme WiFi Guard pour identifier chaque utilisateur et signaler une intrusion

Filtrage MAC

Filtrage des adresse MAC sur Neufbox SFR

Ce filtrage effectué au niveau de la box ou du routeur, se passe en deux étapes

  • La demande de filtrage MAC au niveau de la box ou du routeur
  • L'entrée dans une liste d'adresse autorisées de toutes les adresses MAC susceptibles de se connecter.
Exemple sous Neufbox SFR, aller à l'écran http://192.168.1.1/wifi/macfiltering
Valider le filtrage MAC en mettant Activé à Activation du filtrage MAC
Entrer les adresses MAC les unes après les autres. 
Pour connaître l'adresse MAC de chaque dispositif à autoriser, se reporter à Trouver l'adresse MAC d'un dispositif

Surveillance du réseau

Que le filtrage MAC soit opérationnel ou non, il est possible d'installer un utilitaire' sur un ou plusieurs des ordinateurs connectés au réseau afin d'en surveiller les dispositifs qui s'y connectent. Ces logiciels permettent ainsi de créer une liste de dispositifs connus, sur la base de leur adresse MAC mais aussi de signaler en temps réel toute connexion au réseau par un accès filaire (Ethernet) ou Wi-Fi.

Articles Vulgum Techus

Commentaires

blog comments powered by Disqus