Bien protéger son Wi-Fi : Différence entre versions

De Vulgum Techus
Aller à : Navigation, rechercher
 
(27 révisions intermédiaires par un utilisateur sont masquées)
Ligne 1 : Ligne 1 :
=Présentation=
+
<!-- Links checked 20/03/19 -->
Protéger un réseau [[Wi-Fi]] c'est faire en sorte qu'aucun utilisateur non autorisé l'utilise sans l'accord éclairé de son propriétaire. Cela sous-entend de comprendre un certains nombre de notions simples qui conditionne la sécurité du réseau à savoir :
+
[[Catégorie:Fournisseurs d'accès Internet]]
*Bonne gestion du mot de passe
+
[[Catégorie:Sécurité]]
*Diffusion du SSID
+
[[Catégorie:Téléphonie]]
*Identification des utilisateurs et surveillance du réseau
+
'''[[Lien court]]''' vers cette page : https://vt.cx/BpWF
=Gestion du mot de passe=
+
'''[[QR code]]''' vers cette page : https://vt.cx/BpWF.qr
*Par défaut le réseau Wi-Fi est protégé par un mot de passe constructeur et très souvent, celui-ci correspond au numéro de série sous le boitier très facilement accessible à tous. Il est donc important de l'en changer rapidement.<br/>
+
<html>
*Sur certaines box comme la [[Neufbox SFR]], on peut facilement accéder au mot de passe Wi-Fi sans même connaitre le mot de passe de la [[Neufox SFR]]. Il faut donc veiller à ce que l'accès à ce qu'aucun visiteur ne puisse avoir accès aux deux trop facilement et changer fréquemment de mot de passe.
+
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
==Choix du mot de passe==
+
<!-- VT2 -->
Les mots de passe Wi-Fi peuvent être très longs et c'est une faculté dont il faut profiter en mettant des phrases entières entrecoupées de chiffres par exemple :
+
<ins class="adsbygoogle"
 +
    style="display:inline-block;width:468px;height:60px"
 +
    data-ad-client="ca-pub-3341840374417340"
 +
    data-ad-slot="6349432125"></ins>
 +
<script>
 +
(adsbygoogle = window.adsbygoogle || []).push({});
 +
</script>
 +
</html>
 +
 
 +
= Présentation =
 +
Protéger un '''[[réseau]] [[Wi-Fi]]''' c'est faire en sorte qu'aucun utilisateur non autorisé l'utilise sans l'accord éclairé de son propriétaire. Cela sous-entend de comprendre un certains nombre de notions simples qui conditionne la '''[[sécurité]]''' du réseau à savoir :
 +
* Bonne gestion du '''[[mot de passe]]'''
 +
* Diffusion du SSID
 +
* Identification des utilisateurs et surveillance du réseau
 +
= Gestion du [[mot de passe]] =
 +
* Par défaut le '''[[réseau Wi-Fi]]''' est protégé par un '''[[mot de passe]]''' constructeur et très souvent, celui-ci correspond à tout ou partie du '''numéro de série''' sous la '''[[box]]''' qui est très facilement accessible à tous. Il est donc important de l'en changer rapidement.<br/>
 +
* Sur certaines '''[[box]]''' comme la '''[[Neufbox SFR]]''', on peut facilement accéder au '''[[mot de passe]] [[Wi-Fi]]''' sans même le connaitre ! Il faut donc veiller à ce que l'accès à ce qu'aucun visiteur ne puisse avoir accès aux deux trop facilement et changer fréquemment de '''[[mot de passe]]'''.
 +
 
 +
== Choix du [[mot de passe]] ==
 +
Les '''[[mots de passe]] [[Wi-Fi]]''' peuvent être très longs et c'est une faculté dont il faut profiter en mettant des phrases entières entrecoupées de chiffres par exemple :
 
  12ilestbondecodersonwifi23avecuncodetrès35longpourgarantirsasécurité46
 
  12ilestbondecodersonwifi23avecuncodetrès35longpourgarantirsasécurité46
Un minimum de 14 caractères est prescrit. Éviter des phrases sans chiffre du type
+
Un minimum de '''14 caractères''' est prescrit. Éviter des phrases sans chiffre du type
 
  ceciestlemotdepassedemonwifi
 
  ceciestlemotdepassedemonwifi
==Choix de la norme d'encryptage==
+
Le changement de mot de passe est à faire le plus régulièrement possible (tous les mois par exemple). Dans le cas d'un mot de passe très long comme celui proposé plus haut, et pour simplifier le changement sur tous les dispositifs connectés, il suffit de changer juste une partie (exemple un ou deux nombres).
La plupart des box ou des routeurs [[Wi-Fi]] proposent plusieurs normes de cryptage du code [[Wi-Fi]] à savoir :
+
  12ilestbondecodersonwifi23avecuncodetrès35longpourgarantirsasécurité46
*'''WEP (802.11) - Wired Equivalent Privacy''' -> A proscrire car facilement craquable par programme
+
  '''28'''ilestbondecodersonwifi'''65'''avecuncodetrès35longpourgarantirsasécurité'''97'''
*'''WPA (802.1x) - Wi-Fi Protected Access''' -> avec codage TKIP, AES ou les 2 -> préférer la version 2 si disponible
+
*'''WPA2 (802.11i - Wi-Fi Protected Access V2''' -> avec AES uniquement -> Le plus fiable : a préférer
+
Le choix de la méthode de protection (WEP, WPA ou WPA2) dépend aussi des périphériques susceptibles de ce connecter. Si aujourd'hui tous les appareils connectables en [[Wi-Fi]] supporte le WPA2, ce n'était pas le cas il y a encore peu. C'est donc un point à vérifier au préalable.
+
  
=Masquage du SSID=
+
== Choix de la [[norme]] d'encryptage ==
Le SSID (Service set identifier) est l'identifiant d'un réseau [[Wi-Fi]] et il est, par défaut, visible par n'importe quel périphérique [[Wi-Fi]] qui rentre dans son rayon d'action. Sur la plupart des box et routeurs [[Wi-Fi]] le SSID peut-être renommé et rendu invisible. La procédure dépend du périphérique émetteur comme décrit ici pour une [[Neufbox SFR]] Evolution dans l'article [[]]
+
La plupart des '''[[box]]''' ou des routeurs Wi-Fi proposent plusieurs '''[[normes]]''' de cryptage du code Wi-Fi à savoir :
 +
*'''WEP (802.11) - Wired Equivalent Privacy''' → A proscrire car facilement cassable par '''[[programme]]'''
 +
*'''WPA (802.1x) - Wi-Fi Protected Access''' → avec codage TKIP, AES ou les 2 → préférer la version 2 si disponible
 +
*'''WPA2 (802.11i - Wi-Fi Protected Access V2''' → avec AES uniquement → Le plus fiable : a préférer
 +
Le choix de la méthode de protection (WEP, WPA ou WPA2) dépend aussi des périphériques susceptibles de ce connecter. Si aujourd'hui tous les appareils connectables en Wi-Fi supporte le WPA2, ce n'était pas le cas il y a encore peu. C'est donc un point à vérifier au préalable.
 +
 
 +
= Masquage du SSID =
 +
Le SSID (Service Set Identifier) est l'identifiant d'un réseau Wi-Fi et il est, par défaut, visible par n'importe quel périphérique Wi-Fi qui rentre dans son rayon d'action. Sur la plupart des box et routeurs Wi-Fi le SSID peut-être renommé et rendu invisible. La procédure dépend du périphérique émetteur comme décrit ici pour une '''[[Neufbox SFR]]''' Evolution dans l'article '''[[Rendre son Wifi invisible]]'''
 +
<br/><br/>
 +
Une fois rendu invisible le SSID n’apparaît plus dans les liste des Wi-Fi accessibles et on s'y connecte en demandant la connexion à un autre réseau afin de pouvoir saisir le SSID (ou nom de réseau) d'une part et le mot de passe d'autre part.
 
<br/>
 
<br/>
Une fois rendu invisible le SSID n’apparaît plus dans les liste de [[Wi-Fi]] accessible et on s'y connecte en demandant la connexion à un autre réseau afin de pouvoir saisir le SSID (ou nom de réseau) d'une part et le mot de passe d'autre part.
+
Attention ! Le masquage du SSID permet d'éviter d'être à la merci de hackers débutants mais reste facilement détectable par les spécialistes grâce au recours à des outils comme :
 +
* [[Windows]] : inSSIDer, [[WirelessNetView]], NetStumbler
 +
* [[Android]] : inSSIDer, HiddenSSID Enabler
 +
* [[iOS]] :
 +
* [[Linux]] : [[Aircrack-ng]], Kismet
 +
* [[macOS]] : inSSIDer, Kismet
 +
 
 +
= Identifier les utilisateurs =
 +
L'identification des utilisateurs se fait sur leur adresse MAC suivant deux modes distincts et complémentaires :
 +
* '''Filtrage MAC''' par le routeur ou la '''[[box]]''' qui consiste à n'autoriser que les adresses répertoriées à se connecter
 +
* Surveillance du réseau par un '''[[logiciel]]''' spécialisé comme '''[[WiFi Guard]]''' pour identifier chaque utilisateur et signaler une intrusion
  
 +
== Filtrage MAC ==
 +
[[Fichier:Sfr-neufbox-filtrage-adresse-mac-160813.jpg|vignette|droite|Filtrage des adresse MAC sur Neufbox SFR]]
 +
Ce filtrage effectué au niveau de la '''[[box]]''' ou du routeur, se passe en deux étapes
 +
* La demande de '''filtrage MAC''' au niveau de la '''[[box]]''' ou du routeur
 +
* L'entrée dans une liste d'adresse autorisées de toutes les '''[[adresses MAC]]''' susceptibles de se connecter.
 +
Exemple sous '''[[Neufbox SFR]]''', aller à l'écran http://192.168.1.1/wifi/macfiltering
 +
Valider le '''filtrage MAC''' en mettant '''Activé''' à '''Activation du filtrage MAC'''
 +
Entrer les adresses MAC les unes après les autres.
 +
Pour connaître l'adresse MAC de chaque dispositif à autoriser, se reporter à '''[[Trouver l'adresse MAC d'un dispositif]]'''
  
 +
== Surveillance du réseau ==
 +
Que le filtrage MAC soit opérationnel ou non, il est possible d'installer un '''[[utilitaire]]'''' sur un ou plusieurs des '''[[ordinateurs]]''' connectés au réseau afin d'en surveiller les dispositifs qui s'y connectent. Ces '''[[logiciels]]''' permettent ainsi de créer une liste de dispositifs connus, sur la base de leur adresse MAC mais aussi de signaler en temps réel toute connexion au réseau par un accès filaire (Ethernet) ou Wi-Fi.
  
 +
== Articles [[Vulgum Techus]] ==
 +
* [[adresse MAC]]
 +
* [[Trouver l'adresse MAC d'un dispositif]]
 +
* [[MAC spoofing sur Windows]]
 +
* [[inSSIDer]]
 +
* [[Kismet]]
 +
* [[réseau]]
 +
* [[routeur]]
  
=Identifier les utilisateurs=
+
= Commentaires =
 +
{{#widget:DISQUS
 +
|id=vulgumtechus
 +
}}

Version actuelle en date du 20 juin 2019 à 23:56

Lien court vers cette page : https://vt.cx/BpWF
QR code vers cette page : https://vt.cx/BpWF.qr

Présentation

Protéger un réseau Wi-Fi c'est faire en sorte qu'aucun utilisateur non autorisé l'utilise sans l'accord éclairé de son propriétaire. Cela sous-entend de comprendre un certains nombre de notions simples qui conditionne la sécurité du réseau à savoir :

  • Bonne gestion du mot de passe
  • Diffusion du SSID
  • Identification des utilisateurs et surveillance du réseau

Gestion du mot de passe

  • Par défaut le réseau Wi-Fi est protégé par un mot de passe constructeur et très souvent, celui-ci correspond à tout ou partie du numéro de série sous la box qui est très facilement accessible à tous. Il est donc important de l'en changer rapidement.
  • Sur certaines box comme la Neufbox SFR, on peut facilement accéder au mot de passe Wi-Fi sans même le connaitre ! Il faut donc veiller à ce que l'accès à ce qu'aucun visiteur ne puisse avoir accès aux deux trop facilement et changer fréquemment de mot de passe.

Choix du mot de passe

Les mots de passe Wi-Fi peuvent être très longs et c'est une faculté dont il faut profiter en mettant des phrases entières entrecoupées de chiffres par exemple :

12ilestbondecodersonwifi23avecuncodetrès35longpourgarantirsasécurité46

Un minimum de 14 caractères est prescrit. Éviter des phrases sans chiffre du type

ceciestlemotdepassedemonwifi

Le changement de mot de passe est à faire le plus régulièrement possible (tous les mois par exemple). Dans le cas d'un mot de passe très long comme celui proposé plus haut, et pour simplifier le changement sur tous les dispositifs connectés, il suffit de changer juste une partie (exemple un ou deux nombres).

 12ilestbondecodersonwifi23avecuncodetrès35longpourgarantirsasécurité46
 28ilestbondecodersonwifi65avecuncodetrès35longpourgarantirsasécurité97

Choix de la norme d'encryptage

La plupart des box ou des routeurs Wi-Fi proposent plusieurs normes de cryptage du code Wi-Fi à savoir :

  • WEP (802.11) - Wired Equivalent Privacy → A proscrire car facilement cassable par programme
  • WPA (802.1x) - Wi-Fi Protected Access → avec codage TKIP, AES ou les 2 → préférer la version 2 si disponible
  • WPA2 (802.11i - Wi-Fi Protected Access V2 → avec AES uniquement → Le plus fiable : a préférer

Le choix de la méthode de protection (WEP, WPA ou WPA2) dépend aussi des périphériques susceptibles de ce connecter. Si aujourd'hui tous les appareils connectables en Wi-Fi supporte le WPA2, ce n'était pas le cas il y a encore peu. C'est donc un point à vérifier au préalable.

Masquage du SSID

Le SSID (Service Set Identifier) est l'identifiant d'un réseau Wi-Fi et il est, par défaut, visible par n'importe quel périphérique Wi-Fi qui rentre dans son rayon d'action. Sur la plupart des box et routeurs Wi-Fi le SSID peut-être renommé et rendu invisible. La procédure dépend du périphérique émetteur comme décrit ici pour une Neufbox SFR Evolution dans l'article Rendre son Wifi invisible

Une fois rendu invisible le SSID n’apparaît plus dans les liste des Wi-Fi accessibles et on s'y connecte en demandant la connexion à un autre réseau afin de pouvoir saisir le SSID (ou nom de réseau) d'une part et le mot de passe d'autre part.
Attention ! Le masquage du SSID permet d'éviter d'être à la merci de hackers débutants mais reste facilement détectable par les spécialistes grâce au recours à des outils comme :

Identifier les utilisateurs

L'identification des utilisateurs se fait sur leur adresse MAC suivant deux modes distincts et complémentaires :

  • Filtrage MAC par le routeur ou la box qui consiste à n'autoriser que les adresses répertoriées à se connecter
  • Surveillance du réseau par un logiciel spécialisé comme WiFi Guard pour identifier chaque utilisateur et signaler une intrusion

Filtrage MAC

Filtrage des adresse MAC sur Neufbox SFR

Ce filtrage effectué au niveau de la box ou du routeur, se passe en deux étapes

  • La demande de filtrage MAC au niveau de la box ou du routeur
  • L'entrée dans une liste d'adresse autorisées de toutes les adresses MAC susceptibles de se connecter.
Exemple sous Neufbox SFR, aller à l'écran http://192.168.1.1/wifi/macfiltering
Valider le filtrage MAC en mettant Activé à Activation du filtrage MAC
Entrer les adresses MAC les unes après les autres. 
Pour connaître l'adresse MAC de chaque dispositif à autoriser, se reporter à Trouver l'adresse MAC d'un dispositif

Surveillance du réseau

Que le filtrage MAC soit opérationnel ou non, il est possible d'installer un utilitaire' sur un ou plusieurs des ordinateurs connectés au réseau afin d'en surveiller les dispositifs qui s'y connectent. Ces logiciels permettent ainsi de créer une liste de dispositifs connus, sur la base de leur adresse MAC mais aussi de signaler en temps réel toute connexion au réseau par un accès filaire (Ethernet) ou Wi-Fi.

Articles Vulgum Techus

Commentaires

blog comments powered by Disqus