Bien protéger son Wi-Fi

De Vulgum Techus
Aller à : Navigation, rechercher

Présentation

Protéger un réseau Wi-Fi c'est faire en sorte qu'aucun utilisateur non autorisé l'utilise sans l'accord éclairé de son propriétaire. Cela sous-entend de comprendre un certains nombre de notions simples qui conditionne la sécurité du réseau à savoir :

  • Bonne gestion du mot de passe
  • Diffusion du SSID
  • Identification des utilisateurs et surveillance du réseau

Gestion du mot de passe

  • Par défaut le réseau Wi-Fi est protégé par un mot de passe constructeur et très souvent, celui-ci correspond au numéro de série sous le boitier très facilement accessible à tous. Il est donc important de l'en changer rapidement.
  • Sur certaines box comme la Neufbox SFR, on peut facilement accéder au mot de passe Wi-Fi sans même connaitre le mot de passe de la Neufbox SFR. Il faut donc veiller à ce que l'accès à ce qu'aucun visiteur ne puisse avoir accès aux deux trop facilement et changer fréquemment de mot de passe.

Choix du mot de passe

Les mots de passe Wi-Fi peuvent être très longs et c'est une faculté dont il faut profiter en mettant des phrases entières entrecoupées de chiffres par exemple :

12ilestbondecodersonwifi23avecuncodetrès35longpourgarantirsasécurité46

Un minimum de 14 caractères est prescrit. Éviter des phrases sans chiffre du type

ceciestlemotdepassedemonwifi

Choix de la norme d'encryptage

La plupart des box ou des routeurs Wi-Fi proposent plusieurs normes de cryptage du code Wi-Fi à savoir :

  • WEP (802.11) - Wired Equivalent Privacy -> A proscrire car facilement craquable par programme
  • WPA (802.1x) - Wi-Fi Protected Access -> avec codage TKIP, AES ou les 2 -> préférer la version 2 si disponible
  • WPA2 (802.11i - Wi-Fi Protected Access V2 -> avec AES uniquement -> Le plus fiable : a préférer

Le choix de la méthode de protection (WEP, WPA ou WPA2) dépend aussi des périphériques susceptibles de ce connecter. Si aujourd'hui tous les appareils connectables en Wi-Fi supporte le WPA2, ce n'était pas le cas il y a encore peu. C'est donc un point à vérifier au préalable.

Masquage du SSID

Le SSID (Service Set Identifier) est l'identifiant d'un réseau Wi-Fi et il est, par défaut, visible par n'importe quel périphérique Wi-Fi qui rentre dans son rayon d'action. Sur la plupart des box et routeurs Wi-Fi le SSID peut-être renommé et rendu invisible. La procédure dépend du périphérique émetteur comme décrit ici pour une Neufbox SFR Evolution dans l'article Rendre son Wifi invisible

Une fois rendu invisible le SSID n’apparaît plus dans les liste de Wi-Fi accessible et on s'y connecte en demandant la connexion à un autre réseau afin de pouvoir saisir le SSID (ou nom de réseau) d'une part et le mot de passe d'autre part.
Attention ! Le masquage du SSID permet d'éviter d'être à la merci de hackers débutants mais reste facilement détectable par les spécialistes grâce au recours à des outils comme :

Identifier les utilisateurs

L'identification des utilisateurs se fait sur leur adresse MAC suivant deux modes distincts et complémentaires :

  • Filtrage MAC par le routeur ou la box qui consiste à n'autoriser que les adresses répertoriées à se connecter
  • Surveillance du réseau par un logiciel spécialisé comme WiFi Guard pour identifier chaque utilisateur et signaler une intrusion

Filtrage MAC

Ce filtrage effectué au niveau de la box ou du routeur, se passe en deux étapes

  • La demande de filtrage MAC au niveau de la box ou du routeur
  • L'entrée dans une liste d'adresse autorisées de toutes les adresses MAC susceptibles de se connecter.
Exemple sous Neufbox SFR, aller à l'écran http://192.168.1.1/wifi/macfiltering
Valider le filtrage MAC en mettant Activé à Activation du filtrage MAC
Entrer les adresses MAC les unes après les autres. 
Pour connaître l'adresse MAC de chaque dispositif à autoriser, se reporter à Conn

Surveillance du réseau

Que le filtrage MAC soit opérationnel ou non, il est possible d'installer un utilitaire sur un ou plusieurs des ordinateurs connectés au réseau afin d'en surveiller les dispositifs qui s'y connectent. Ces logiciels permettent ainsi de créer une liste de dispositifs connus, sur la base de leur adresse MAC mais aussi de signaler en temps réel toute connexion au réseau par un accès filaire (Ethernet) ou Wi-Fi.