Bien protéger son Wi-Fi
Lien court vers cette page : https://vt.cx/BpWF QR code vers cette page : https://vt.cx/BpWF.qr
Sommaire
Présentation
Protéger un réseau Wi-Fi c'est faire en sorte qu'aucun utilisateur non autorisé l'utilise sans l'accord éclairé de son propriétaire. Cela sous-entend de comprendre un certains nombre de notions simples qui conditionne la sécurité du réseau à savoir :
- Bonne gestion du mot de passe
- Diffusion du SSID
- Identification des utilisateurs et surveillance du réseau
Gestion du mot de passe
- Par défaut le réseau Wi-Fi est protégé par un mot de passe constructeur et très souvent, celui-ci correspond à tout ou partie du numéro de série sous la box qui est très facilement accessible à tous. Il est donc important de l'en changer rapidement.
- Sur certaines box comme la Neufbox SFR, on peut facilement accéder au mot de passe Wi-Fi sans même le connaitre ! Il faut donc veiller à ce que l'accès à ce qu'aucun visiteur ne puisse avoir accès aux deux trop facilement et changer fréquemment de mot de passe.
Choix du mot de passe
Les mots de passe Wi-Fi peuvent être très longs et c'est une faculté dont il faut profiter en mettant des phrases entières entrecoupées de chiffres par exemple :
12ilestbondecodersonwifi23avecuncodetrès35longpourgarantirsasécurité46
Un minimum de 14 caractères est prescrit. Éviter des phrases sans chiffre du type
ceciestlemotdepassedemonwifi
Le changement de mot de passe est à faire le plus régulièrement possible (tous les mois par exemple). Dans le cas d'un mot de passe très long comme celui proposé plus haut, et pour simplifier le changement sur tous les dispositifs connectés, il suffit de changer juste une partie (exemple un ou deux nombres).
12ilestbondecodersonwifi23avecuncodetrès35longpourgarantirsasécurité46 28ilestbondecodersonwifi65avecuncodetrès35longpourgarantirsasécurité97
Choix de la norme d'encryptage
La plupart des box ou des routeurs Wi-Fi proposent plusieurs normes de cryptage du code Wi-Fi à savoir :
- WEP (802.11) - Wired Equivalent Privacy → A proscrire car facilement cassable par programme
- WPA (802.1x) - Wi-Fi Protected Access → avec codage TKIP, AES ou les 2 → préférer la version 2 si disponible
- WPA2 (802.11i - Wi-Fi Protected Access V2 → avec AES uniquement → Le plus fiable : a préférer
Le choix de la méthode de protection (WEP, WPA ou WPA2) dépend aussi des périphériques susceptibles de ce connecter. Si aujourd'hui tous les appareils connectables en Wi-Fi supporte le WPA2, ce n'était pas le cas il y a encore peu. C'est donc un point à vérifier au préalable.
Masquage du SSID
Le SSID (Service Set Identifier) est l'identifiant d'un réseau Wi-Fi et il est, par défaut, visible par n'importe quel périphérique Wi-Fi qui rentre dans son rayon d'action. Sur la plupart des box et routeurs Wi-Fi le SSID peut-être renommé et rendu invisible. La procédure dépend du périphérique émetteur comme décrit ici pour une Neufbox SFR Evolution dans l'article Rendre son Wifi invisible
Une fois rendu invisible le SSID n’apparaît plus dans les liste des Wi-Fi accessibles et on s'y connecte en demandant la connexion à un autre réseau afin de pouvoir saisir le SSID (ou nom de réseau) d'une part et le mot de passe d'autre part.
Attention ! Le masquage du SSID permet d'éviter d'être à la merci de hackers débutants mais reste facilement détectable par les spécialistes grâce au recours à des outils comme :
- Windows : inSSIDer, WirelessNetView, NetStumbler
- Android : inSSIDer, HiddenSSID Enabler
- iOS :
- Linux : Aircrack-ng, Kismet
- macOS : inSSIDer, Kismet
Identifier les utilisateurs
L'identification des utilisateurs se fait sur leur adresse MAC suivant deux modes distincts et complémentaires :
- Filtrage MAC par le routeur ou la box qui consiste à n'autoriser que les adresses répertoriées à se connecter
- Surveillance du réseau par un logiciel spécialisé comme WiFi Guard pour identifier chaque utilisateur et signaler une intrusion
Filtrage MAC
Ce filtrage effectué au niveau de la box ou du routeur, se passe en deux étapes
- La demande de filtrage MAC au niveau de la box ou du routeur
- L'entrée dans une liste d'adresse autorisées de toutes les adresses MAC susceptibles de se connecter.
Exemple sous Neufbox SFR, aller à l'écran http://192.168.1.1/wifi/macfiltering Valider le filtrage MAC en mettant Activé à Activation du filtrage MAC Entrer les adresses MAC les unes après les autres. Pour connaître l'adresse MAC de chaque dispositif à autoriser, se reporter à Trouver l'adresse MAC d'un dispositif
Surveillance du réseau
Que le filtrage MAC soit opérationnel ou non, il est possible d'installer un utilitaire' sur un ou plusieurs des ordinateurs connectés au réseau afin d'en surveiller les dispositifs qui s'y connectent. Ces logiciels permettent ainsi de créer une liste de dispositifs connus, sur la base de leur adresse MAC mais aussi de signaler en temps réel toute connexion au réseau par un accès filaire (Ethernet) ou Wi-Fi.
Articles Vulgum Techus
- adresse MAC
- Trouver l'adresse MAC d'un dispositif
- MAC spoofing sur Windows
- inSSIDer
- Kismet
- réseau
- routeur