Sécuriser votre réseau sans fil

Des sociétés de toutes tailles utilisent aujourd’hui des réseaux sans fil. Dans les petites et moyennes entreprises (PME), leur faible coût et leur facilité de déploiement peuvent les rendre préférables aux réseaux câblés. Pour les grandes entreprises, les réseaux sans fil ont plusieurs usages : réunion d’employés munis de portables dans des salles, des halls d’hôtels, et même des cafétérias, connectés aux réseaux.Les mérites des réseaux sans fil induisent un fort besoin de sécurité. Des réseaux sans fil non protégés offrent aux pirates et à ceux qui veulent simplement se connecter gratuitement à Internet, un libre accès à votre intranet. Il n’est pas rare de voir des réseaux sans fil sauvages dans de grandes entreprises.
En effet, les groupes de travail ou les utilisateurs finaux ignorent parfois le règlement intérieur et installent des points d’accès (AP, Access Points) pour répondre à un besoin ponctuel. Mais, ce faisant, ils font courir un grand risque à tous Songez à cela : des adeptes du spam et du phishing particulièrement astucieux savent maintenant utiliser des réseaux sans fil non sécurisés pour envoyer des messages de courriel en masse. Ils circulent dans les zones urbaines et dans les quartiers d’affaires, à la recherche de réseaux sans fil vulnérables.

Quand ils en trouvent un, ils configurent leurs systèmes mobiles pour s’y connecter, obtenir une location DHCP avec une adresse IP valide, DNS, et une information de passerelle par défaut ; puis pour envoyer leurs messages. Si vous avez déjà utilisé un outil tel que NetStumbler ou les outils de gestion sans fil intégrés que l’on trouve sur la plupart des portables et des PDA, vous avez sûrement rencontré des réseaux sans fil non sécurisés dans votre voisinage, autour de votre bureau, voire dans votre propre entreprise.

Les propriétaires de réseaux non sécurisés courent de nombreux risques : perte de bande passante sur leur connexion Internet, infection virale, voire une responsabilité pénale ou civile si leurs réseaux sans fil non sécurisés servent à lancer des attaques contre autrui.
Voyons quelques étapes pratiques permettant de sécuriser vos réseaux sans fil, les méthodes d’automatisation du déploiement des paramètres de configuration, et les outils permettant de repérer la présence de réseaux sans fil non sécurisés et non autorisés.

Pour pouvoir sécuriser un réseau sans fil, vous devez connaître les principes de base en la matière. Les réseaux sans fil sont généralement constitués de points d’accès (AP) et de clients qui ont des NIC sans fil. Les AP et les NIC sans fil ont des émetteurs-récepteurs ou des radios qui leur servent à communiquer entre eux. Chaque AP et NIC sans fil a une adresse MAC (media access control) de 48 bits, fonctionnellement équivalente à une adresse Ethernet. Les AP relient les réseaux sans fil et câblés, donnant aux clients des premiers l’accès aux seconds.
Les clients sans fil peuvent parfois communiquer sans un AP mais cela suppose des réseaux ad hoc plutôt rares dans des environnements d’entreprise. Chaque réseau sans fil est identifié par un SSID (Service Set Identifier) défini par l’administrateur. Pour que les clients sans fil puissent communiquer avec un AP, ils doivent être en mesure de reconnaître le SSID de celui-ci. S’il y a plusieurs AP dans votre réseau sans fil et s’il partage le même SSID (et les mêmes valeurs d’authentification et de cryptage), vos clients sans fil mobiles peuvent se déplacer parmi eux.

Le standard sans fil prédominant est 802.11 et ses amendements. 802.11 définit un réseau capable d’opérer à des vitesses allant jusqu’à 2 Mbps. Les amendements apportés au standard définissent des débits de données plus rapides.
Le premier, 802.11b, est le profil prédominant mais il est remplacé rapidement par 802.11g. Les réseaux sans fil 802.11b fonctionnent dans la gamme de 2,4 GHz et offrent des vitesses ou des débits allant jusqu’à 11 Mbps.
Le deuxième amendement, 802.11a, a été en réalité ratifié avant 802. 11b, mais sa commercialisation a pris plus longtemps. Il fonctionne dans la gamme de 5,8 GHz et offre des débits standard de 54 Mbps. Et certains fournisseurs offrent jusqu’à 108 Mbps en mode turbo.
Le troisième amendement, 802.11g, fonctionne dans la gamme de 2,4 GHz comme 802.11b et offre des débits standard de 54 Mbps et des vitesses allant jusqu’à 108 Mbps en mode turbo. La plupart des réseaux sans fil 802.11g sont utilisables par des clients sans fil 802.11b en raison de la rétrocompatibilité dont bénéficie le standard 802.11g. La compatibilité réelle varie selon le fournisseur. La plupart des équipements sans fil actuels acceptent deux ou plus des amendements 802.11. Un nouveau standard sans fil 802.16 – appelé WiMAX, est en train d’évoluer pour répondre à un besoin particulier : l’accès sans fil aux entreprises et aux domiciles à partir de tours, du genre tours cellulaires. Nous n’en parlerons pas ici.

La gamme pratique, ou couverture, d’un AP, dépend de nombreux facteurs, y compris l’amendement 802.11 et la fréquence à laquelle l’équipement fonctionne, le fabricant, les caractéristiques de l’alimentation, les antennes, les murs et installations internes et externes, et la topographie. Cela dit, une NIC sans fil rattachée à une antenne directionnelle à gain élevé pourrait fournit l’accès à votre AP et réseau sans fil à partir d’une grande distance, peut-être plus d’un kilomètre, selon les conditions.

Le caractère public du spectre radio présente des problèmes de sécurité uniques absents des réseaux câblés. Ainsi, pour capter une communication sur un réseau câblé, il faut accéder physiquement à un organe du réseau comme un tronçon du LAN, un commutateur, un routeur, un parefeu ou un hôte. Dans le cas d’un réseau sans fil, il suffit d’un récepteur, du genre scanner ordinaire.

En raison de cette ouverture, les développeurs des standards sans fil ont créé WEP (Wired Equivalent Privacy), tout en rendant son utilisation facultative. WEP repose sur un secret, ou clé, partagé, connu des seuls clients sans fil et des AP avec lesquels ils communiquent. La clé peut servir à l’authentification et au cryptage. WEP utilise l’algorithme de cryptage RC4. La longueur de la clé est de 64 bits, divisés en 40 bits définissables par l’utilisateur et un vecteur d’initialisation de 24 bits. Pour rendre les réseaux sans fil plus sûrs, certains fabricants d’équipements sans fil ont développé des extensions qui permettent des clés WEP de 128 bits et plus, constituées de clés définies par l’utilisateur de 104 bits ou plus et du vecteur d’initialisation. On trouve WEP sur les équipements compatibles avec 802.11a, 802.11b et 802.11g. Cependant, malgré les plus grandes longueurs de clés, les défauts de WEP (dont le médiocre mécanisme d’authentification et clés de cryptage qui peuvent être cassés par la crypto-analyse), ont été bien documentés et WEP n’est plus réputé sûr.

En réponse aux déficiences de WEP, la Wi-Fi Alliance, un organisme qui compte plus de 200 membres dont les ténors Apple Computer, Cisco Systems, Dell, IBM et Microsoft, a développé WPA (Wi-Fi Protected Access). WPA améliore WEP en ajoutant le TKIP (Temporal Key Integrity Protocol) et une puissante authentification qui utilise 802.1x et le EAP (Extensible Authentication Protocol). WPA était envisagé comme un standard opérationnel qui pourrait être soumis à l’acceptation par l’IEEE comme un amendement aux standards 802.11. L’amendement 802.11i a été ratifié il y a presque un an et WPA a été actualisé en WPA2 pour permettre l’utilisation de l’AES (Advanced Encryption Standard) au lieu de WEP avec TKIP. WPA2 est rétrocompatible et pourra interopérer avec WPA. WPA a été conçu pour des réseaux d’entreprise avec une infrastructure d’authentification RADIUS (Remote Authentication Dial-In User Service), mais une version de WPA appelée WPA Pre-Shared Key (WPA-PSK) est supportée par la plupart des fabricants et vise des environnements plus petits. Tout comme WEP, WPA-TSK s’appuie sur un secret partagé, mais WPA-PSK est plus sûr que WEP.

802.1x est souvent mal compris. On l’utilise pour contrôler l’accès aux ports sur les commutateurs des réseaux câblés et aux AP des réseaux sans fil. 802.1x n’impose aucune technique d’authentification (sont admis des certificats X.509 version 3 ou Kerberos, par exemple). Il ne possède pas le cryptage et n’impose pas son utilisation.