Sécurisez vos connexions Wi-Fi

Vous le savez, le Wi-Fi est maintenant partout ou presque. Les points d’accès, publics ou privés, sont de plus en plus nombreux, ainsi que les appareils équipés de cette fonctionnalité. C’est bien sûr extrêmement pratique, mais pose des problèmes de sécurité incontestables, dont trop peu d’utilisateurs sont bien conscients, et les possesseurs de Mac ne sont pas moins concernés que ceux d’autres systèmes ! En revanche, ils sont quelquefois moins sensibilisés aux problèmes de sécurité.

Le sujet de la sécurité des réseaux sans fil est extrêmement vaste et peut être très complexe, mais l’objet de ce document est de vous donner le plus simplement possible, une vue d’ensemble des risques potentiels liés à l’utilisation du Wi-Fi et de vous aider à protéger vos connexions et vos données.

Quels sont les risques ?

Sauf cas particulier, il est beaucoup plus facile pour un pirate d’intercepter les données qui circulent “dans l’air” que celles qui transitent par câble. Cela ne nécessite pas d’équipement sophistiqué et des logiciels gratuits permettent de “sniffer” (capturer) ces données en transit sans être repéré.

Décoder votre clé wifi et rejoindre votresecurite wifi mac réseau n’est pas beaucoup plus compliqué pour un attaquant averti, pour peu que vous utilisiez un protocole de cryptage peu sûr : décrypter une clé WEP peut ne prendre que quelques minutes… C’est pourquoi la compatibilité avec le protocole WPA2 a été rendu obligatoire pour la certification d’un matériel, depuis février 2006. Cela ne signifie pas qu’une clé WPA ou WPA2 soit “incassable”, loin s’en faut, mais ce protocole est beaucoup plus sûr que le WEP.

Vous ne pouvez pas éviter que ces paquets de données qui circulent dans l’air soient interceptés. En revanche si ces données sont chiffrées par une méthode sûre, elles ne seront pas exploitables : elles seront “lisibles” mais incompréhensibles.

Il existe heureusement des moyens (variant en complexité) pour maximiser la sécurité de vos connexions Wi-Fi et protéger vos données. Il est important de tenir compte de la manière dont vous utilisez le Wi-Fi : comme vous vous en doutez, les risques ne sont pas les mêmes en rase campagne que dans une zone urbaine ou a fortiori un point d’accès public (hotspot). Il faut aussi tenir compte de la confidentialité des informations que vous stockez sur vos appareils et de celles que vous envoyez lors de vos connexions, notamment les mots de passe… Nous allons donc passer en revue ces principaux moyens de protection, en vous dirigeant parfois vers d’autres ressources pour des informations plus détaillées.

Protégez votre point d’accès

Si vous contrôlez votre point d’accès Wi-Fi, à votre domicile par exemple, que vous utilisiez une borne d’accès Apple, une “box” ou tout autre routeur, il y a un certain nombre de réglages de sécurité que vous pouvez effectuer, généralement assez simplement. Si vous utilisez une borne d’accès Apple, vous utiliserez pour cela l’Utilitaire Airport, dans les autres cas, vous accèderez à ces réglages dans un navigateur.

Compte tenu de la variété des matériels disponibles, il n’est bien sûr pas possible de rentrer dans le détail de la configuration de chacun, mais certaines règles peuvent s’appliquer à tous les matériels ou presque.

Protégez l’accès à l’interface de configuration de votre routeur. Nous ne parlons pas ici du mot de passe qui sert à rejoindre votre réseau Wi-FI : par défaut, les interfaces de gestion des routeurs sont “protégées” par des mots de passe très peu sûrs du type “admin” ou “password” (quand ils y en a un…). De plus, une recherche internet permet d’obtenir tous ces identifiants / mots de passe par défaut. Il est donc indispensable de les changer, pour quelque chose de plus sûr, que vous pourrez éventuellement mémoriser dans votre Trousseau d’accès. Utilisez de préférence un mélange d’une dizaine de chiffres et de lettres majuscules et minuscules, ponctuation…

Protégez l’accès à votre réseau

Deux règles de base :

  1. N’activez le Wi-Fi que si vous l’utilisez… Cela vous semble peut être évident, mais il n’est pourtant pas rare de voir le Wi-Fi activé, quelquefois sans aucune protection, alors que le ou les postes se connectent au réseau via un câble Ethernet… Accessoirement, n’oubliez pas qu’il y a des alternatives très valides au Wi-Fi, comme les adaptateurs CPL (Courants Porteurs en Ligne), qui utilisent votre installation électrique pour créer un réseau domestique et vous connecter à internet. Le CPL offre maintenant des débits impressionnants et devrait être envisagé sérieusement quand le Wi-Fi ne passe pas, ou mal (murs épais, étages, etc.).
  2. Utilisez le chiffrage WPA Personnel ou, si possible, WPA2 Personnel, avec un mot de passe fort : nous l’avons évoqué plus haut, le protocole WEP est très peu sûr et ne devrait être utilisé que si vous ne pouvez vraiment pas faire autrement, sauf si vous utilisez un VPN (voir plus bas) ! Cela peut justifier le remplacement d’un matériel devenu obsolète. WPA2 / AES-CCMP est considéré comme le protocole / mode de chiffrement le plus sûr et donc à utiliser de préférence à WPA/TKIP à chaque fois que cela est possible. Rappelons qu’un mot de passe “fort” devrait comporter au minimum 10 caractères s’ils sont aléatoires, mais une trentaine si vous utilisez un mot de passe qui a un sens, pour pouvoir le mémoriser. N’oubliez pas que ce mot de passe sert également au chiffrement de vos données et pas seulement à protéger l’accès à votre réseau.

D’autres options de “sécurité” sont souvent suggérées, mais leur efficacité face à un attaquant un tant soit peu averti est très douteuse…

Le filtrage par adresse MAC (Media Access Control et non pas Macintosh) : votre carte Airport ou toute autre interface Wi-Fi possède un identifiant unique du type f8:1e:df:f5:3c:12 (pour connaître celle de la vôtre : Touche Alt (Option) + Menu Pomme > Informations Système > Réseau > Wifi). Il peut sembler imparable de limiter l’accès à votre routeur par adresse MAC d’interface Wi-Fi. Malheureusement, un pirate un tant soit peu averti n’aura pas de mal à capturer cette adresse MAC qui circule en clair et à se l’attribuer.

La désactivation ou le limitation d’adresses DHCP : le protocole DHCP permet à votre routeur d’attribuer “dynamiquement” (automatiquement) une adresse IP unique à votre Mac sur le réseau, du type 192.168.0.10, par exemple. Si vous l’activez, ce qui n’est pas obligatoire, vous pouvez limiter l’étendue de la plage d’adresses qu’il pourra distribuer. Ici encore, DHCP activé ou non, cela ne prendra beaucoup de temps à un attaquant averti d’affecter à sa machine une adresse qui lui permette de rejoindre votre réseau.

Le masquage du nom de votre réseau : vous pouvez configurer votre réseau sans fil pour que son nom, appelé SSID (Session Set IDentifier) ne soit pas diffusé. Ainsi, il n’apparaît pas dans la liste des réseaux à portée. Mais cela ne le rendra pas invisible à des logiciels de découverte de réseaux gratuits et couramment utilisés. Notez au passage que si vous choisissez tout de même de masquer le nom de votre réseau, vous devrez pour vous y connecter, choisir l’option “Se connecter à un autre réseau…” en cliquant sur l’icône Airport dans la barre des menus.

En clair, ces trois options risquent fort de vous compliquer la vie, sans vous apporter en contrepartie une protection efficace contre un attaquant pas totalement novice… Vous leur trouverez peut être une application utile dans votre environnement familial ou professionnel, mais en termes de sécurité, le bénéfice est bien faible en comparaison des contraintes.

Même si nous ne traiterons pas le sujet dans ce document, nous devons tout de même mentionner qu’il existe une autre version de WPA qui, comme son nom l’indique, ne s’adresse pas au plus grand nombre et dont la mise en œuvre est beaucoup plus complexe. Il s’agit de WPA-Entreprise, qui utilise le protocole d’authentification 802.1X. Ici, un serveur d’authentification gère l’accès pour chaque utilisateur et attribue lors de chaque connexion une clé de chiffrement des données différente de celui-ci. La configuration correcte d’un tel serveur (généralement RADIUS) requiert des compétences techniques assez avancées.

Votre sécurité sur les hotspots

La sécurité, ou plutôt l’insécurité des connexions Wi-Fi depuis des points d’accès publics, aussi appelés “hotspots”,  est très largement méconnue ou sous-estimée : peu d’utilisateurs savent que toutes les données qu’ils envoient ou reçoivent depuis ces points d’accès, y-compris leurs mots de passe, mails, etc., peuvent être capturées (on dit aussi “sniffées”) très facilement jusqu’à à 100 mètres à la ronde, parfois plus…

Contrairement à ce que l’on pourrait penser, ce type de criminalité n’est pas l’apanage d’une poignée de spécialistes “pointus” du piratage : des logiciels gratuits et quelques connaissances facilement accessibles suffisent. Cette pratique est extrêmement répandue et on voit mal comment elle pourrait ne pas se développer avec l’explosion des hotspots et des appareils mobiles. Il faut donc être très prudent quand vous utilisez ce type d’accès et, comme nous le verrons, la seule protection à la fois simple et efficace à l’heure actuelle est l’utilisation d’un VPN (Virtual Private Network). Un tunnel SSH est également très sûr, mais il faudra en configurer un par service.

Ce que vous devez savoir si vous n’utilisez pas de VPN

  • Ce n’est pas parce que vous devez entrer un identifiant et un mot de passe pour vous connecter, que la connexion est sécurisée : l’accès à de nombreux hotspots se fait via une page web sur laquelle vous êtes redirigé quand vous essayez de vous connecter à un site. C’est simplement une manière de réserver l’accès à des clients, que ce soit ceux d’un fournisseur d’accès internet, d’un restaurant, hôtel, etc. Cela n’a rien à voir avec un chiffrement de la connexion. Vous noterez d’ailleurs que, la plupart du temps, il n’y a pas de cadenas indiquant une connexion sécurisée, dans le menu Airport.
  • Même si le réseau utilise un chiffrement WEP, WPA ou WPA2, cela ne garantit pas votre sécurité, ne serait-ce que parce que cette clé est la plupart du temps partagée par tous les utilisateurs. Un pirate détenant cette clé pourra donc l’utiliser pour capturer et décrypter vos données.
  • Ne transmettez aucune information personnelle ou sensible depuis un hotspot, à moins d’utiliser un protocole sécurisé (page web https, mail sécurisé SSL, etc.).
  • Restez connecté le moins longtemps possible…

Vous l’aurez compris, l’utilisation des hotpots, même s’ils sont très pratiques n’est pas sans risque et vous devez être très vigilent. A moins de ne rien envoyer / recevoir de confidentiel ou de n’utiliser que des protocoles sécurisés (HTTPS / SSL), nous vous recommandons vivement d’utiliser un service VPN. Nous avons consacré un article à HMA!, qui nous semble être la meilleure offre disponible à ce jour et dont le logiciel pour Mac OS X est très bien conçu, contrairement à d’autres que nous avons pu tester.