5577

Sécuriser son réseau WiFi est plus important qu’on ne le croit. En effet, les protocoles WEP (Wired Equivalent Privacy) et même WPA (Wi-Fi Protected Access) contiennent des failles de sécurité rendant le piratage de notre connexion relativement facile.

Nous allons voir comment sécuriser notre réseau Wi-Fi en 5 points après avoir donné des explications sur le besoin de sécuriser notre réseau sans fil.

Des menaces peu importe où l’on se trouve ?

Il n’est pas possible de contrôler la portée du réseau sans-fil, qui va très probablement jusque dans votre voisinage. Et même si vous connaissez bien vos voisins et pensez qu’ils ne vous feront rien de mal, il faut savoir qu’il existe des pratiques destinées à rechercher des réseaux Wi-Fi ouverts ou faiblement sécurisés afin de s’y connecter pour y effectuer toutes sortes d’actions malveillantes.

On notera par exemple le fait d’intercepter les données transmises en clair ou le fait d’effectuer des piratages (de comptes, systèmes ou même films) via votre point d’accès et dont vous aurez à porter la responsabilité. Ces pratiques sont appelées le WarDriving et le Warchalking. La première consiste à chercher des réseaux sans fils ouverts ou peu sécurisés via un smartphone ou un ordinateur portable, et la deuxième consiste à utiliser des symboles sous forme de tags dans les rues pour signaler des réseaux Wi-Fi ouverts.

wardriving

Une personne effectuant du WarDriving à l’aide d’une voiture.

WEP est-il vraiment si faillible ?

Le protocole WEP utilise l’algorithme de chiffrement à clé symétrique RC4 ainsi qu’une somme de contrôle pour assurer la confidentialité et l’intégrité des échanges entre machines. Le problème est que cette clé est statique et donc partagée entre toutes les machines connectées à une même box. Ce qui permet de la retrouver en communiquant simplement avec le réseau.

En 2001 déjà, des chercheurs ont découvert que les premiers octets du flux utilisé pour le chiffrement ne sont pas aléatoires, et qu’en observant un grand nombre de messages chiffrés on pouvait en fait retrouver la clé…en quelques minutes !

Alors WPA c’est mieux ?

Pour combler les faiblesses de WEP, l’IEEE a développé un autre protocole de sécurisation des réseaux sans fils appelé WPA.

Le protocole WPA permet un meilleur chiffrement des données qu’avec le protocole WEP car il utilise des clés TKIP (Temporal Key Integrity Protocol) dynamiques. Ainsi, le WPA permet d’utiliser une clé par machine connectée à un réseau sans fil.

Les clés WPA sont donc générées automatiquement par le point d’accès sans fil.

Le protocole TKIP améliore la sécurité par rapport au WEP car :

  • Il double la taille du vecteur d’initialisation (bits aléatoires ajoutés aux données). Les programmes permettant de déterminer facilement la clé WEP constituent d’ailleurs une liste de ces vecteurs d’initialisation pour mener à bien l’attaque.
  • Le WPA double également le code d’intégrité du message passant de 4 à 8 octets.
  • Les clés de cryptage sont générées de façon périodique et automatique pour chaque client.

La Wi-Fi Alliance (l’association qui possède la marque Wi-Fi) a ensuite crée une nouvelle certification appelée WPA2 pour les matériels supportant le standard 802.11i. WPA2 est basé sur WPA, il supporte le cryptage AES au lieu du RC4 et offre de nouvelles fonctionnalités comme le « Key Caching » et la « Pré-Authentification ».

Pour résumer, le WPA-2 offre par rapport au WPA :

  • Une sécurité et une mobilité plus efficaces grâce à l’authentification du client indépendamment du lieu où il se trouve.
  • Une intégrité et une confidentialité fortes garanties par un mécanisme de distribution dynamique de clés.
  • Une flexibilité grâce à une ré-authentification rapide et sécurisée.

WPA3 est l’évolution logique de WPA-2. Il apporte quelques nouveautés mais reste basé sur le même mode de fonctionnement global.

Comment sécuriser son réseau Wifi ?

Voici à présent les 5 points pour sécuriser son Wi-Fi que je vais détailler par la suite :

  1. Chiffrer son réseau Wi-Fi
  2. Changer le mot de passe par défaut de la box
  3. Mettre à jour sa box
  4. Faire du filtrage MAC
  5. Changer le nom du réseau

Voici plus de détails :

1. Chiffrer son réseau Wi-Fi

On a vu qu’avec un réseau Wi-Fi, n’importe quelle donnée envoyée ou reçue peut être interceptée par n’importe qui disposant des outils nécessaires. Les renifleurs réseaux sont notamment utilisés pour lire le contenu en clair des messages qui transitent. Ces messages pouvant être des mots de passe et autres informations confidentielles.

Le chiffrement permet donc de rendre illisibles ces données même si elles sont interceptées. Pour cela il faut mettre en place le protocole WPA2 et surtout pas le protocole WEP.

Vous ne savez pas quel protocole de chiffrement vous avez actuellement ou souhaitez passer au WPA2, procédez comme suit :

  • D’abord il faut passer par le panneau d’administration de votre modem. Cela dépend de votre fournisseur d’accès, vous trouverez la démarche pour le votre ici.
  • Une fois dans votre panneau d’administration, cherchez l’option concernant le protocole de chiffrement et passer le en WPA2.

Voici un exemple avec WPA2 (CCMP) dans l’interface de Free :

sécuriser son réseau WiFi

2. Changer le mot de passe par défaut de la box

Si vous devez donner un nom d’utilisateur et un mot de passe pour entrer dans le panneau de configuration (chez Free il faut d’abord se connecter via son compte abonné), vérifiez d’avoir choisi un mot de passe compliqué et surtout pas celui par défaut. Il est possible que certains fournisseurs d’accès envoient le mot de passe par défaut par mail ou courrier.

C’est un mot de passe qu’il faut ensuite changer comme tous mots de passe par défaut. Certains identifiants d’accès à l’administration du modem sont parfois extrêmement évidents et connus de tous. En effet, certains sites répertorient les identifiants par défaut de la plupart des fournisseurs.

La politique de sécurité des mots de passe s’applique ensuite, à savoir un mot de passe compliqué et long, qui ne doit pas être sauvegardé dans le navigateur.

Plus d’informations sur les mots de passe.

3. Mettre à jour sa box

Les fournisseurs d’accès mettent éventuellement à disposition des mises à jour logicielles. Il s’agit de mises à jour qui peuvent être liées à la sécurité du modem. Elles sont donc par conséquent à prendre au sérieux et à faire dès que possible. Pour les modems récents, les mises à jour devraient par ailleurs être automatiques.

4. Faire du filtrage par adresse Mac

Une adresse Mac est une adresse stockée dans une carte réseau qui est unique au monde. Le filtrage par adresse Mac consiste donc à indiquer à votre modem que seules les personnes dont la carte réseau contient l’adresse Mac en question sont autorisées à se connecter.

Il y a des avantages comme des inconvénients : La sécurité est assurée dans le sens où vous décidez qui accède au réseau pour de bon, mais vous devrez ajouter des adresses Mac à chaque changement de cartes réseaux ou ajout de périphériques au réseau Wi-Fi.

EDIT: Le Mac spoofing est une technique permettant de modifier son adresse Mac de façon logicielle afin de se faire passer pour une autre machine. Le filtrage par adresse Mac n’est donc pas un vrai principe de sécurité. Merci à Schwarzer de l’avoir précisé.

Pour trouver l’adresse Mac de vos cartes réseaux sous Windows, effectuez la manipulation suivante:

  • Appuyez simultanément sur les touches Windows et R.
  • Tapez « cmd.exe ».
  • Tapez « ipconfig /all »
  • L’adresse Mac de la carte réseau en question se trouve sur la ligne « Adresse physique ».

adressemac

Le filtrage Mac se configure ensuite en fonction de votre fournisseur d’accès, vous devriez trouver l’option dans votre panneau d’administration.

5. Changer le nom du réseau Wi-Fi

Bien que cela ne joue que très peu sur la sécurité du réseau Wi-Fi en elle même, changer le nom du réseau (SSID) par défaut est un moyen d’indiquer aux potentiels pirates que vous prenez votre sécurité au sérieux. Il y a moins de chance qu’on attaque une personne qui semble s’y connaître par rapport à une personne qui semble débutante avec un nom de réseau par défaut.

Cela se fait là encore via votre panneau d’administration.

Lecture complémentaire :

Savoir qui utilise mon Wi-Fi.

41 Commentaires. En écrire un nouveau

  • merci très intéressant

    Répondre
  • Top, merci ! Par contre, merci de corriger la faute d’orthographe dans le titre : « peu » importe…;-)

    Répondre
  • Bon article Michel, comme toujours. Le seul point où je ne suis pas d’accord c’est la pratique de faire une white liste avec les adresses MAC. De nos jours, ceci n’est plus réellement une sécurité car le MAC Spoofing existe.

    Un expert en sécurité l’expliquer dans une de ses vidéo, si je remet la main dessus, je te la passerais.

    Répondre
  • Une astuce pour compliquer la vie des pirates, mettre des caractères spéciaux et des espaces dans le nom du réseau Wifi. Cela peut paraître anodin mais pas mal de bibliothèques étant faite par des anglophones, la prise en charge de ses caractères est souvent moins efficace et peut complexifier la vie de l’attaquant.

    Répondre
  • salut j’ai un problème j’ai envi d’installer kali linux sous Windows 8. mais sa se bloque toujours su cette partie « détecter le matériel réseau » je ces plus quoi faire .?stp

    Répondre
  • Maintenance informatique
    16 juin 2015 13 h 33 min

    Et oui, il est nécessaire de sécuriser les réseaux wifi parce qu’un réseau sans fil non protégé et non configuré donne lieu aux utilisateurs avoisinants d’utiliser la connexion internet et lancer des attaques. Ces consignes sont ainsi très intéressantes puisqu’elles garantissent un premier niveau de sécurité. Et je suis d’accord avec notre ami x3n… essayez de compliquer un tant soi peu le nom de réseau

    Répondre
  • Bonjour Michel , Cet article est vraiment intéressant. Une question est ce qu’il est possible de rentrer dans un réseau wifi avec la technologie bluetooth ?

    Répondre
  • Similien Samuel
    1 août 2015 18 h 44 min

    Salut michel,merci pource site supercool qui aide les faibles!

    Répondre
  • Similien Samuel
    1 août 2015 18 h 57 min

    Hey michel,ou est ce que je pose des questions!?!J’ai un tas!!!!

    Répondre
  • merci michel pour cette article

    Répondre
  • Bon article Michel, mais il y a une autre chose il faut désactiver WPS dans le modem 🙂

    Répondre
  • Bonjour,
    J’ai un probleme, quelqu un pirate mon wifi, j ai bon change tous les mots de passes du box et du wifi mais rien a faire.
    J ai du meme cache mon ssid et la personne arrive toujours a controler mon routeur et changer le mot de passe de la sorte que je ne peux pas y acceder, je dois le reinitialiser.
    Les mots de passes que j utilise sont tout le temps long et compliques.
    Comment cette personne arrive t elle a pirater mon routeur?
    Merci

    Répondre
    • Bonjour Nagui, avez-vous essayé de changer le mot de passe depuis un autre ordinateur/équipement ? Peut-être qu’un programme sur votre PC récupère toujours la nouvelle clé !

      Répondre
  • >Article très intéressant 😉 En revanche j’ai résolu le problème dans ma chambre d’hôte avec le système wifi facebook wipop, apparemment ils s’occupent de tout.

    Répondre
  • […] Je vous propose l’article suivant pour avoir davantage d’informations : sécuriser son réseau wifi. […]

    Répondre
  • Bonjour
    j’ai cacher mon SSID mais le problème est qu’il y a des pc qui n’arrivent pas à se connecter et pourtant je ne veux pas que mon ssid soit visible. Comment faire?

    Répondre
    • Bonjour, il vous faut faire du filtrage MAC via votre box pour autoriser manuellement les PC

      Répondre
    • C’est une excellente initiative que de cacher le SSID, qui devrait figurer dans cette aide.
      Pour répondre à votre question, il appartient à chaque machine (PC, smartphone, etc) que l’on veut connecter au Wi-Fi de définir le nom du SSID, puisqu’il n’est plus visible. Généralement, en sélectionnant une icone de réseaux sans fil on obtient la liste de ceux qui diffusent le SSID, à la fin de laquelle il devrait y avoir une option marquée « autre réseau » et où on peut entrer les infos (SSID privé + clé WPA).

      Répondre
  • Bonjour,
    Dans votre box, il y a un paramètre qui vous demande si vous voulez cacher votre SSID. C’est sous la forme « VISIBLE » OU « NONVISIBLE » très souvent. C’est encore une solution envisageable.
    Ex responsable sécurité dans l’entreprise qui a mis en place la première liaison optique en France, quand nous organisions des stages de sécurité pour des administrateurs réseaux d’entreprises, notre tactique était la suivante :
    Inviter gratuitement des « hackers » à nos stages et y compris parfois les payer. Ensuite les mettre au défi d’accéder à distance à leur propre réseau d’entreprise qui était supposé être sécurisé. Ils montraient avec quels outils ils y parvenaient, et comme étaient présents les administrateurs réseaux, ils constataient de visu leur degré de « passoire »…et très souvent c’était les plus confiants qui étaient le plus  » passoire »…!
    Une bonne sécurité répond à plusieurs critères :
    Pas de prénom, date de naissance, de mot  » password » ou  » mot de passe  » etc….Un scan de 1 minute aboutirait.
    Avant toute chose que a gamme de caractères soit le plus complet possible, ce qui oblige le logiciel de scan à entreprendre des scans qui peuvent durer plusieurs mois voire plus.
    Le nombre de combinaisons sur des majuscules ou minuscules sera un multiple de 36 ( nombre de lettres de l’alphabet ) et X 2 si le password est une combinaison entre majuscule. et minuscules.
    Si on y ajoute les chiffres c’est encore plus de difficultés. Et quand on y ajoute des caractères spéciaux et des espaces, le délai devient décourageant.
    L ‘étoile ( * ) est la plus rarement utilisée comme caractère spécial, il en est de même avec la Livre Sterling : £ .
    Le Dollar moins en Europe, mais bien plus dans les pays du Dollar ( USA, Australie etc…).
    Il y a aussi le caractère « blanc » à ne pas confondre avec le caractère d’espace… ( Alt 123 si je me rappelle bien).

    Répondre
  • Bonjour,

    « WPA2 pour les matériels supportant le standard 802.11i » ? Cela veut-il dire que des machines anciennes ou avec un OS trop vieux ne peuvent pas passer WPA2 ? Quel âge ne doit pas dépasser la machine & en dessous de quel OS ne faut-il pas descendre ?

    Merci,

    Répondre
  • Encore une fois merci pour votre article Michel,

    Changer son mot de passe par défaut est une manipulation toute simple qui permet cependant de filtrer quelques connexions. Il est aussi préférable de privilégier une WPA à un clé WEB.

    Répondre
  • merci bien mes amis..et plus fort M.MICHELje cherche comment proteger ma connexion WIFI

    Répondre
  • Bonjour, je suis un particulier avec une Livebox et je suis en WPA/WPA2 mixed, c’est plus sécurisé que WPA2-PSK/AES (j’ai toujours cette impression que là où il y a AES c’est plus crypté et sécurisé) ?

    Cordialement

    Répondre
  • Bonjour Michel,

    Article intéressant, j’ai un point d’accès spécialisé le WN203, faisant office de multi-SSID ( qui ont tous un nom et un VLAN ID différent), avec filtrage par adresse MAC, en sus de mot de passe contenant minuscule, majuscule et chiffre…

    Ma question est :

    Sur un switch comme le NETGEAR GS724T v4 (dernière génération donc), que puis-je faire d’autre, à part le filtrage ID par port VLAN, adresse MAC…

    D’autre part, sur 2 des SSID du NETGEAR WN203, il y a 1 tablette de connectée sur chacun d’entre-eux, mais lorsque je mets le paramètre  » Afficher le nom SSID » sur « non », la tablette ne réussit pas à se connecter (bien que le mot de passe et l’adresse MAC soient bien renseigné, pour le client d’une part, et bien identifié pour le point d’accès, d’autre part)…Si j’affiche le SSID, la tablette peut se connecter…

    Je n’ai pas ce problème avec une PS3 ou PS4 pour lesquels le SSID n’est pas affiché…

    As-tu une explication à ce propos ; cela m’ennuie beaucoup, comme tu peux l’imaginer, niveau sécurité…

    Bien évidemment, lorsque les tablettes ne sont pas utilisées, je désactive les points d’accès concernés…

    Si tu connais un modèle de point d’accès qui n’aurait pas cet inconvénient-là, je te serais très reconnaissant de me donner la référence du dit modèle en question :-)))

    Répondre
  • Bonjour Michel,
    Un grand merci pour cet article ! Très intéressant. Un ami m’avait effectivement signalé que le filtrage des accès par adresses MAC n’aide plus vraiment à renforcer la sécurité sur le réseau, alors que cela complique assez considérablement la gestion au quotidien.
    Deux petites questions :
    – Freebox conseille dans la console administrateur d’utiliser WPA(TKIP/AES) alors que tu sembles utiliser WPA(AES/CCMP) qui, d’après Wikipedia est plus récent et plus sécurisé, donc devrait être privilégié. Faut-il croire Wikipedia? Qu’en est-il vraiment de la sécurité relative des deux protocoles et que conseilles-tu d’utiliser?
    – Quand je connecte mon IPad au réseau Wifi, il affiche un warning « Sécurité faible » : « Le WPA n’est pas considéré comme sécurisé. S’il s’agit bien de votre réseau Wi-Fi, configurez votre routeur de façon à ce qu’il utilise le type de sécurité WPA2 Personnel (AES). WPA(TKIP/AES) et WPA(AES/CCMP) sont bien 2 protocoles WPA2 basés sur AES non? Je ne comprends pas la raison de ce warning. As-tu une idée?
    Un grand merci par avance pour ton retour, Julie.

    Répondre
    • Bonjour Julie,
      Ce sont de bonnes questions (techniques) dont les réponses sont amenées à changer avec le temps.
      D’abord, on recommande de garder les protocoles les plus anciens (mais pas trop !) pour cause de compatibilité, ensuite on recommande d’utiliser les derniers protocoles, notamment lorsque des problèmes de sécurité sont détectés. À ce propos, WPA3 est en cours à l’heure de l’écriture de ces lignes, et la réponse se trouvera donc elle-même dépassée bientôt, car on nous recommandera d’utiliser WPA3 cette fois. TKIP a été remplacé par CCMP il y a presque 10 ans, en théorie il n’y a pas de souci avec l’utilisation de l’un ou l’autre, même si par principe on préfère utiliser les dernières technologies. Cela répond également à la deuxième question : peut-être que le message parle de l’utilisation de WPA actuelle et non de WPA2 ? À très bientôt 🙂

      Répondre
  • Merci, sa m’interesse beaucoup!

    Répondre
  • Bonjour,
    Voila mon soucis je viens de rajouté un deuxième routeur wifi au reseau qui est connecté directement de mon box et ça marche bien mais je veux le sécurisé j ai essayé d aller au paramètre de reseau sous windows et le sécurisé mais il marche je sais pas c est quoi le problème.
    Merci

    Répondre

Laisser un commentaire

Menu
More in Sécurité Réseau
Comment savoir qui utilise mon wifi ?

Lorsqu'on sent que notre connexion Internet est plus lente que d'habitude, on se pose rapidement les questions suivantes : Est-ce qu'un pirate me surveille à...

Close