Vulnérabilités Wi-Fi, au-delà des mots de passe faibles!

Afin de protéger vos réseaux Wi-Fi privés, le must est l’utilisation d’un chiffrement et d’un mot de passe forts, mais ce n’est pas tout ! Assurez-vous de ne pas rendre votre réseau vulnérable en effectuant l'une des opérations suivantes.

1.     Utilisation d'un SSID ou d'un mot de passe par défaut.

 Le nom de votre réseau Wi-Fi, appelé identifiant de service (SSID), peut fragiliser la sécurité de votre réseau. Si vous laissez le SSID par défaut pour votre routeur ou point d'accès sans fil (AP), tel que Linksys ou D-Link, cela peut augmenter les chances de succès d'une frappe réussie du mot de passe Wi-Fi. Cela est dû au fait que le cracking basé sur le dictionnaire dépend du SSID, et un SSID par défaut ou commun rend celui-ci plus facile à craquer. N'utilisez donc pas de SSID par défaut, choisissez le vôtre soigneusement.

N'oubliez pas que certains routeurs sans fil avec un SSID par défaut, comme ceux qui incluent le numéro de modèle du routeur, le numéro de série ou encore l'adresse MAC constitue des risques pour la sécurité de vos routeurs. C'est parce qu'ils peuvent avoir un mot de passe Wi-Fi par défaut qui est associé à un autre attribut que quelqu'un pourrait détecter en écoutant (‘’snooping’’) vos communications.

Révéler l'emplacement de votre réseau Wi-Fi dans le SSID peut également rendre votre réseau plus vulnérable aux attaques, surtout dans les zones densément peuplées comme les immeubles de bureaux partagés ou les complexes de bureaux. Par exemple, disons qu'un pirate est en train de chercher un réseau sans fil à pirater, et il voit 10 SSID différents dans une certaine zone. Il pourrait choisir parmi les SSID qui révèlent leur source et se rapprocher de ce signal pour essayer de le pirater.

Evitez de donner trop de détails d'identification, comme le nom de votre entreprise, dans le SSID.

2.    La sécurisation physique des Access Points (AP) et du matériel réseau.

 Vous pouvez mettre en œuvre les meilleurs protocoles de sécurité Wi-Fi du monde, si une personne a un accès physique à vos points d'accès sans fil ou d'autres composants du réseau, vous êtes vulnérable. Par exemple, si vous avez un AP déposé dans un rack dans une salle déverrouillée, quelqu'un pourrait venir en tant que visiteur et appuyer sur un bouton pour le réinitialiser rapidement aux paramètres d'usine, ouvrant ainsi l'accès non sécurisé au réseau.

Assurez-vous que les principaux composants du réseau, y compris le modem, le routeur et le commutateur soient placés dans un endroit sécurisé, que votre réseau et composants soient physiquement sécurisés.

 3.    Posséder un mot de passe de réseau Wi-Fi partagé.

C'est principalement un problème pour les réseaux utilisant le mode PSK (clé personnelle ou pré-partagée) ou en mode Wi-Fi Protected Access I ou II (WPA ou WPA2). Dans une configuration PSK, tout le monde utilise le même mot de passe Wi-Fi pour se connecter au réseau sans fil, il n'y a donc pas un bon moyen de contrôler l'accès individuel des utilisateurs.

Par exemple, un employé quitte l'entreprise ou un périphérique sans fil configuré avec le mot de passe Wi-Fi est volé, l’ex-employé ou le voleur pourraient facilement accéder au réseau. Normalement, vous devriez changer le mot de passe Wi-Fi après des événements comme celui-ci, mais cela demande une gestion en amont.

Si vous utilisez le mode 802.1X ou le mode de sécurité WPA ou WPA2, je vous conseille d’utiliser WPA2. On peut attribuer pour chaque utilisateur ses propres informations de connexion. De cette façon, si un employé quitte la société ou un appareil est perdu ou volé, vous pouvez révoquer ou modifier son mot de passe sans engendrer de problèmes d’accès.

4.    Utiliser l'authentification WPS PIN.

 Une fonction incluse dans la plupart des routeurs sans fil et certains points d‘accès business, appelé le Wi-Fi Protected Setup (WPS), est censé rendre plus facile la sécurisation des réseaux, mais il peut en fait poser de sérieux risques pour la sécurité. Une vulnérabilité dans la méthode d'authentification par PIN code de WPS fait qu’il est facile de craquer les 8 chiffres du code PIN et de récupérer le mot de passe lorsque le mode personnel de sécurité est utilisé, ce qui permet à une personne de se connecter au réseau.

Cette vulnérabilité est une autre raison pour laquelle les entreprises devraient utiliser le mode d'entreprise de la sécurité WPA2, étant donné que la fonction WPS ne fonctionne pas avec ce mode. Si ce n'est pas possible, envisagez la désactivation, si possible, du WPS sur vos routeurs sans fil ou APs. Depuis que la vulnérabilité WPS PIN a été découverte à la fin de 2011, les fournisseurs ont eu le temps de mettre à jour la technologie WPS pour combler ce trou de sécurité, cependant, il est préférable d’opter pour la prudence.

5.    Permettre aux utilisateurs de se connecter à des réseaux Wi-Fi voisins.

Une vulnérabilité moins connue est le fait que les utilisateurs se connectent accidentellement aux réseaux Wi-Fi voisins. Le problème est que les employés qui se connectent avec leurs ordinateurs portables à ces réseaux sans fil sont alors vulnérables, et leurs données pourraient être accessibles par les utilisateurs de ces autres réseaux.

 Les employés ou leurs périphériques sans fil peuvent également se connecter à d'autres réseaux et quelqu'un peut mettre en place un AP malveillant pour effectuer des attaques de type man-in-the-middle. Ces types d'attaques peuvent être combattues en ayant une détection d'AP inconnu sur votre réseau et en employant la vérification de serveur avec le mode d'entreprise de WPA2.

 Un autre cas à considérer est celui de l’employé qui sciemment met en place la connexion avec les réseaux voisins, tel qu'un hotspot public voisin ou un réseau résidentiel. Ils pourraient le faire parce que l’accès internet est plus rapide. Vous pouvez éviter cela en vous assurant que votre signal Wi-Fi et son rendement sont toujours bons ou encore éduquer vos utilisateurs sur les risques de l'utilisation d'autres réseaux.

6.    Permettre le ‘’furetage’’ utilisateur-utilisateur.

 Même si c'est un fait que vous devez chiffrer votre réseau vers l’extérieur, vous devez également tenir compte des menaces venant de l'intérieur. Lorsque vous utilisez le mode personnel de WPA ou WPA2, celui qui a le mot de passe peut fureter sur le trafic sans fil des autres utilisateurs.

Le trafic capturé à partir d'un analyseur de réseau (comme Wireshark) sous forme brute est difficile à comprendre pour la plupart, mais il y a des renifleurs de mot de passe (comme SniffPass) et des outils de détournement de sessions (comme Firesheep ou FaceNiff) qui facilitent le « piratage » par monsieur tout-le-monde.

Les sniffers de mot de passe listent généralement les noms d'utilisateurs et les mots de passe pour toutes les connexions sur le réseau en transmettant les informations d'identification via texte clair, comme les sites Web non chiffrés (HTTP), les serveurs de messagerie (POP3 / IMAP) et les transferts de fichiers.

Les outils de détournement de session fonctionnent différemment. Ils scannent le réseau en visant les personnes qui se connectent à des sites web et dont le processus de chiffrement n’est pas en place et ceci afin obtenir l'accès à ce site web dû à la négligence de l’utilisateur.

7.    Permettre l'accès non autorisé via VLAN mal configuré.

 La plupart des routeurs sans fil disposent d'une fonctionnalité ‘’invité’’ conçue pour permettre aux visiteurs d'accéder uniquement à Internet et de sélectionner certaines parties du réseau local, protégeant ainsi votre réseau privé et vos ordinateurs. Sur les routeurs de classe affaires, les commutateurs et les AP, vous pouvez émuler cette fonctionnalité en configurant les réseaux locaux virtuels et plusieurs SSID.

Pour l'une ou l'autre méthode, il est sage de vérifier que le réseau privé est vraiment sécurisé au niveau de l'accès invité. Juste après l'installation d'un réseau et périodiquement par la suite, connectez-vous au réseau invité et parcourez le réseau pour exécuter quelques pings afin de vous assurer que tout fonctionne comme prévu et que vous ne pouvez accéder qu’à ce que vous devriez.

Plus d'informations, ciso@aubay.lu