MENU avec accès direct

Sécurité en wifi

1-Quelle clé de sécurité en Wifi

Les réseaux Wi-Fi disposent de différentes options de sécurité pouvant être configurées afin d’améliorer la confidentialité de nos communications.
Comment interpréter les informations de sécurité Wi-Fi? N

Il existe
clé  WEP (peu sûre!)
clé WPA et WPA2, très semblables et peuvent contenir certaines des valeurs suivantes :
-PSK-TKIP
-PSK-CCMP
-PSK-(TKIP|CCMP)
-PSK-AES
Clés proposées par une Freebox mini 4K



1-1 la clé WEP

Le protocole WEP (Wired Equivalent Privacy ou Protection Equivalente au Câble) utilise une clé d’une longueur de 64 à 256 bits dont 24 ne sont pas utilisés pour le chiffrement. Cela fait une clé, si on la compare à un mot, d’une longueur de 5 à 29 caractères. La majorité des clés est composée de 13 caractères. L’algorithme utilisé dans le chiffrement possède une grande faiblesse qui est exploitée aujourd’hui très facilement par les hackers. Il suffit de quelques minutes pour reconstituer tous les morceaux de la clé WEP qui circulent de temps à autres sur votre réseau. La raison pour laquelle ils circulent est intimement liée à l’algorithme utilisé car celui-ci doit être initialisé à chaque échange pour ne pas utiliser deux fois la même clé. De fait une partie de la clé (les 24 bits en question) est utilisée comme élément d’initialisation (vecteur d’initialisation) et celui-ci n’est pas chiffré.

Au bout d’un moment, si quelqu’un écoute tous les échanges, il aura obtenu suffisamment d’éléments pour reconstruire la clé sans la connaître au préalable. Pour cette raison la clé WEP ne doit absolument plus être utilisée sur les équipements Wi-Fi aujourd’hui.



1-2 Clé WPA/WPA2

Le protocole WPA offre une protection d’un niveau bien supérieur à WEP. Il utilise pourtant le même algorithme de chiffrement et est basé sur le même principe de vecteur d’initialisation. En revanche le TKIP (Temporal Key Integrity Protocol ou Protocole d’intégrité par clé temporelle) a été ajouté, permettant ainsi une permutation plus importante des clés sans que le vecteur d’initialisation ne puisse être reconstitué de manière utile. Dans les configurations les plus courantes, le mode Personnel est utilisé avec la PSK (Pre-Shared Key ou clé pré-partagée). Cela permet d’utiliser une clé alphanumérique normale d’une longueur d’au moins 32 caractères. Ce qui offre un niveau de protection tout à fait acceptable.

Le protocole WPA2 quant à lui utilise un algorithme de chiffrement beaucoup plus puissant, utilisé dans le cryptage des documents sensibles et possédant une clé très forte. Il s’agit de la dernière norme du protocole WPA permettant de protéger votre réseau WLAN.

Malheureusement une faille très importante a été découverte au mois de juillet 2010 dans ce protocole qui reste néanmoins considéré comme le plus sécurisé.

1-3 Compléments

-Échange de clés. Que signifie WPA PSK ?
En général, dans un réseau Wi-Fi local, l’authentification se base sur la clé PSK, sigle de Pre Shared Key (clé partagée préalablement), c’est-à-dire que la sécurité du réseau Wi-Fi repose sur un secret partagé (le mot de passe du réseau Wi-Fi), connu par ses utilisateurs et le point d’accès.

En clair, un réseau Wi-Fi WPA-PSK dispose d’un mot de passe connu par tous les clients qui se connectent à ce réseau Wi-Fi. C’est la configuration de réseau la plus utilisée sur les routeurs Wi-Fi  proposée  sur Box et routeurs. 


-Est-ce qu’un réseau Wi-Fi peut être WPA2 PSK ?
Bien évidemment un réseau peut être WPA2-PSK. WPA2 est la nouvelle norme de sécurité Wi-Fi qui intègre certaines améliorations pour la rendre plus résistante à certaines attaques bien connues. Avec WPA2 les mots de passe peuvent continuer à s’échanger comme un secret partagé (PSK) sur les réseaux locaux.

-Qu’est-ce qu’un réseau Wi-Fi avec sécurité TKIP ?
Après l’apparition du WPA en remplacement du WEP, l’algorythme de chiffrage TKIP (Temporal Key Integrity Protocol) apparaît comme un nouveau mécanisme de chiffrage pour protéger les communications sans fil.
Ce protocole est considéré comme désuet aujourd’hui, car il a été remplacé par le CCMP en 2009, mais le TKIP est encore une des configurations les plus fréquentes (WPA-TKIP).


Qu’est-ce qu’un réseau Wi-Fi avec WPA CCMP ou WPA2 CCMP ?
Il s’agit du sigle pour Counter Mode CBC-MAC Protocol. Le CCMP, également connu comme AES CCMP, est le mécanisme de chiffrage qui remplace TKIP et la norme définie pour son utilisation avec WPA2. Les spécifications indiquent que les réseaux WPA2 doivent utiliser CCMP par défaut (WPA2-CCMP), bien qu’ils puissent aussi s’utiliser avec WPA pour leur conférer davantage de sécurité (WPA-CCMP).

Que signifie WPA MGT ou WPA2 MGT ?
Si vous avez vu des réseaux Wi-Fi avec ces caractéristiques, vous devez savoir que lorsqu’un réseau est WPA MGT ou WPA2 MGT, cela signifie que le mot de passe n’est pas une clé pré-partagée. Au lieu de cela, le réseau Wi-Fi est connecté à un système ou service d’authentification, généralement un service radius, pour vérifier l’utilisateur et le mot de passe de la personne qui cherche à se connecter. Car les réseaux WiFi MGT (Management) ont besoin d’une infrastructure un peu plus complexe, ce sont ceux que l’on utilise dans les milieux professionnels et en entreprises.


Quelle est l’option la plus sûre, TKIP ou CCMP?
Comme vous avez pu l’observer en voyant des réseaux Wi-Fi avec Acrylic WiFi, de nombreux réseaux peuvent prendre en charge simultanément WPA et WPA2, et tous ces mécanismes d’authentification peuvent prendre en charge TKIP ou CCMP.

Bien que ce ne soit pas la norme recommandée, on utilise TKIP avec WPA2 PSK s’il y a lieu d’obtenir une compatibilité avec des dispositifs plus anciens. Sauf si c’est le cas, l’idéal est de désactiver la securité WPA sur votre réseau Wi-Fi, en ne laissant activée que la sécurité WPA2.
Il faut aussi que vous désactiviez TKIP, en ne laissant que les options CCMP. Les réseaux Wi-Fi qui disposent uniquement du mécanisme WPA2-CCMP sont les réseaux Wi-Fi les plus sûrs.

Si vous souhaitez connaître d’autres aspects qui incident sur la sécurité Wi-Fi, ne manquez pas de lire Est-ce qu’un réseau WiFi WPA est sûr ?

Octobre 2017 Dernière minute ! Grosse faille sur le protocole WPA2 des réseaux Wi-Fi
La protection de nos connexions Wi-Fi n'est en théorie plus assurée. Une faille hautement critique de sécurité dans le protocole Wi-Fi Protected Access II (WPA2) permet à des pirates d'intercepter le trafic Wi-Fi entre les ordinateurs et les points d'accès. En 13 ans d'existence, c'est la première fois que la sécurité du protocole WPA2 est mise à mal.
La faille de sécurité Krack peut toucher n’importe quel dispositif pouvant se connecter en Wi-Fi, ce qui intéressera un grand nombre de pirates informatiques dans les semaines à venir !

Mathy Vanhoef souligne : « L’attaque agit contre les réseaux Wi-Fi personnels et d’entreprise, contre l’ancien WPA et le dernier standard WPA2, et même contre les réseaux qui n’utilisent que AES »…. histoire de bien faire comprendre que tout le monde est concerné à tous les niveaux.


Que faire ?  Mettre à jour vos appareils (smartphones, ordinateurs, objets connectés) et vos routeurs le plus rapidement possible. Les constructeurs sont informés et ont déjà commencé à publier des patchs. Abandonner WPA2 n'est pas la solution et ne repassez surtout pas au WEP
 source : zdnet.fr   korben




2-Sécuriser son réseau Wi-Fi 


2-1 Les protocles et la sécurité

Sécuriser son réseau Wi-Fi est  important. En effet, les protocoles WEP (Wired Equivalent Privacy) et même WPA (Wi-Fi Protected Access) contiennent des failles de sécurité rendant le piratage de votre wifi relativement facile (mais uniquement par une personne ayant les connaisssance et le matériel

Quelles menaces? 
Il est impossible  de contrôler la portée limite  de son  réseau wifi, qui va très probablement jusque dans votre voisinage. Toutefois vous pouvez,  via un logiciel ou application, connaître sa portée et limite réelle. S'il déborde sur l'éxtérieur de votre résidence, il existe des personnes malveillantes qui ont des outils  destinés à rechercher des réseaux Wi-Fi ouverts ou faiblement sécurisés afin de s’y connecter pour y effectuer toutes sortes d’actions malveillantes.
N’importe quelle donnée envoyée ou reçue peut être interceptée par n’importe qui disposant des outils nécessaires. Les renifleurs réseaux sont notamment utilisés pour lire le contenu en clair des messages qui transitent. Ces messages pouvant être des mots de passe et autres informations confidentielles.
Cela leur ouvre la porte  pour intercepter les données transmises en clair, effectuer des piratages via votre point d’accès, de plus vous aurez à en porter la responsabilité.


Le WEP est-il vraiment faillible ?
Le protocole WEP utilise l’algorithme de chiffrement à clé symétrique RC4 ainsi qu’une somme de contrôle pour assurer la confidentialité et l’intégrité des échanges entre machines. Le problème est que cette clé est statique et donc partagée entre toutes les machines connectées à une même box. Ce qui permet de la retrouver en communiquant simplement avec le réseau.
Il suffit de capter les flux utilisés pour le chiffrement ne sont pas aléatoires, et analyser les messages chiffrés pourretrouver la clé…en quelques minutes ! Donc, une clé wep se "craque" très facilement (même par un apprenti hacker!). Nous déconseillons son utilisation.


Alors WPA c’est mieux ?
Pour combler les faiblesses de WEP, l’IEEE a développé un autre protocole de sécurisation des réseaux sans fils appelé WPA.

Le protocole WPA permet un meilleur chiffrement des données qu’avec le protocole WEP car il utilise des clés TKIP (Temporal Key Integrity Protocol) dynamiques. Ainsi, le WPA permet d’utiliser une clé par machine connectée à un réseau sans fil.

Les clés WPA sont donc générées automatiquement par le point d’accès sans fil. Le protocole TKIP améliore la sécurité par rapport au WEP car :
-Il double la taille du vecteur d’initialisation (bits aléatoires ajoutés aux données).
-Le WPA double également le code d’intégrité du message passant de 4 à 8 octets.
-Les clés de cryptage sont générées de façon périodique et automatique pour chaque client.

La Wi-Fi Alliance (l’association qui possède la marque Wi-Fi) a ensuite crée une nouvelle certification appelée WPA2 pour les matériels supportant le standard 802.11i. WPA2 est basé sur WPA, il supporte le cryptage AES au lieu du RC4 et offre de nouvelles fonctionnalités comme le « Key Caching » et la « Pré-Authentification ».

Pour résumer, le WPA-2 offre par rapport au WPA :
-Une sécurité et une mobilité plus efficaces grâce à l’authentification du client indépendamment du lieu où il se trouve.
-Une intégrité et une confidentialité fortes garanties par un mécanisme de distribution dynamique de clés.
-Une flexibilité grâce à une ré-authentification rapide et sécurisée.


2-2 Comment sécuriser mon réseau  Wifi ?


 Les  points essentiels pour sécuriser son Wi-Fi

1. Chiffrer son réseau Wi-Fi en WPA2

Le chiffrement permet donc de rendre illisibles les données même si elles sont interceptées. Pour cela il faut mettre en place le protocole WPA2 et surtout pas le protocole WEP.
et
 de préférence en  WPA2-PSK/TKIP

Pour connaître le chiffrement que vous utlisez actuellemnt, allez sur le tableau de  bord de votre box, section wifi

Exemple sur Freebox:


2. Changer le mot de passe par défaut de la box

L'accès au paramétrage de votre box est en principe sécurisé par un identifiant et mot de passe.  Il est fréquent que certains fournisseurs d’accès envoient le mot de passe par défaut par mail ou courrier.

Il faut logiquement ensuite changer le mot de passe par défaut : certains ne le changent pas, or tous les mots de passe d'origine des box sont parfaitement connus...(voir dans ce blog)

La politique de sécurité des mots de passe s’applique ensuite, en utlisant un mot de passe compliqué et long, (chiffre, lettres et majuscules) qui ne doit pas être sauvegardé dans le navigateur.


3. Changer le nom du réseau Wi-Fi

Bien que cela ne joue que très peu sur la sécurité du réseau Wi-Fi en elle même, changer le nom du réseau (SSID) par défaut est un moyen d’indiquer aux potentiels pirates que vous prenez votre sécurité au sérieux. Il y a moins de chance qu’on attaque une personne qui semble s’y connaître par rapport à une personne qui semble débutante avec un nom de réseau par défaut.

Cela se fait là encore via votre panneau d’administration.


4. Faire du filtrage par adresse Mac
Uniquement si vous pensez être dans un lieu sensible au piratage,car cette solution complexe a des inconvénients...
Une adresse Mac est une adresse matérielle  unique attribuée  aux cartes réseaux. Le filtrage par adresse Mac consiste donc à indiquer à votre routeur  que seules les personnes dont la carte réseau contient l’adresse Mac en question sont autorisées à se connecter.

La sécurité est assurée dans le sens où vous décidez du matériel (et donc de la personne)  qui accède au réseau, mais vous devrez ajouter des adresses Mac à chaque changement de cartes réseaux ou ajout de périphériques au réseau Wi-Fi.
De plus, il faut savoir que  le "Mac spoofing" est une technique permettant de modifier son adresse Mac de façon logicielle afin de se faire passer pour une autre machine. Le filtrage par adresse Mac n’est donc pas  total....



sources
http://www.panoptinet.com/securiser-ma-connexion/fiches-pratiques/la-cle-de-cryptage/

https://www.acrylicwifi.com/fr/blog/quest-ce-quun-wpa-psk-tkip-ccmp/

https://www.leblogduhacker.fr/securiser-son-reseau-wifi-en-5-points/