Sécurité en wifi

Faut-il sécuriser ?
Sécuriser son réseau Wi-Fi est  important. En effet, les protocoles WEP (Wired Equivalent Privacy) et même WPA (Wi-Fi Protected Access) contiennent des failles de sécurité rendant le piratage de votre wifi relativement facile (mais uniquement par une personne ayant les connaisssance et le matériel

Quelles menaces? 
Il est impossible  de contrôler la portée limite  de son  réseau wifi, qui va très probablement jusque dans votre voisinage. Toutefois vous pouvez,  via un logiciel ou application, connaître sa portée et limite réelle. S'il déborde sur l'extérieur de votre résidence, il existe des personnes malveillantes (hackers) qui ont des outils  destinés à rechercher des réseaux Wi-Fi ouverts ou faiblement sécurisés afin de s’y connecter pour y effectuer toutes sortes d’actions malveillantes.
N’importe quelle donnée envoyée ou reçue peut être interceptée par n’importe qui disposant des outils nécessaires. Les renifleurs réseaux sont notamment utilisés pour lire le contenu en clair des messages qui transitent. Ces messages pouvant être des mots de passe et autres informations confidentielles.
Cela leur ouvre la porte  pour intercepter les données transmises en clair, effectuer des piratages via votre point d’accès, de plus vous aurez à en porter la responsabilité.

1-Quelle clé de sécurité en Wifi

Les réseaux Wi-Fi disposent de différentes options de sécurité pouvant être configurées afin d’améliorer la confidentialité de nos communications.
Comment interpréter les informations de sécurité Wi-Fi? N

Il existe
clé  WEP (peu sûre!)
clé WPA et WPA2, très semblables
et peuvent contenir certaines des valeurs suivantes de chiffrage :
-PSK-TKIP
-PSK-CCMP
-PSK-(TKIP|CCMP)
-PSK-AES
Clés proposées par une Freebox mini 4K avec conseil ! 




1-1 la clé WEP

Le protocole WEP (Wired Equivalent Privacy ou Protection Equivalente au Câble) utilise une clé d’une longueur de 64 à 256 bits dont 24 ne sont pas utilisés pour le chiffrement. Cela fait une clé, si on la compare à un mot, d’une longueur de 5 à 29 caractères. La majorité des clés est composée de 13 caractères. L’algorithme utilisé dans le chiffrement possède une grande faiblesse qui est exploitée aujourd’hui très facilement par les hackers. Il suffit de quelques minutes pour reconstituer tous les morceaux de la clé WEP qui circulent de temps à autres sur votre réseau. La raison pour laquelle ils circulent est intimement liée à l’algorithme utilisé car celui-ci doit être initialisé à chaque échange pour ne pas utiliser deux fois la même clé. De fait une partie de la clé (les 24 bits en question) est utilisée comme élément d’initialisation (vecteur d’initialisation) et celui-ci n’est pas chiffré.

Au bout d’un moment, si quelqu’un écoute tous les échanges, il aura obtenu suffisamment d’éléments pour reconstruire la clé sans la connaître au préalable. Pour cette raison la clé WEP ne doit absolument plus être utilisée sur les équipements Wi-Fi aujourd’hui.


1-2 Clé WPA/WPA2

Le protocole WPA offre une protection d’un niveau bien supérieur à WEP. Il utilise pourtant le même algorithme de chiffrement et est basé sur le même principe de vecteur d’initialisation. En revanche le TKIP (Temporal Key Integrity Protocol ou Protocole d’intégrité par clé temporelle) a été ajouté, permettant ainsi une permutation plus importante des clés sans que le vecteur d’initialisation ne puisse être reconstitué de manière utile. Ainsi, le WPA permet d’utiliser une clé par machine connectée à un réseau sans fil.

Les clés WPA sont donc générées automatiquement par le point d’accès sans fil. Le protocole TKIP améliore la sécurité par rapport au WEP car :
-Il double la taille du vecteur d’initialisation (bits aléatoires ajoutés aux données).
-Le WPA double également le code d’intégrité du message passant de 4 à 8 octets.
-Les clés de cryptage sont générées de façon périodique et automatique pour chaque client.

Dans les configurations les plus courantes, le mode Personnel est utilisé avec la PSK (Pre-Shared Key ou clé pré-partagée). Cela permet d’utiliser une clé alphanumérique normale d’une longueur d’au moins 32 caractères. Ce qui offrait un niveau de protection tout à fait acceptable autrefois, mais plus aujourd'hui


La Wi-Fi Alliance (l’association qui possède la marque Wi-Fi) a ensuite crée une nouvelle certification appelée WPA2 pour les matériels supportant le standard 802.11i. WPA2 est basé sur WPA, il supporte le cryptage AES au lieu du RC4 et offre de nouvelles fonctionnalités comme le « Key Caching » et la « Pré-Authentification ».

Le protocole WPA2  utilise un algorithme de chiffrement beaucoup plus puissant, utilisé dans le cryptage des documents sensibles et possédant une clé très forte.
Le WPA-2 offre par rapport au WPA :
-Une sécurité et une mobilité plus efficaces grâce à l’authentification du client indépendamment du lieu où il se trouve.
-Une intégrité et une confidentialité fortes garanties par un mécanisme de distribution dynamique de clés.
-Une flexibilité grâce à une ré-authentification rapide et sécurisé

 Il s’agit de la dernière norme du protocole WPA permettant de  bien protéger votre réseau WLAN.

Malheureusement une faille très importante a été découverte au mois de juillet 2010 dans ce protocole qui reste néanmoins considéré comme le plus sécurisé.

1-3 Chiffrages : PSK, TKIP et AES

PSK
En général, dans un réseau Wi-Fi local, l’authentification se base sur une  clé  de sécurité comme PSK, sigle de "Pre Shared Key"  (clé partagée préalablement), c’est-à-dire que la sécurité du réseau Wi-Fi repose sur un secret partagé (le mot de passe du réseau Wi-Fi), connu par ses utilisateurs et le point d’accès.
En clair, un réseau Wi-Fi WPA-PSK dispose d’un mot de passe connu par tous les clients qui se connectent à ce réseau Wi-Fi. C’est la configuration de réseau la plus utilisée sur les routeurs Wi-Fi  proposée  sur Box et routeurs. 


 TKIP est protocole un peu  ancien, créé pour la norme WPA pour remplacer le protocole WEP. Donc, TKIP est demeure  assez semblable au chiffrage WEP. Peu sécurisé  TKIP est en général déconseillé. De plus, il pourrait ralentir le débit sur certains routeurs ?

AES 
est un type de chiffrage  complexe  créé avec la norme WPA2. AES a fait ses preuves comme chiffrage utilisé par l’armée et les gouvernements. Par exemple, lorsque vous chiffrez un disque dur avec TrueCrypt, celui-ci peut utiliser le chiffrement AES. AES est généralement considéré comme suffisament sécurisé. Toutefois, aujourd'hui et leurs principale faiblesse seraient les attaques brute-force (attaques impossibles en cas de mot-de-passe fort) ainsi que les failles de sécurité propres à WPA2.

Octobre 2017 Dernière minute ! Grosse faille sur le protocole WPA2 des réseaux Wi-Fi
La protection de nos connexions Wi-Fi n'est en théorie plus assurée. Une faille hautement critique de sécurité dans le protocole Wi-Fi Protected Access II (WPA2) permet à des pirates d'intercepter le trafic Wi-Fi entre les ordinateurs et les points d'accès. En 13 ans d'existence, c'est la première fois que la sécurité du protocole WPA2 est mise à mal.
La faille de sécurité Krack peut toucher n’importe quel dispositif pouvant se connecter en Wi-Fi, ce qui intéressera un grand nombre de pirates informatiques dans les semaines à venir !

Mathy Vanhoef souligne : « L’attaque agit contre les réseaux Wi-Fi personnels et d’entreprise, contre l’ancien WPA et le dernier standard WPA2, et même contre les réseaux qui n’utilisent que AES »…. histoire de bien faire comprendre que tout le monde est concerné à tous les niveaux.

Que faire ?  Mettre à jour vos appareils (smartphones, ordinateurs, objets connectés) et vos routeurs le plus rapidement possible. Les constructeurs sont informés et ont déjà commencé à publier des patchs. Abandonner WPA2 n'est pas la solution et ne repassez surtout pas au WEP
 source : zdnet.fr   korben




2-Sécuriser son réseau Wi-Fi 


1.Le résumé des sécurités

Ouvert (Trop risqué) : Les réseaux WiFi ouverts n’ont pas de mot-de-passe de connexion. Quiconque peut s’y connecter et l’utiliser y compris  pour des activitées illégales. DECONSEILLE

WEP 64 (ancien, risqué) : Ancienne norme de sécurité WEP très vulnérable. DECONSEILLE  

WEP 128 (ancien, risqué) : comme la clé WEP mais avec un  chiffrage plus fort. DECONSEILLE

WPA-PSK (TKIP) : ancien  protocole de base  WPA1, avec un chiffrage qui date  remplacé par le WPA2 plus sûr et plus rapide. Déconseillé

WPA-PSK (AES) : (idem) ancien  protocole de base  WPA1, avec un chiffrage AES plus récent. Cette solution autrefois proposée est remplacée par le WPA2. Déconseillé

WPA2-PSK (TKIP) : Nouveau standard WPA2 mais  avec un chiffrage TKIP plus ancien.A utiliser uniquement si des appareils ne supportent pas  le chiffrage AES.

WPA2-PSK (AES) : Le  plus sûr aujourd’hui avec les dernières normes. A recommander. 

WPA2-PSK (TKIP/AES) :  cette option  mixte à 2 protocoles est parfois proposée pour connecter connecter des  appareils  anciens  mais la porte d’entrée  TKIP est plus faible avec des risaues, ausii fait-ill'éviter si possible !

2. Chiffrer son réseau Wi-Fi en WPA2

Le chiffrement permet donc de rendre illisibles les données même si elles sont interceptées. Pour cela il faut mettre en place le protocole WPA2 et surtout pas le protocole WEP.
et
 de préférence en  WPA2-PSK/AES

Pour connaître le chiffrement que vous utlisez actuellemnt, allez sur le tableau de  bord de votre box, section wifi

ce que conseille FREE sur ses box


3. Changer le mot de passe par défaut de la box

L'accès au paramétrage de votre box est en principe sécurisé par un identifiant et mot de passe.  Il est fréquent que certains fournisseurs d’accès envoient le mot de passe par défaut par mail ou courrier.

Il faut logiquement ensuite changer le mot de passe par défaut : certains ne le changent pas, or tous les mots de passe d'origine des box sont parfaitement connus...(voir dans ce blog)

La politique de sécurité des mots de passe s’applique ensuite, en utlisant un mot de passe compliqué et long, (chiffre, lettres et majuscules) qui ne doit pas être sauvegardé dans le navigateur.


4. Changer le nom du réseau Wi-Fi (SSID)

Bien que cela ne joue que très peu sur la sécurité du réseau Wi-Fi en elle même, changer le nom du réseau (SSID) par défaut est un moyen d’indiquer aux potentiels pirates que vous prenez votre sécurité au sérieux. Il y a moins de chance qu’on attaque une personne qui semble s’y connaître par rapport à une personne qui semble débutante avec un nom de réseau par défaut.

Cela se fait là encore via votre panneau d’administration.


4. Faire du filtrage par adresse Mac
Uniquement si vous pensez être dans un lieu sensible au piratage,car cette solution complexe a des inconvénients...
Une adresse Mac est une adresse matérielle  unique attribuée  aux cartes réseaux. Le filtrage par adresse Mac consiste donc à indiquer à votre routeur  que seules les personnes dont la carte réseau contient l’adresse Mac en question sont autorisées à se connecter.

La sécurité est assurée dans le sens où vous décidez du matériel (et donc de la personne)  qui accède au réseau, mais vous devrez ajouter des adresses Mac à chaque changement de cartes réseaux ou ajout de périphériques au réseau Wi-Fi.
De plus, il faut savoir que  le "Mac spoofing" est une technique permettant de modifier son adresse Mac de façon logicielle afin de se faire passer pour une autre machine. Le filtrage par adresse Mac n’est donc pas  total....




3-L'avenir: WPA3

WPA va bientôt évoluer... il était temps : la version actuelle du protocole WPA utilisé par les appareils exploitant le WiFi date de 2004 et plusieurs failles connues permettent de contourner la protection du trafic offerte par cet outil. On peut ainsi citer l’exemple de la faille Krack, découverte en octobre 2017 et corrigée de manière indépendante par chaque constructeur. Le nouveau standard vient donc mettre un peu d’ordre dans tout ça et combler les failles béantes du protocole WPA2.

Ce nouveau standard est décliné en deux versions différentes, l’une à destination d’un usage personnel et une autre visant plutôt un usage en entreprise. Dans les deux cas, l’accent est mis sur les nouvelles fonctionnalités de protection avec l'intégration de correctifs de failles déjà connues.
Il faudra encore un peu de temps  les cavant que les constructeurs  l’implémentent sur les nouveaux appareils et surtout publient  des patchs correctifs pour une prise en charge sur les appareils déjà commercialisés, sous WPA2.
Donc, un appareil utilisant WPA2 n’aura aucun mal à se connecter à un WiFi protégé par WPA3.