Sécuriser le WiFiSÉCURITÉ ET PROTECTION DU RÉSEAU WI-FI DE LA BOX

Avec les nombreuses affaires de piratages de données, la plupart des utilisateurs savent qu’il est désormais nécessaire de sécuriser son réseau Wi-Fi.

 

 

CE QU’IL FAUT COMPRENDRE

Un réseau sans fil est beaucoup plus sensible qu’un réseau filaire car les données circulent librement dans l’air. Il est donc essentiel de le protéger, même si les données qui y circulent n’ont rien de confidentielles.

Certaines pratiques frauduleuses  destinées à rechercher des réseaux Wi-Fi, ouverts ou faiblement sécurisés peuvent mettre en péril vos données. Il suffit pour cela d’un simple smartphone ou ordinateur portable afin de s’y connecter et effectuer toutes sortes d’actions malveillantes.

Si vous ne faites pas l’effort de protéger et de configurer correctement votre réseau, n’importe quel utilisateur « mal intentionné » peut utiliser votre connexion internet pour effectuer des activités illégales sur votre dos. Et en cas de problème, le responsable sera le propriétaire de la connexion internet, c’est-à-dire « VOUS ».

La loi indique que vous êtes responsable de la protection de votre réseau Wi-Fi. Si vous ne sécurisez pas cet accès, cela sera assimilé à de la « négligence caractérisée » et « punie de l’amende prévue pour les contraventions de la cinquième classe… » (Article R335-5 du code de la propriété intellectuelle).

Il existe, pour cela, quelques astuces à connaître pour sécuriser son réseau Wi-Fi. Voici les plus pertinentes :

1. Chiffrer son réseau Wi-Fi
2. Changer le mot de passe par défaut de la box
3. Modifier le SSID
4. Faire un filtrage par adresse MAC
5. Se prémunir du sniffing réseau

 

1 – SÉCURITÉ ET PROTECTION DE SON RÉSEAU WI-FI AVEC LE CHIFFREMENT

L’essentiel de la sécurité d’une box internet qui émet en Wi-Fi consiste à choisir une bonne clé de cryptage (WPA2), protégée par un mot de passe solide. Le chiffrement permet donc de rendre illisible ces données, même si elles sont interceptées.

Avec un réseau sans fil, n’importe quelle donnée, envoyée ou reçue, peut être interceptée par toute personne disposant des outils nécessaires, en particulier le « sniffing réseau » (ou reniflage réseau). Celui-ci consiste à lire le contenu des messages qui transitent en clair. Ces messages peuvent être des mots de passe, ou encore des informations très sensibles.

 

Différents protocoles de sécurité :

WEP

Le protocole WEP (Wired Equivalent Privacy) contient des failles de sécurité qui rendent le piratage de la connexion relativement facile.

Cette option de sécurité peut être déjouée en quelques instants sans équipements spécifiques. Il ne peut donc garantir une réelle confidentialité des données. Pour cette raison, il ne doit plus être utilisé sur les équipements Wi-Fi de nos jours. C'est la raison pour laquelle il a été progressivement remplacé par le WPA.

WPA/WPA2

Le protocole WPA (WiFi Protected Access) était, au départ, une simple amélioration du protocole WEP. Il s’est cependant étoffé au fil des versions.

  • WPA2 s’est alors imposé en 2004 comme étant le dernier standard en terme de sécurité des réseaux Wi-Fi. Toutefois, il persiste encore des failles, à l’image de Krack, une faille détectée en octobre 2017.
  • WPA2 permet un meilleur chiffrement des données et supporte le cryptage AES. C’est le dernier algorithme(*) de sécurité inclus avec pratiquement tous les systèmes sans fil, et accessible le plus souvent via l’écran de configuration. C’est la base d’un réseau sécurisé et facile à mettre en place.
    (*) L’algorithme est une suite d’opérations permettant de résoudre un problème).
  • Il est primordial de protéger le réseau Wi-Fi domestique avec ce protocole WPA2, et de créer également un mot de passe suffisamment solide et compliqué, alliant chiffres, lettres et caractères spéciaux, lorsque cela est autorisé.
    Pour cela, utilisez tous les atouts du clavier français qui dispose de symboles, d’accents, et de lettres doubles (ç, â, ê, î, ô, û, œ, æ, etc).

WPA3

Cette nouvelle version du protocole de sécurité WPA3, validé par la Wi-Fi Alliance, réduit les risque d’exposition d’un réseau aux attaques, ce qui augmentera, par conséquent, la sécurité des utilisateurs face aux cyberattaques de plus en plus nombreuses.

De nouveaux équipements labellisés WPA3 devraient voir le jour et se démocratiser par la suite au matériel proposé par les différents Fournisseurs d’Accès à Internet (FAI).

 

2 – CHANGER LE MOT DE PASSE PAR DÉFAUT DE LA BOX

Si vous devez renseigner un nom d’utilisateur et un mot de passe pour entrer dans l’interface de configuration de la box internet, NE CHOISISSEZ SURTOUT PAS LE MOT DE PASSE fourni par défaut. Modifiez-les sans pitié, et définissez-en un autre par vous-même.

 

Comment choisir un mot de passe complexe ?

  • Il doit avoir au minimum 12 caractères. Dans l’idéal, 20 caractères serait déjà une bonne protection, équivalente à un chiffrement en AES-128 bits,
  • Des caractères spéciaux disponibles lorsque leur utilisation est autorisée, tels que « /&#*^§< »
  • Comportant au moins 1 chiffre,
  • Avec majuscules et minuscules.

Les longs mots de passe n’ont pas besoin d’être difficiles à retenir. Il suffit d’une longue phrase sans tiret ni espace, facile à retenir, mais surtout connue de vous seul(e), plutôt qu’un mot de passe court et complexe que vous ne retiendrez pas.

Cela offre bien plus de sécurité étant donné que la puissance de calcul nécessaire pour tester et cracker une clé aussi longue est difficile à atteindre. Ce qui est sûr, c’est que plus la clé sera longue, plus le pirate mettra de temps à la cracker.

La résistance d'un mot de passe doit se mesurer en nombre d'années.

Chaque caractère supplémentaire augmente considérablement le temps nécessaire pour « cracker » un mot de passe. Une chaîne de douze à vingt caractères est un bon compromis entre sécurité et facilité de mémorisation.

arrow

IMPORTANT : N’enregistrez jamais votre mot de passe dans le navigateur !

 

 

3 - MODIFIER LE SSID POUR LA SÉCURITÉ DU RÉSEAU WI-FI

Le SSID (Service Set IDentifier) est le nom du réseau sans fil que l’on voit dans la liste des réseaux disponibles lorsque l'on clique sur l'icône du Wi-Fi dans la barre de menu du Finder (exemple Bboxag…, Livebox24…, Freebox_LIM, etc).

Différents SSID du réseauDifférents SSID du réseau

 

Certains préconisent de le masquer, mais cela n’est pas complètement efficace (il y a toujours moyen de le voir, notamment sous Linux). De plus, cela n’est pas très pratique lorsque l’on veut connecter un nouvel appareil.

Par contre, changer le SSID peut éviter certaines intrusions.

Beaucoup de routeur Wi-Fi sont livrés avec un SSID par défaut. Et la plupart des utilisateurs le conservent tel quel. Ce qui est une erreur.

NE PAS LE MODIFIER permet aux pirates de composer des listes de consultation de mot de passe pour les SSID courants. Cela accélère considérablement les processus de piratage en permettant de tester des millions de mots de passe à la seconde !!!

Par contre, MODIFIER LE SSID et lui attribuer un autre nom peut éviter certaines intrusions. Un SSID personnalisé augmente significativement le temps et le travail nécessaire pour tenter de compromettre un réseau WI-Fi.

Ne donnez pas aux hackers la possibilité de savoir si un réseau sans fil vous appartient : utilisez plutôt un identifiant vague qui ne vous désigne pas personnellement, ni ne permet de vous localiser. Moins le pirate a d’informations sur la connexion, mieux vous serez protégé.

 

 

4 - FILTRAGE PAR ADRESSE MAC

Le filtrage par adresse MAC (Media Access Control) est sans aucun doute la méthode la plus efficace pour  protéger son réseau Wi-Fi contre les intrusions de voisins, et autres hackers en herbe.

Pour cela, il faut d'abord utiliser les quelques consignes précédentes pour sécuriser son accès.

Sur une box internet, le filtrage MAC permet d’autoriser, ou de refuser, la connexion d’appareils de manière nominative. C’est « en théorie » l’arme ultime pour éviter toute intrusion sur son réseau personnel.

 

Adresse MAC et carte réseau

Chaque carte réseau possède une adresse physique qui lui est propre, et que l'on nomme adresse MAC. Ce numéro d’identification est unique au monde. Il est représenté par une série de 12 chiffres hexadécimaux groupés par paires et séparés par deux points.

Comprendre une adresse MACComprendre une adresse MAC

Une carte réseau insérée dans un équipement informatique connecté à un réseau se voit attribuer, en plus de l'adresse physique qui est « l’adresse MAC », une adresse logique qui est « l’adresse IP ».

Toute carte réseau active possède donc un identifiant unique au monde, l'adresse MAC, à laquelle est impérativement associée une adresse IP, qui permettra d'identifier l'appareil qui abrite la carte réseau en question.

Par conséquent, deux ordinateurs équipés de carte réseau ne peuvent pas avoir la même adresse MAC, ce qui permet d’inclure ou d’exclure certaines machines d’un réseau.

Les points d'accès permettent, généralement dans leur interface de configuration, de gérer une liste de droits d'accès, dont la liste blanche et la liste noire, basée sur les adresses MAC des équipements autorisés à se connecter au réseau sans fil.

  • La liste blanche répertorie les appareils dont l’accès sur le réseau est autorisé.
  • La liste noire refuse l’accès aux appareils non répertoriés qui tenteraient de se connecter à votre réseau (hackers ou intrus du voisinage, par exemple).

Le filtrage par adresse MAC consiste donc à configurer votre routeur (la box) afin qu’il n’accepte que certaines adresses MAC sur votre réseau WiFi domestique.

Filtrage par adresse MAC

Avantage du filtrage par adresse MAC

  • Cette précaution, un peu contraignante, permet de limiter l'accès au réseau à un certain nombre de machines. C’est l’idéal pour réserver son réseau aux seules machines connues du foyer !

Inconvénient du filtrage par adresse MAC

  • L’obligation, à chaque changement de cartes réseaux ou ajout de périphériques au réseau Wi-Fi, de rajouter des adresses MAC dans la liste des adresses autorisées par le filtrage dans la configuration du routeur.

Si vous devez prêter temporairement votre connexion à un ami de passage, vous pourrez lui proposer de se connecter en Ethernet. S’il insiste pour se connecter en Wi-Fi, vous devrez alors ajouter son adresse MAC dans votre liste blanche.

  • Pour trouver l’adresse MAC de votre ordinateur : allez dans Préférences Système | Réseau. Sélectionnez votre réseau Wi-Fi puis cliquez dans Avancé… tout en bas, à droite de l’écran. Votre adresse MAC, ou Adresse Wi-Fi, se trouve en bas de l'écran.

Où trouver l'adresse MAC sur votre ordiOù trouver l'adresse MAC de votre ordi

 

  • Pour trouver l’adresse MAC de votre iPhone ou iPad : allez dans Réglages | Général | Informations. Votre adresse MAC se trouve sous l’intitulé « Adresse Wi-Fi ».

Adresse MAC smartphoneAdresse MAC du smartphone

 

Où trouver l'adresse MAC ?

Il n’existe cependant aucune sécurité Wi-Fi 100% fiable. Et le filtrage MAC ne déroge pas à la règle. Comment est-ce possible ?

A cause du SNIFFING RÉSEAU.

 

 

5 - SNIFFING RÉSEAU

Le « sniffing réseau » (« reniflage réseau » en français) consiste à écouter les échanges sur les réseaux afin de récupérer les contenus transmis mais surtout les clés nécessaires pour cracker les protections. Cela concerne en particulier les mots de passe, ce qui risquerait d’être problématique.

Donc, évitez de vous connecter dans les cybercafés ou autres hotspots publics, au risque d’être victime du reniflage réseau.

 

Comment se protéger du sniffing réseau

1 - La meilleure protection contre ce type d’attaque est d’utiliser le https, un protocole de communication sécurisé.

Les données ne sont pas transmises en clair, et l’on ne peut pas trouver les mots de passe sans clé de chiffrement.

2 - Que faire lorsque le site n’est pas en https ? Le meilleur moyen est d’utiliser un service VPN qui chiffrera le trafic, même pour les sites qui ne sont pas en https.

De quoi surfer en paix sur les réseaux publics.

3 - Et pour sécuriser encore davantage vos balades sur Internet, installez impérativement l’extension HTTPS Everywhere dans tous vos navigateurs.

Cette extension chiffrera vos communications sur les sites majeures, rendant ainsi vos navigations plus sûres.

 

Pour installer HTTPS everywhere, allez sur le site officiel eff.org pour télécharger et installer cette extension sur Chrome, Firefox, et Opera.

(Voir également l’article HTTPS everywhere dans l’onglet Plan du site « Réseau et Internet »).

HTTPS Everywhere

 

Malheureusement, HTTPS everywhere n’est pas compatible avec Safari.

Par contre, Apple propose sur l’App Store, une nouvelle technologie pour Safari, le HTTPS Now. Cette extension payante (3,49 €) propose de sécuriser, crypter, et surveiller les sites web que vous visitez.

Le HTTPS Now n’est pas un service de VPN, mais il est tout aussi efficace, et de plus, plus rapide qu’un VPN.

 

CONCLUSION

Il est prudent, et urgent, de sécuriser votre réseau Wi-Fi domestique lorsque vous vous connectez pour surfer sur Internet. Il y va de la sécurité de vos données personnelles.

 

PARTAGEZ CET ARTICLE 🙂

Vous avez aimé cet article ? Partagez-le avec vos collègues ou amis.

Merci