Tuesday, April 9, 2019

WiFi : comment sécuriser le réseau de la maison

Les réseaux WiFi sont devenus la norme, mais posent un certain nombre de problèmes de sécurité : ils peuvent permettre à un intrus d’accéder à votre réseau personnel, aux machines qui y sont connectées, et à son trafic. Une personne mal intentionnée peut mener son attaque à distance, en toute discrétion. Or, renforcer la sécurité de son réseau WiFi ne se résume pas, vous allez le voir, qu’à changer de clé réseau. Voici quelques conseils pour améliorer la protection de votre réseau contre d’éventuelles intrusions.
WiFi : une sécurité limitée, quoi que vous fassiez
Le premier conseil, c’est de ne pas croire qu’il vous sera possible de rendre votre réseau WiFi totalement imperméable aux attaques. La technologie a plusieurs défauts. D’abord, elle repose sur des ondes qui traversent les murs : le signal est donc accessible tout autour de votre domicile, ce qui est particulièrement vrai lorsque vous vivez en ville dans un appartement.
Le second problème, c’est que le chiffrement n’est plus une sécurité absolue. Des failles connues et bien documentées (en particulier le WPS) permettent par exemple d’accéder aux réseaux sans fil sans même tenter d’en deviner la clé sur certains routeurs non mis à jour. Les chiffrements WEP et WPA sont aujourd’hui très faciles à craquer. Et depuis l’année dernière, la sécurité du chiffrement WPA2 a elle aussi été craquée.
Depuis le WiFi Alliance a annoncé le chiffrement WPA3 qui doit permettre de regagner quelque temps un peu d’avance sur les pirates. Mais les routeurs comme plus généralement les appareils compatibles WPA3 sont encore rares. Et in fine on s’attend dans tous les cas à ce que des pirates finissent par trouver une nouvelle parade…
La première manière de renforcer la sécurité de votre réseau WiFi est donc de renforcer la sécurité de ce qui court le plus le risque d’être piraté, à savoir la sécurité des appareils connectés à votre réseau. D’où la pertinence, par exemple, d’un firewall directement sur votre ordinateur plutôt que de se fier à celui de votre routeur.
Mot de passe, sécurité… : les conseils de base
Commençons par des conseils de bon sens qui ne sont, hélas, pas toujours respectés. Si vous les connaissez déjà, passez directement aux conseils plus avancés, et/ou aux méthodes que nous ne recommandons pas.
Choisissez un mot de passe fort pour votre réseau WiFi
En général votre réseau WiFi est géré par la box de votre opérateur. Ce qui signifie qu’en général, votre opérateur vous a déjà assigné une clé de connexion très complexe qu’il n’est pas obligatoire de changer. Sauf si votre box se trouve dans des parties communes et que vous souhaitez empêcher n’importe qui de se connecter avec le code collé sur l’étiquette de la box.
Quoi qu’il en soit, si vous le changez, optez pour quelque chose d’à la fois mnémotechnique et sécurisé. Dans cet article nous vous donnons des conseils avisés pour choisir de meilleurs mots de passe. L’un d’entre eux consiste à construire vos mots de passe comme des phrases (des suites de mots prononçables) plutôt que des séries de chiffres, lettres et caractères spéciaux.
Choisissez le chiffrement le plus élevé compatible avec vos appareils
En général, tous les routeurs proposent ces méthodes de chiffrement (en gras la plus sécurisée de la liste) :
WEP 64 bits
WEP 128 bits
WPA-PSK (TKIP)
WPA-PSK (AES)
WPA2-PSK (TKIP)
WPA2-PSK (AES)*
WPA/WPA2-PSK (TKIP+AES)
* le chiffrement le plus fort sur la plupart des routeurs, c’est lui, pas celui juste après comme le croient hélas de nombreux utilisateurs…
Plus récemment, certains appareils proposent également cette méthode :
WPA3
WEP (Wired Equivalent Privacy) est la plus vielle des méthodes de chiffrement – et est désormais presque autant recommandée que de laisser votre réseau sans mot de passe (que ce soit dans sa version 64 ou 128 bits). C’est une méthode à proscrire dans tous les cas.
WPA (Wi-Fi Protected Access) est une série de normes conçues pour améliorer la sécurité. WPA I a rapidement été supplanté par WPA2, et plus récemment, après la découverte de failles critiques du protocole, le WiFi Alliance a lancé le WPA3. Le problème c’est que cette dernière technologie tarde encore à se démocratiser.
TKIP est l’ancienne méthode de chiffrement utilisée par le protocole WPA.
AES est un standard de chiffrement fort utilisé, entre autres, par l’armée.
Le mode WPA/WPA2-PSK (TKIP+AES) n’est pas, contrairement à une idée reçue, le mode le plus sécurisé disponible sur votre routeur. C’est en réalité un mode hybride qui mélange les deux versions de protocoles WPA et de chiffrement (TKIP et AES) pour plus de compatibilité. Il permet néanmoins aux hackers de profiter des vulnérabilités du protocole WPA I – sachant que le protocole WPA 2 est lui aussi., désormais, vulnérable. Et permet également d’exploiter TKIP, un chiffrement moins sécurisé que AES.
C’est pourquoi si vos appareils vous le permettent, nous vous recommandons de choisir le mode WPA2-PSK (AES) sur votre routeur. Puisque le WPA3 tarde encore à apparaitre.
Changez le nom de votre réseau SSID
Par défaut votre box internet diffuse un nom qui trahit son origine. Par exemple, si vous avez une Livebox, le nom de votre réseau WiFi par défaut sera quelque chose du genre Livebox-F986. Chaque opérateur a son petit nom, et cela donne donc une indication importante à un éventuel hacker qui cherchera à exploiter une faille sur votre matériel : si c’est une Bbox, Livebox, Freebox ou SFRbox, il ne reste plus qu’à tester les vulnérabilités des modèles les plus récents.
Or pourquoi ne pas plutôt essayer d'embrouiller tout le monde ? Choisissez un nom différent – que ce soit quelque chose qui n’ait strictement rien à voir, ou pourquoi pas un nom évoquant la box d’un autre opérateur. Cela n’améliorera pas vraiment votre sécurité, mais fera assurément perdre un peu de temps à un éventuel pirate.
Maintenez votre routeur à jour
Il va sans dire que si il y a des failles, les fabricants tendent à les corriger, et proposent des mises à jour régulières. Or la mise à jour n’est pas toujours automatique sur tous les modèles. Il faut donc se connecter à votre espace d’administration.
Les conseils plus avancés pour sécuriser votre réseau WiFi
A côté des conseils de base, quelques actions vous permettront de hausser la sécurité de quelques crans pour diminuer tout risque d’attaque.
Désactivez le WPS
Le WPS, pour Wi-Fi Protected Setup, est une technologie lancée par la Wi-Fi Alliance pour simplifier la connexion d’un appareil à un réseau Wi-Fi. Elle consiste à proposer un bouton physique sur le routeur sur lequel il suffit d’appuyer pour valider le jumelage d’un appareil au réseau WiFi, en remplacement du mot de passe. Mais il existe plusieurs méthodes de connexion WPS. L’une d’entre-elles se base sur un code PIN à huit chiffres – fixé en usine, parfois on trouve 12345678 sur d’anciens modèles.
Mais d’autres failles existent sur des modèles plus récents avec d’autres modes de connexion WPS. Par exemple, une attaque du protocole avait été démontrée en 2017 sur les Livebox 2 et 3 et Neufbox 4, 6 et 6V. La faille était plutôt inquiétante, puisqu’il suffisait à l’attaquant d’envoyer un code PIN vide pour initier la connexion. Bref, si vous ne l’utilisez pas – de nombreux utilisateurs ne connaissent même pas l’existence de cette fonctionnalité sur leur routeur – désactivez-la via l’interface de gestion de votre box.
Cachez le SSID
Pour aller plus loin vous pouvez opter pour une stratégie visant à rendre votre réseau le plus discret possible dans un environnement déjà saturé de nombreux réseaux WiFi. L’un des conseils allant dans ce sens, c’est de cacher le nom du réseau SSID. Cela signifie qu’il n’apparaitra plus dans la liste des réseaux sans fil sur les ordinateurs, smartphones et tablettes.
Il reste néanmoins possible de découvrir la présence d’un réseau caché via des outils spécialisés, mais cela ajoute une difficulté pour pénétrer votre réseau sans fil puisque pour s’y connecter, il faut absolument connaître le nom du réseau et la clé. Encore une fois, il ne faut surtout pas considérer cela comme une mesure de sécurité réelle. Il s’agit au mieux d’un obstacle qui fera perdre un peu de temps à un hacker.
Pour se connecter à votre réseau, il faudra désormais entrer manuellement son nom, sa norme de sécurité et sa clé.
Réduisez la puissance du signal et donc sa portée
Tous les routeurs ne le permettent malheureusement pas, mais l’une des meilleures méthodes pour rendre son réseau moins vulnérable aux attaques, c’est de réduire la puissance du signal WiFi. Il devient alors nettement plus difficile de se connecter hors de vos murs, la connexion étant plus faible.
Dans la même veine, optez, si vos appareils sont compatibles, pour un unique réseau WiFi 5GHz (et désactivez le réseau 2.4 GHz) : plus on monte dans le spectre d’ondes radio, plus le signal est facilement arrêté par les murs. Nous vous conseillons également de désactiver si possible le réseau WiFi lorsque vous quittez votre domicile durant de longues périodes – par exemple lorsque vous partez en vacances.
Jetez de temps à autres un oeil sur la liste de clients connectés
Allez de temps à autres faire un tour dans les pages administration de votre routeur pour consulter la liste des appareils connectés. Essayez de contrôler que tous les appareils font bien partie de ceux qui y sont autorisés. Pour cela, vous pouvez vous aider, entre autres, de l’adresse MAC de vos appareils qui permettent de deviner la marque de l’appareil. Ce site permet de retrouver de nombreuses informations à partir des adresses MAC :
macvendors.com
Choisissez un login / mot de passe différent pour l’administration de votre routeur
Imaginez qu’un intrus parvienne à s’introduire sur votre réseau à votre insu et à changer la configuration de votre routeur pour diminuer les risques d’être découvert, ou réaliser une attaque. C’est pour cette raison qu’il est fortement conseillé de changer les identifiants et mot de passe par défaut du routeur, même si son interface de gestion est uniquement accessible depuis votre réseau. Si le login/mot de passe en question est Admin/Password (c’est souvent ça ou quelque chose du genre, hélas), changez-le de toute urgence.
Les méthodes compliquées que nous ne recommandons pas (et pourquoi)
A côté de cela, il y a des méthodes que nous avons lues ailleurs sur le net, et qui sont à proscrire, parce qu’elles compliquent inutilement l’utilisation du réseau WiFi (et sont donc susceptibles d’être bien vite abandonnées) et/ou parce qu’elle n’améliorent pas vraiment la sécurité proprement dite de votre réseau WiFi, en plus de rendre votre connexion moins stable.
Filtrage d’adresses mac : l’essayer, c’est le détester
Souvent conseillé, le filtrage d’adresse Mac est à proscrire pour deux raisons. La première, sans doute la plus importante, c’est qu’il est possible de manipuler cette adresse, pourtant initialement conçue comme une sorte de tatouage électronique. Un intrus pourra donc par brute force trouver les adresses mac autorisées et se faire passer pour un appareil valide.
La seconde, c’est qu’à chaque fois que vous aurez des invités, il vous faudra récupérer leur adresse mac et les mettre dans la liste des appareils autorisés pour les connecter au WiFi. On fait le pari que cela ne vous amusera pas plus de deux minutes !
Installer un VPN sur le routeur de la maison
On a vu dans d’autres dossiers sur le sujet certains conseillant de configurer un VPN sur votre routeur. Nous pensons que ce conseil est la déformation d’un autre, pour le coup avisé : celui d’utiliser un VPN lorsque vous vous connectez à des réseaux WiFi publics. L’idée, c’est de chiffrer le traffic entre votre machine et le reste du net, compliquant les attaques de type man-in-the-middle.
Or chez vous, on parle de réseau privé – un lieu où le risque posé par ce genre d’attaque est justement très réduit (surtout si vous suivez les conseils plus haut). Par ailleurs, à part vous aider à vous connecter à Netflix US sur tous vos appareils de la maison, configurer un réseau VPN sur votre routeur (au lieu de vos appareils) n’ajoutera strictement aucune sécurité à votre réseau WiFi.
Enfin pour avoir testé la chose sur plusieurs modèles de routeurs (notamment Netgear avec firmware Voxel ou DD-WRT…), cela a tendance à rendre la connexion instable avec des coupures, assez fréquentes, pouvant durer plusieurs minutes à chaque fois. Vous risquez alors d’être l’une des personnes les plus détestées de votre foyer, identifié comme celui « qui pourrit toujours la connexion internet avec ses bidouilles » et ça, franchement, croyez-moi, c’est pas cool (j’en sais quelque chose !).
Vous connaissez d’autres conseils pour rendre votre réseau WiFi plus sécurisé ? Partagez votre avis dans les commentaires !

No comments:

Post a Comment