Bonjour,
Pour éviter d'avoir un réseau passoire en wifi, il faut quand même quelques notions avancées d'informatique pas toujours évidentes pour un amateur comme moi.
Trois solutions + 1
( WEP ou WPA ou WPA2 ) + Filtrage MAC
Le cryptage WEP ou Wireless Equivalent Privacy.... le moins sécurisé.
Le WEP est un protocole chargé du chiffrement des trames 802.11 utilisant l' algorithme symétrique RC4 avec des clés d'une longueur de 64 ou 128 bits. Le principe du WEP consiste à définir dans un premier temps une clé secrète de 40 ou 128 bits. Cette clé secrète doit être déclarée au niveau du point d'accès et des clients. La clé sert à créer un nombre pseudo-aléatoire d'une longueur égale à la longueur de la trame.
Chaque transmission de donnée est ainsi chiffrée en utilisant le nombre pseudo-aléatoire comme masque grâce à un OU Exclusif entre le nombre pseudo aléatoire et la trame.
La clé de session partagée par toutes les stations est statique, c'est-à-dire que pour déployer un grand nombre de stations Wi-Fi, il est nécessaire de les configurer en utilisant la même clé de session. Ainsi la connaissance de la clé est suffisante pour déchiffrer les communications.
De plus, 24 bits de la clé servent uniquement pour l'initialisation, ce qui signifie que seuls 40 bits de la clé de 64 bits servent réellement à chiffrer et 104 bits pour la clé de 128 bits.
Dans le cas de la clé de 40 bits, une attaque par force brute ( c'est-à-dire en essayant toutes les possibilités de clés ) peut très vite amener le pirate à trouver la clé de session.
De plus, une faille décelée concernant la génération de la chaîne pseudo-aléatoire rend possible la découverte de la clé de session en stockant le trafic créé intentionnellement avec un logiciel approprié.
Le WEP n'est donc pas suffisant pour garantir une réelle confidentialité des données. Pour autant, il est vivement conseillé de mettre au moins en oeuvre une protection WEP 128 bits minimum afin d'assurer un niveau de confidentialité et d'éviter de cette façon 30% des risques d'intrusion.
le Cryptage WPA ou Wifi Protected Access.... un peu mieux.
Le WPA est une version « allégée » du protocole 802.11i, reposant sur des protocoles d' authentification et un algorithme de cryptage robuste : TKIP ( Temporary Key Integrity Protocol ). Le protocole TKIP permet la génération aléatoire de clés et offre la possibilité de modifier la clé de chiffrement plusieurs fois par secondes, pour plus de sécurité.....très nettement supérieur mais réservé aux entreprises.
Le fonctionnement de WPA repose sur la mise en oeuvre d'un serveur d'authentification , permettant d'identifier les utilisateurs sur le réseau et de définir leurs droits d'accès. Néanmoins, il est possible pour les petits réseaux de mettre en oeuvre une version restreinte du WPA, appelée WPA-PSK, en déployant une même clé de chiffrement dans l'ensemble des équipements, ce qui évite la mise en place du serveur.
Le WPA ( dans sa première mouture ) ne supporte que les réseaux en mode infrastructure, ce qui signifie qu'il ne permet pas de sécuriser des réseaux sans fil d'égal à égal ( mode ad hoc ).
Bien que cette solution de cryptage soit bien plus forte, elle n'est pas exempte de faille et il existe – comme pour le WEP - une possibilité de « casser » cette solution. Néanmoins dans le cadre d'un usage privé cette solution se montre acceptable car la méthode à mettre en œuvre et les compétences qu'elle demande sont loin d'être trivial.
le WPA2 / 802.11i
Le 802.11i a été ratifié le 24 juin 2004 afin de fournir une solution de sécurisation poussée des réseaux WiFi. Il s'appuie sur l' algorithme de chiffrement TKIP, comme le WPA, mais supporte également l' AES ( Advanced Encryption Standard ), beaucoup plus sûr.
La Wi-Fi Alliance a ainsi créé une nouvelle certification, baptisée WPA2, pour les matériels supportant le standard 802.11i.
Contrairement au WPA, le WPA2 permet de sécuriser aussi bien les réseaux sans fil en mode infrastructure que les réseaux en mode ad hoc.
Les architectures WPA2.... encore mieux.... mais matériels pas toujours compatibles.
La norme IEEE 802.11i définit deux modes de fonctionnement :
* WPA Personal : le mode « WPA personnel » permet de mettre en oeuvre une infrastructure sécurisée basée sur le WPA sans mettre en oeuvre de serveur d'authentification. Le WPA personnel repose sur l'utilisation d'une clé partagée, appelées PSK pour Pre-shared Key, renseignée dans le point d'accès ainsi que dans les postes clients. Contrairement au WEP, il n'est pas nécessaire de saisir une clé de longueur prédéfinie. En effet, le WPA permet de saisir une « passphrase » ( phrase secrète ), traduite en PSK par un algorithme de hachage.
* WPA Enterprise : le mode entreprise impose l'utilisation d'une infrastructure d'authentification 802.1x basée sur l'utilisation d'un serveur d'authentification, généralement un serveur RADIUS (Remote Authentication Dial-in User Service), et d'un contrôleur réseau (le point d'accès). Cette solution est actuellement ce qu'il y a de plus sûr en terme de sécurité d' authentification forte. Mais attention toutefois, rien n'est acquis et il y a fort a parier que cette solution ne restera pas à l'abris des hackers très longtemps.
Le filtrage des adresses MAC.... un truc en plus...
Chaque adaptateur réseau possède une adresse physique qui lui est propre ( appelée adresse MAC ). Cette adresse est représentée par 12 chiffres hexadécimaux groupés par paires et séparés par des tirets. Les points d'accès permettent généralement dans leur interface de configuration de gérer une liste de droits d'accès ( appelée ACL ) basée sur les adresses MAC des équipements autorisés à se connecter au réseau sans fil.
Cette précaution un peu contraignante permet de limiter l'accès au réseau à un certain nombre de machines. En contrepartie cela ne résoud pas le problème de la confidentialité des échanges.
Oui, c'est long, je sais.... et encore, tout n'y est pas.
Bon courage
La richesse d'un pays ne se mesure pas à son PIB. mais à celle du plus pauvre de ses habitants. Améliorez son sort et toute la société en sera meilleure.
Wifi