Sécurité des réseaux Wi-Fi : l’ANSSI délivre son b.a.-ba
L’ANSSI émet une série d’observations et recommandations quant aux enjeux sécuritaires que soulève le déploiement des réseaux Wi-Fi en entreprise.
Portée par l’essor de la mobilité et des objets connectés, l’adoption croissante des réseaux Wi-Fi en entreprise est synonyme de flexibilité dans l’exercice professionnel du salarié, mais elle n’est pas sans soulever d’enjeux sécuritaires.
Vulnérabilité des méthodes de chiffrement et des processus d’authentification, failles logicielles, sécurité physique des équipements : ces portes grand ouvertes donnent potentiellement accès au système d’information dans son ensemble.
Y remédier implique de mettre en place des mesures techniques et organisationnelles et d’en valider les contraintes au plus haut niveau, en ayant au préalable identifié les objectifs et les risques.
Au 1er janvier 2013, près de la moitié des réseaux Wi-Fi n’utilisent aucun moyen de chiffrement ou un système obsolète. C’est l’un des constats de l’ANSSI, qui s’attache à d’autres considérations dans un guide de bonnes pratiques.
L’Agence nationale de la sécurité des systèmes d’information recommande en premier lieu de préférer l’infrastructure câblée dans l’éventualité où le sans-fil ne répond pas à un besoin concret.
Si tel est le cas, la protection doit se porter en priorité sur les terminaux d’accès.
Certaines recommandations ont une portée universelle, applicable aussi bien aux réseaux domestiques qu’en environnement professionnel.
En premier lieu, n’activer le Wi-Fi que lorsque c’est nécessaire. Mais aussi éviter l’association automatique à des points d’accès, proscrire les réseaux inconnus et bloquer par défaut les connexions entrantes.
En entreprise, la mise en oeuvre d’un protocole de sécurité spécifique (TLS, IPSec) est fortement recommandée. Une politique qui englobera préférentiellement les terminaux mobiles.
Prendre le problème à la racine – en l’occurrence, le point d’accès – est tout aussi indispensable, notamment en sécurisant son administration (HTTPS, mots de passe robuste) et en maintenant à jour son micrologiciel.
Les administrateurs veilleront par ailleurs à désactiver l’association automatique en WPS (Wi-Fi Protected Setup) et à modifier l’identifiant SSID sans se montrer trop explicites quant à la nature de l’activité professionnelle.
Le plus haut niveau de chiffrement (WPA2 avec l’algorithme AES-CCMP) s’impose comme une évidence, au même titre qu’une modification régulière du mot de passe, plus encore lorsqu’il est compromis.
Pour étendre la protection en confidentialité des flux entre des terminaux connectés à un même réseau Wi-Fi, la fonction Private VLAN sera basculée au préalable en mode isolated.
D’autres considérations touchent l’infrastructure réseau. Dissocier le réseau Wi-Fi (ainsi que l’éventuel canal réservés aux visiteurs de passage) du réseau filaire est une contrainte autant qu’un bénéfice à terme.
Même constat pour la localisation des équipements, sujets à la fuite d’ondes électromagnétiques et par là même de données.
En environnement Active Directory, la protection des identités impliquera de verrouiller les configurations Wi-Fi sur les postes clients et le déploiement des informations de connexion sans les communiquer aux utilisateurs finaux.
Crédit photo : Singkham – Shutterstock.com