Académique Documents
Professionnel Documents
Culture Documents
PREMIER MINISTRE
Secrtariat gnral de la dfense et de la scurit nationale Agence nationale de la scurit des systmes dinformation
Informations
Avertissement Ce document rdig par lANSSI prsente les Recommandations de scurit relatives aux rseaux WiFi . Il est tlchargeable sur le site www.ssi.gouv.fr. Il constitue une production originale de lANSSI. Il est ce titre plac sous le rgime de la Licence ouverte publie par la mission Etalab (www.etalab.gouv.fr). Il est par consquent diusable sans restriction. Ces recommandations sont livres en ltat et adaptes aux menaces au jour de leur publication. Au regard de la diversit des systmes dinformation, lANSSI ne peut garantir que ces informations puissent tre reprises sans adaptation sur les systmes dinformation cibles. Dans tous les cas, la pertinence de limplmentation des lments proposs par lANSSI doit tre soumise, au pralable, la validation de ladministrateur du systme et/ou des personnes en charge de la scurit des systmes dinformation.
Personnes ayant contribu la rdaction de ce document: Contributeurs BSS, LSF, BAI, FRI Rdig par LSF, BSS Approuv par SDE Date 30 mars 2013
volutions du document : Version 1.0 Date 30 mars 2013 Nature des modications Version initiale
Pour toute remarque: Contact Bureau Communication de lANSSI Adresse 51 bd de La Tour-Maubourg 75700 Paris Cedex 07 SP @ml Tlphone
communication@ssi.gouv.fr
01 71 75 84 04
Page 1 sur 12
Annexe A La technologie A.1 La Norme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.2 La rglementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B Les vulnrabilits potentielles B.1 Laccessibilit du matriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B.2 La porte du signal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B.3 Les vulnrabilits logicielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C Les protections cryptographiques C.1 C.2 C.3 C.4 C.5 Protection des communications radio . Le WEP : une cryptographie inecace WPA(TKIP) ou WPA2(AES-CCMP) ? Lauthentication . . . . . . . . . . . . WPS (WiFi Protected Setup ) . . . . .
Page 2 sur 12
1 Prambule
Le dveloppement des objets communiquants et leur usage quotidien sont aujourdhui lorigine de lomniprsence des rseaux sans-l WiFi, tant chez les particuliers que dans le monde professionnel. Ces rseaux permettent de connecter tout type de matriel (ordinateurs portables, tlphones mobiles, consoles de jeux, tlvisions, quipements lectromnagers, automates industriels, etc.) des rseaux privs ainsi quau rseau public Internet. Le WiFi est largement utilis au sein des rseaux domestiques (par les modems routeurs Internet et autres "Box"), mais galement dans le monde professionnel pour la commodit daccs au rseau interne de lentreprise, ainsi que pour spargner le cot dune infrastructure laire. Ces rseaux WiFi sont toutefois souvent vulnrables, et utilisables par des personnes malveillantes an dintercepter des donnes sensibles (informations personnelles, codes de cartes de paiement, donnes entreprise etc.). Dbut 2013, prs de la moiti des rseaux WiFi nutilisent aucun moyen de chirement ou utilisent un moyen de chirement obsolte. Force est de constater que la problmatique de scurisation des rseaux sans-l nest pas toujours bien apprhende et que les risques encourus restent souvent mconnus. Pourtant, quel que soit lusage envisag, et si lquipement utilis nest pas trop ancien, il est souvent possible de procder assez simplement un paramtrage robuste et scuris dune borne WiFi. Plusieurs aspects de conguration sont prendre en compte. Lobjet de ce document est donc de guider le lecteur dans le choix des meilleurs paramtres pour la bonne scurisation dun rseau WiFi. Le particulier non averti y trouvera des recommandations simples appliquer pour la mise en place dun rseau WiFi personnel, tandis que ladministrateur rseau en entreprise y trouvera des informations et recommandations complmentaires applicables un systme dinformation.
Page 3 sur 12
1. http ://www.ssi.gouv.fr/archive/fr/reglementation/igi1300.pdf
Page 4 sur 12
Politique de scurit.
La dnition dune politique de scurit pour un rseau WiFi est une opration complexe mais primordiale pour un organisme mettant en oeuvre cette technologie. Cette politique doit tre ajuste le plus prcisment possible, lissue dune analyse de risques, an de bien identier les objectifs de scurit satisfaire et de lister les mesures de scurit qui en dcoulent. Quelles soient techniques et/ou organisationnelles, elles ne doivent pas imposer des contraintes irralistes pour les utilisateurs qui motiveraient ces derniers les contourner. Dans tous les cas, la mise en place du WiFi pouvant tre une vulnrabilit majeure dans la ralisation du systme dinformation de lorganisme, cette politique doit tre valide au plus haut niveau de lorganisme par une autorit en mesure dassumer les risques rsiduels.
R3
R4
R5
R7
Page 5 sur 12
R8
En situation de mobilit, lors de toute connexion des points daccs WiFi qui ne sont pas de conance (par exemple lhtel, la gare ou laroport), pralablement tout change de donnes, utiliser systmatiquement des moyens de scurit complmentaires (VPN IPsec par exemple). Plus largement, lorsque des donnes sensibles doivent tre vhicules via un rseau WiFi, lutilisation dun protocole de scurit spcique, tel que TLS ou IPsec, doit tre mis en oeuvre.
R9
Note : LANSSI a publi des recommandations de scurit relatives IPSec 2 quil convient de suivre pour une mise en oeuvre scurise de ce protocole.
Note : Lutilisation dun mot de passe faible peut rduire nant la scurit du rseau WiFi. La notion de complexit dun mot de passe est aborde dans les recommandations de scurit relatives aux mots de passe 3 . R11 Lorsque laccs au rseau WiFi nest protg que par un mot de passe (WPA-PSK), il est primordial de changer rgulirement ce dernier mais galement de contrler sa diusion. En particulier, il convient de : ne pas communiquer le mot de passe des tiers non autoriss (prestataires de services par exemple) ; ne pas crire le mot de passe sur un support qui pourrait tre vu par un tiers non autoris ; changer le mot de passe rgulirement et lorsquil a t compromis.
R12
Pour les rseaux WiFi en environnement professionnel, mettre en oeuvre WPA2 avec une infrastructure dauthentication centralise en sappuyant sur WPA-Entreprise (standard 802.1X et protocole EAP), ainsi que des mthodes dauthentication robustes.
Note : Un abonn un rseau WiFi protg par WPA-PSK peut trs simplement intercepter les donnes changes par un autre abonn de ce mme rseau. Lutilisation de WPA-PSK ne permet donc pas de garantir la condentialit des ux entre terminaux connects un mme rseau WiFi. En environnement professionnel, EAP reste alors privilgier. Direntes mthodes dauthentication bases sur le protocole EAP peuvent tre utilises, mais certaines sont viter car elles peuvent prsenter des vulnrabilits. Parmi les mthodes dauthentication EAP les plus robustes associes au label WPA-Entreprise, EAP-TLS est privilgier. Elle exige toutefois une Infrastructure de Gestion de Cls (IGC), avec cl prive et certicat dployer auprs de chaque utilisateur. LorsquEAP est utilis, il convient par ailleurs que les clients vrient lauthenticit du serveur dauthentication.
2. http ://www.ssi.gouv.fr/IMG/pdf/NP_IPsec_NoteTech.pdf 3. http ://www.ssi.gouv.fr/IMG/pdf/NP_MDP_NoteTech.pdf
Page 6 sur 12
R13
Congurer le Private VLAN invit en mode isolated lorsque que le point daccs WiFi prend en charge cette fonctionnalit.
Note : La fonction de Private VLAN contribue la protection en condentialit des ux entre terminaux connects un mme rseau WiFi. R14 Ne pas conserver un nom de rseau (SSID) gnrique et propos par dfaut. Le SSID retenu ne doit pas tre trop explicite par rapport une activit professionnelle ou une information personnelle.
Note : Conserver un SSID par dfaut peut fortement rduire la scurit dun rseau WiFi en mode WPA-PSK. R15 Dsactiver systmatiquement la fonction WPS (WiFi Protected Setup) des points daccs.
Note : WPS simplie lauthentication dun terminal sur un rseau WPA2 (par code PIN par exemple) mais r-introduit une vulnrabilit importante qui en rduit fortement lintrt du point de vue de la scurit. Cette fonctionnalit est dtaille en annexe. R16 Scuriser ladministration du point daccs WiFi, en : utilisant des protocoles dadministration scuriss (HTTPS par exemple) ; connectant linterface dadministration un rseau laire dadministration scuris, a minima en y empchant laccs aux utilisateurs WiFi ; utilisant des mots de passe dadministration robustes.
R17
Congurer le point daccs pour que les vnements de scurit puissent tre superviss. En environnement professionnel, il est prfrable de rediriger lensemble des vnements gnrs par les points daccs vers une infrastructure centrale de supervision. Maintenir le microgiciel des points daccs jour.
R18
R20
R21
R23
4. http ://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002/
Page 8 sur 12
Annexe A La technologie
A.1 La Norme
Le WiFi est une technologie de transmission dinformation sans-l, standardise par lIEEE sous la norme 802.11. Il permet de transporter des donnes numriques, cest dire des datagrammes IP, de la mme manire quun rseau laire Ethernet mais sans les mmes garanties de condentialit, dintgrit, et de disponibilit. Ses variantes sont : 802.11A : transmission sur la bande de frquences 5 GHz, utilisation de lOFDM (Orthogonal Frequency Division Multiplexing ) avec modulation simple des sous-porteuses ; 802.11B : transmission sur la bande de frquences 2.4 GHz, utilisation dune modulation simple aprs talement spectral ; 802.11G : transmission sur la bande de frquences 2.4 GHz, utilisation de lOFDM avec une modulation optimise des sous-porteuses. 802.11N : optimisation des mcanismes de transmission radio, notamment avec le MIMO (Multiple Input Multiple Output ) ; 802.11AC : rcente optimisation du 802.11N ; 802.11I : prols de scurit pour lauthentication, le chirement et le contrle dintgrit des liaisons WiFi. La Wi-Fi Alliance dlivre les labels aux produits supportant les lments importants de la norme IEEE.
A.2 La rglementation
Ce document na pas vocation couvrir les aspects rglementaires. Nanmoins, certaines rglementations qui sappliquent aux rseaux WiFi sont prendre en compte, en particulier : le "code des postes et des communications lectroniques" qui rglemente lutilisation des direntes bandes de frquences radio et, sur les bandes autorises, les niveaux maximum de puissance dmission ; la loi "informatique et libert" qui sapplique aux traitements de donnes caractre personnel.
Page 9 sur 12
Dautre part, lorsquune interface WiFi est congure pour se connecter automatiquement des rseaux connus, celle-ci va scanner rgulirement les frquences WiFi la recherche des SSID de ces rseaux WiFi. Il est par consquent possible, en tant dans la mme zone de couverture, de connatre les rseaux WiFi auxquels un terminal accde rgulirement.
Page 10 sur 12
C.4 Lauthentication
Deux modes dauthentication principaux sont dcrit dans la norme 802.11I : lauthentication par cl partage WPA-PSK, et lauthentication dlgue WPA-Entreprise qui sappuie sur les protocoles 802.1X et EAP (Extensible Authentication Protocol ). Le mode dauthentication par cl partage WPA-PSK convient particulirement pour scuriser un point daccs WiFi unique, sans contrainte de condentialit des ux entre terminaux du rseau WiFi. Lorsquon congure un mot de passe pour WPA-PSK, il convient de choisir un mot de passe robuste en accord avec les recommandations prcdemment indiques. Dans ce mode, lorsque le SSID du point daccs est un SSID gnrique qui ne semble pas unique (par exemple, le nom du constructeur du point daccs, ou du fournisseur daccs Internet), il convient de le changer pour un SSID personnalis et unique. En eet, lors de la conguration WPA-PSK, le mot de passe est condens et driv avec le SSID an de produire une cl de 256 bits, qui sera ensuite stocke comme cl matresse pour lauthentication, le chirement et le contrle dintgrit WiFi. Lorsquest conserv un SSID standard avec une authentication WPA-PSK, un attaquant peut disposer de tables pr-calcules lui permettant de No DAT-NT-005/ANSSI/SDE/NP du 30 mars 2013 Page 11 sur 12
fortement acclrer la recherche du mot de passe. Dans tous les cas, veiller ne pas choisir un SSID qui est en relation avec une activit sensible (nom dentreprise ou de site industriel, type dactivit...). Le mode dauthentication WPA-Entreprise est quant lui utiliser pour scuriser un rseau de points daccs WiFi, et privilgier en environnement professionnel. Il met en jeu EAP qui dcorrle le protocole rseau WiFi et la mthode dauthentication. Direntes mthodes dauthentication bases sur le protocole EAP peuvent ainsi tre utilises, mais certaines sont viter car elles peuvent prsenter des vulnrabilits. Parmi les mthodes dauthentication EAP les plus robustes associes au label WPAEntreprise, EAP-TLS est privilgier. Cette mthode sappuie sur une dlgation de lauthentication auprs dun serveur central RADIUS. Elle exige toutefois une Infrastructure de Gestion de Cls (IGC), avec cl prive et certicat dployer auprs de chaque utilisateur. En environnement professionnel, EAP-TLS permet entre autres : dimputer chaque connexion un utilisateur dment authenti et autoris ; de supprimer les droits daccs au rseau WiFi pour un utilisateur prcis, en rvoquant simplement son certicat et donc, sans quil soit ncessaire de changer une cl partage. Nota Bene : En environnement Active Directory, les certicats utilisateurs peuvent tre automatiquement gnrs et distribus aux utilisateurs, de mme que la conguration daccs sur les postes clients. Le dploiement grande chelle dun WiFi scuris par authentication WPA-Entreprise sen trouve alors grandement simpli.
Page 12 sur 12