INTRODUCTION

nous avons assisté ces dernières années à la montée en puissance des

réseaux locaux sans fi l ou encore Wi-Fi, qui sont en passe de devenir l'une des
principales solutions de connexion pour de nombreuses entreprises. Le marché
du sans fil se développe rapidement dès lors que les entreprises constatent les
gains de productivité qui découlent de la disparition des câbles
Ainsi avec cette évolution rapide de ce type dématérialisé de réseaux, les
exigences en tennes de sécurité deviennent de plus en plus sévères. En effet,
pour garantir la pérennité et l 'essor de cette technologie, il est primordial de
recourir à des méthodes avancées d'authentification, de gestion et de distribution
de clés entre les diffé rentes entités cormnunicantes, ceci tout en respectant les
contraintes imposées par les réseaux sans fil, telles que la capacité de l'interface
radio qui représente le goulot d 'étranglement du trafic pour ce type de réseaux.

I)Reseaux sans fil

Un réseau sans fil (en anglais wireless network) est, comme son nom l'indique,
un réseau dans lequel au moins deux terminaux (ordinateur portable, PDA, etc.)
peuvent communiquer sans liaison filaire.
Grâce aux réseaux sans fil permet a un utilisateur de rester connecté tout en se
déplaçant dans un périmètre géographique plus ou moins étendu: On parler de
"mobilité" des réseaux sans fil.

Les réseaux sans fil sont basés sur une liaison utilisant des ondes radio-
électriques. Il existe plusieurs technologies de réseaux sans fil. Ces technologies
se distinguent d'une part par la fréquence d'émission utilisée ainsi que le débit et
la portée des transmissions.
Les réseaux sans fil permettent de relier très facilement des équipements distants
d'une dizaine de mètres à quelques kilomètres. Par rapport aux réseaux filaires
dont l’installation nécessite par exemple des creusement de tranchées pour
acheminer les câbles, équipements des bâtiments en câblage ..., les réseaux sans
fils ne demande pas de lourds aménagements des infrastructures existantes , ce
qui a valu un développement rapide de ce type de technologies.

En contrepartie se pose le problème de la réglementation relative aux

transmissions radio-électriques. En effet, les transmissions radio-électriques
servent pour un grand nombre d'applications (militaires, scientifiques,
amateurs, ...), mais sont sensibles aux interférences, c'est la raison pour laquelle
une réglementation est nécessaire dans chaque pays afin de définir les plages de
fréquence et les puissances auxquelles il est possible d'émettre pour chaque
catégorie d'utilisation.

De plus les ondes hertziennes sont difficiles à confiner dans une surface
géographique restreinte, il est donc facile pour un pirate d'écouter le réseau si les
informations circulent en clair (c'est le cas par défaut). Il est donc nécessaire de
mettre en place les dispositions nécessaires de telle manière à assurer une
confidentialité des données circulant sur les réseaux sans fil.
Les réseaux locaux sans fil, ou WLAN, s'utilisent comme les réseaux locaux
filaires et couvrent quelques centaines de mètres. Les technologies sans fil
évoluant très rapidement, on trouve toute une série de normes physiques,
repérées par le terme générique 802.11. Leurs spécifications ont été adoptées par
l'I.E.E.E. à partir de 1997 ; la lettre qui suit 802.11 désigne la version employée.
Chaque version se distingue des autres par la bande de fréquences utilisée, les
débits binaires et la portée dans un environnement dégagé. Le Wi-Fi (802.11b)
est l'une des premières solutions du standard 802.11. Il utilise la bande de
fréquence 2,4 GHz

Un réseau sans fil permet à moins deux terminaux de communiquer entre eux
sans aucune liaison filaire, mais uniquement grâce aux signaux radioélectriques.
Existant depuis la création de la radio, les transferts d’informations par onde se
sont fortement développés, si bien qu’aujourd’hui, un accès à internet et un
partage de fichier est possible sans aucun fil. L’utilisateur a la possibilité de
rester connecté tout en se déplaçant dans un périmètre géographique plus ou
moins étendu.
Exemple de quelques reseaux
• Le Wi-Fi : ...
• HiperLAN 2 : ...
• Le WiMAX : ...
• GSM/3G : ...
• Infrarouge : ...
• Bluetooth…
On distingue habituellement plusieurs catégories de réseaux sans fil, selon le
périmètre géographique offrant une connectivité (appelé zone de couverture,
voir image)
Le Wi-Fi :
Le Wi-Fi correspond à une norme visant un certain type de réseau local sans fil.
On parle de WLAN (pour Wireless Local Area Network).
Pour le nom Wi-Fi (contraction de Wireless Fidelity, parfois notée à tort WiFi),
il correspond initialement au nom donné à la certification délivrée par la Wi-Fi
alliance (association à but non lucratif).
Anciennement WECA (Wireless Ethernet Compatibility Alliance), l'organisme
chargé de maintenir l'interopérabilité* entre les matériels répondant à la norme
802.11. (Il existe de nombreuses normes, le Wi-Fi est la plus répandue.)
Le nom de la norme se confond aujourd'hui avec le nom de la certification.
Ainsi un réseau Wifi est en réalité un réseau répondant à la norme internet
802.11.
*interopérabilité : capacité d’un produit à fonctionner en interaction avec un
autre produit.
Le Wi-Fi permet une liaison à internet haut débit allant de environ 11Mbit/s à 54
Mbit/s (théoriques), pouvant porter jusqu’à une dizaine de mètres.

Les catégories de réseaux sans fil

On distingue habituellement plusieurs catégories de réseaux sans fil, selon le
périmètre géographique offrant une
connectivité (appelé zone
de couverture) :
Etudes de quelques types de Réseaux sans fils
Les réseaux personnels sans fil
Comme les réseaux locaux filaires, mais avec des débits inférieurs, les réseaux
personnels sans fil, ou WPAN (wireless personal area network), servent à relier
des machines distantes de quelques dizaines de mètres. Ils relient par exemple
des périphériques à un ordinateur ou deux ordinateurs très peu distants. Plusieurs
technologies de WPAN coexistent à ce jour. Bluetooth (IEEE 802.15.1) en est
un exemple : lancé par Ericsson en 1994, ce standard offre un débit maximal de
1 Mbit/s sur une trentaine de mètres. Très peu gourmand en énergie, il est
particulièrement adapté à un usage domestique (connexions pour imprimantes,
téléphones portables, appareils domestiques, assistant personnel ou PDA
– personal digital assistant –, etc.).
Les réseaux locaux sans fil (famille IEEE 802.11)
Les réseaux locaux sans fil, ou WLAN, s'utilisent comme les réseaux locaux
filaires et couvrent quelques centaines de mètres. Les technologies sans fil
évoluant très rapidement, on trouve toute une série de normes physiques,
repérées par le terme générique 802.11. Leurs spécifications ont été adoptées par
l'I.E.E.E. à partir de 1997 ; la lettre qui suit 802.11 désigne la version

employée. Chaque version se distingue des autres par la bande de fréquences

utilisée, les débits binaires et la portée dans un environnement dégagé. Le Wi-Fi
(802.11b) est l'une des premières solutions du standard 802.11. Il utilise la bande
de fréquence 2,4 GHz sur une portée [...]
II) Le wifi
Qu’est-ce que le wifi
Le Wi-Fi (Wireless Fidelity) est une technologie qui permet la connexion de
plusieurs appareils entre eux et à internet sans devoir utiliser des câbles ou des fils.
Un réseau Wi-Fi utilise des ondes radio pour transmettre des informations à travers
un réseau. Le Wi-Fi repose sur la norme IEEE 802.11 qui regroupe un ensemble de
standards utilisés de manière internationale pour la communication sans fil.

Comment marche le wifi théoriquement

De la même façon que le fait votre GSM, un réseau Wi-Fi utilise des ondes radio
pour transmettre des données à travers un réseau. L'ordinateur doit posséder un
adaptateur réseau sans fil qui traduira, les données envoyées, en un signal radio. Ce
même signal est transmis, par l'intermédiaire d'une antenne, à un décodeur : le
routeur. Une fois décodées, les données seront envoyées à Internet via une connexion
Ethernet filaire. Le réseau sans fil repose sur un trafic bidirectionnel. Les données
venant d’internet sont aussi envoyées vers le routeur pour être traduites dans un
signal radio. Ce dernier est ensuite réceptionné par l’adaptateur sans fil de
l’ordinateur

En pratique
La norme IEEE 802.11 définit les deux premières couches (basses) du modèle OSI, à
savoir la couche physique et la couche liaison de données. Cette dernière est elle-
même subdivisée en deux sous-couches, la sous-couche LLC (Logical Link Control)
et la couche MAC (Medium Access Control). La figure suivante illustre l'architecture
du modèle proposé par le groupe de travail 802.11 comparée à celle du modèle OSI.

Figure I Modelé en couche de l’IEEE 802.11

L'une des particularités de cette norme est qu'elle offre plusieurs variantes au niveau
physique, tandis que la partie liaison est unifiée.
La couche physique est composée de deux sous couches :
 Figure II Les sous couche de la couche physique

a PMD gérant l’encodage des données et de la modulation

b PLCP gérant l’écoute du support et signal à la MAC que le
support est libre par un CCA (Clear Channel Assessment)
Ainsi on peut utiliser plusieurs technique de codage et modulation tel que le :
- FHSS (Frequency Hopping Spread Spectrum) est une méthode de transmission
de signaux par ondes radio qui utilise alternativement plusieurs canaux (sous-
porteuses) répartis dans une bande de fréquence selon une séquence pseudo-
aléatoire connue de l'émetteur et du récepteur

Figure III Illustration du FHSS

- DSSS (Direct Sequence Spred Spectrum) est une technique d'étalement de

spectre. Le but du DSSS est, d'une part, de rendre les signaux occupant une
bande de fréquence, comme un signal de parole, plus résistants aux brouillages
et aux interférences rencontrés lors de la transmission ; d'autre part de
permettre à plusieurs équipements de partager la même fréquence porteuse
 Figure IV Illustration du DSSS
- OFMD (Orthogonal Frequency Division Multiplexing) est un procédé de
codage de signaux numériques par répartition en fréquences orthogonales sous
forme de multiples sous-porteuses. Cette technique permet de lutter contre les
canaux sélectifs en fréquence en permettant une égalisation de faible
complexité.

Figure V Illustration de l’OFMD

Dit précédemment la couche liaison de données comprend deux couches :

- La couche LLC est la moitié haute de la couche de liaison de données du
modèle OSI. Elle permet de fiabiliser le protocole MAC par un contrôle
d'erreur et un contrôle de flux (LLC 802.2 commun à tous les protocoles MAC
802.x).
Elle permet trois types de service de transmission :
b.aLLC type 1 : aucun contrôle supplémentaire ; simple
aiguillage des données vers les protocoles de couche 3.
Mode non connecté, datagramme sans acquittement.
b.bLLC type 2 : type 1 + contrôle de séquence + contrôle de
flux ; Mode connecté avec acquittement. Utilisé par
token ring.
b.cLLC type 3 : type 1 + acquittement de trame. Mode
rajouté à la norme initiale pour les besoins des réseaux
industriels. Mode non connecté avec acquittement.
 Les trames qu’elles transmettent à la couche 3 sont détaillées dans la figure ci-
dessous

Figure VI Trame LLC

- La couche MAC qui est similaire a la couche MAC d’Ethernet (IEEE 802.3).
Elle a comme fonctionnalité :
b.dContrôle d’accès au support
b.eAdressage et formatage des trames
b.f Contrôle d’erreur par CRC
b.gFragmentation et réassemblage
b.hQualité de service
b.i Gestion de l’énergie
b.j Gestion de la mobilité
b.kSécurité
Elle possède deux méthodes d’accès
b.l DCF (Distributed Coordinated Function) : emploie la
technique du CSMA/CA ainsi qu'un algorithme de
Binary Exponential Backoff (BEB) pour partager le
medium radio entre les stations.
b.m PCF (Point Coordinated Function) : une technique de
contrôle d'accès à un média utilisable dans les réseaux
sans fil reliés à une station centrale, souvent un point
d'accès, pour coordonner la communication avec les
stations à l'écoute, et vérifier que le média est libre (par
exemple, qu'il n'y a pas de station en communication sur
le même média).
 Figure VII Résume de l’échange des trames en WIFI

III) Sécurité wifi

Pourquoi sécuriser son réseau wifi ?

À l’ère de l’utilisation massive des ordinateurs portables en entreprise et de la
possibilité d’accès à Internet depuis des bornes wifi, se pose le problème épineux des
menaces émanant du réseau sans-fil. Usurpation d’identité, injection de codes, ou
même la simple consultation de vos données partagées par quelqu’un de mal
intentionné… Les dangers liés à cette utilisation sont nombreux, mais peuvent être
résolus d’une manière efficace en adoptant certaines mesures, humaines et
matérielles.

Les points faibles des réseaux wifi

Le cadre des données pour la communication avec des réseaux sans fil a été défini par
la norme IEEE 802.11 de l‘Institute of Electrical and Electronics Engineers (IEEE).
Au début toutefois, la sécurité n’était pas forcément une préoccupation majeure pour
le wifi. Les transmissions non cryptées et l’absence d’identification des utilisateurs
garantissaient à n’importe qui dans le rayon de portée correspondant l’accès à tout le
réseau. Le besoin de sécuriser les réseaux wifi se fit alors sentir et permit de
développer des mesures de sécurité pour le wifi, à savoir les techniques de cryptage et
d’identification suivantes :

» Le cryptage WEP (Wired Equivalent Privacy)

Le WEP est un protocole qui intègre un mécanisme simple de cryptage des données,
via un fonctionnement par clé secrète de 64 à 128 bits.  Concrètement, le WEP utilise
un mot de passe qui devra être rentré sur le point d’accès wifi ainsi que sur les cartes
réseaux que vous voudrez connecter à ce réseau wifi. Une clé WEP de 64bits est
composée de 10 caractères hexadécimaux (0-9 et A-F), et une clé WEP de 128 bits
est composée elle de 26 caractères. Plus le nombre de caractères est élevé, plus vos
données seront sécurisées. Choisissez donc de préférence une clé 128 bits à une clé
64 bits.
Une clé WEP 128 bits vous protégera de la plupart des tentatives d’intrusion.
Néanmoins il n’offre qu’une première ligne de protection ; pour cette raison on peut
lui préférer le protocole WPA.

» Le cryptage WPA (de l’anglais Wi-Fi Protected Access)

Le WPA lui, utilise un système de cryptage plus robuste que le WEP et offre plus de
sécurité que celui-ci.
Le WPA ne crypte pas seulement les données, mais authentifie les utilisateurs, en
définissant préalablement des droits d’accès, par le biais d’un serveur
d’authentification.
L’activation de la sécurité WPA se fait via un mot de passe comprenant un minimum
de 8 et un maximum de 64 caractères. Il n'y a pas de restriction quant aux lettres et
chiffres utilisés. Contrairement au WEP, espaces et symboles peuvent également être
utilisés.  Ces « nuances » de paramétrage permettent un niveau de sécurité supérieur à
celui du cryptage WEP.
À noter que le WPA ne peut être utilisé que si le matériel wifi et le système
d’exploitation le supporte. Pour vérifier la compatibilité de votre matériel avec le
protocole WPA, vérifiez si votre carte wifi est à la norme 802.11g.

» Le cryptage WPA 2
Le WPA2 est une évolution du protocole WPA. La principale différence entre ces
deux protocoles réside dans un niveau de sécurité supérieur pour le WPA2,
notamment par un cryptage complémentaire (le cryptage AES). Cependant le WPA
constitue déjà une sécurité efficace, surtout au regard du protocole WEP.

À noter que des mises à jour matérielles sur certains produits peuvent être nécessaires
pour pouvoir passer du WPA au WPA2

 Wi-Fi Protected Setup (WPS) : le WPS ne correspond pas à une technologie

de transmission ou de cryptage, mais à une configuration automatique conçue
pour faciliter la configuration wifi aux nouveaux utilisateurs du réseau.
L’authentification se fait grâce à un bouton (WPS-PBC), physique sur le point
d‘accès, ou virtuel via un logiciel ou un PIN (WPS PIN). Il est également
possible de changer les paramètres du réseau grâce à une clé USB ou un NFS
(technologie de circuit court).

Bien que WPA2 constitue un développement plus sûr que WEP et WPA, certains
opérateurs continuent d’utiliser ces normes désuètes car elles sont compatibles avec
leurs points d’accès sans fil, qui permet de crypter le wifi. Que ce soit involontaire ou
pour des raisons de compatibilité (pour autoriser l’accès aux appareils anciens)
importe finalement peu. Il est clair que ces réseaux sont exposés à un risque
important d’accès non désiré, ce qui est l’une des principales raisons de la mauvaise
réputation de la sécurité du wifi. Il existe d’autres erreurs, qui sont des invitations aux
pirates, et sont pourtant régulièrement commises par les opérateurs de réseau sans fil :

 Noms d’utilisateurs et mots de passe par défaut pour l’accès aux réseaux wifi

 Configuration de base non sécurisée du point d’accès wifi

 Erreurs dans l’implémentation des WPA2 et des WPS

De plus, les réseaux sans fil sont vulnérables aux attaques DoS et DDoS, ainsi qu’aux
attaques dites evil twin. Ces dernières consistent à imiter le point d’accès wifi ouvert
d’une entreprise ou d’une institution (une gare, un aéroport, etc.), en créant un réseau
pirate qui porte le même nom. Le réseau evil twin répond de lui-même aux requêtes
d’authentification et reçoit les données d’accès pour le wifi de la part des appareils du
réseau qui ne se doutent de rien. Il reçoit aussi l’adresse MAC du client (MAC
spoofing) et obtient ainsi toutes les données indispensables pour se connecter. Les
accès wifi ouverts sont particulièrement vulnérables à ce type d’attaque.
Avant d'utiliser votre réseau wifi, mieux vaut crypter celui-ci avec une clé numérique
afin d’autoriser son accès aux utilisateurs disposant de celle-ci.

Sécuriser un réseau wifi : une question de conséquences

La liste des attaques qu’encourent potentiellement les réseaux sans fil montre à quel
point il est important de se préoccuper de la sécurité wifi. En effet, nombreux sont
ceux qui sont encore convaincus qu’un mot de passe sécurisé et un pare-feu sont
suffisants pour assurer une protection maximale. Pour assurer la protection complète
d’un réseau sans fil, il est nécessaire de faire plus que d’allumer un routeur, une
installation de cinq minutes et trouver un mot de passe difficile à deviner mais pas
trop compliqué à entrer. Plus l’on est prudent en ce qui concerne la configuration et
l’installation, plus le réseau sera sécurisé.
La base de la sécurité wifi : une bonne configuration des points d’accès réseau

Le point d’accès réseau, en général un routeur, en tant que point de contrôle central
du réseau, est aussi un élément décisif en ce qui concerne sa sécurité. En effet, ce sont
les réglages des composants hardware qui déterminent si un attaquant peut pénétrer
votre réseau wifi en quelques secondes, ou bien s’il sera bloqué grâce à une
protection suffisante. Voici les étapes de configuration les plus importantes.
Étape 1: installer des accès administrateurs individuels
Pour configurer un point d’accès, il faut qu’il soit administré par un logiciel
d’exploitation, qui se présente dans l’interface utilisateur de votre navigateur
habituel, dès que vous avez accédez à l’adresse IP du point d’accès. L’accès à cette
interface se fait grâce à un compte utilisateur pourvu d’un nom d’utilisateur standard
et d’un mot de passe. Ces données de connexion ne sont pas individuelles, mais
identiques selon les modèles d’appareils, ce sont en général des identifiants très
simples, tels que « admin » (mot de passe ou nom d’utilisateur) ou « 1234 ». Au
début de la configuration, il faut donc indiquer vos propres données de connexion
pour le compte administrateur.
Étape 2 : choisir WPA2 comme méthode de cryptage
Pour crypter le wifi, il est impératif de choisir le WPA2, ses prédécesseurs WPA et
WEP ayant montré des risques accrus en termes de sécurité. De même, la
combinaison mixte « WPA/WPA2 » n’est pas non plus conseillée. Il est judicieux de
prévoir à la place des appareils compatibles avec WPA2, et de ne pas compter sur les
anciennes méthodes de cryptage. Si vous utilisez un logiciel de configuration WPS, il
suffit de le mettre en marche uniquement lorsque c’est nécessaire.
Étape 3 : définir un mot de passe wifi sécurisé
Jusqu’à présent, WPA2 a seulement connu des attaques de mot de passe, notamment
des attaques par force brute et des attaques par dictionnaire, qui sont très populaires
auprès des cybercriminels. Il est donc essentiel de placer la barre très haut en ce qui
concerne la sécurité du mot de passe. Il est conseillé d’avoir recours à des
algorithmes de cryptage et des listes de mots lors de l’installation du wifi : cela peut
par exemple consister en un maximum de caractères possible, utilisant à la fois des
lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Il est
également recommandé d’éviter les mots compréhensibles, et de choisir plutôt des
lettres au hasard. Vous pouvez également conserver le mot de passe du wifi sur
papier dans un endroit sûr, tandis que le conserver sur support numérique n’est pas
recommandé.
Étape 4 : choisir un nom de réseau non identifiable
Une des mesures de sécurité pour le wifi consiste à formuler un SSDI (de
l’anglais Service Set Identifiers) non identifiable. Le SSDI est le nom de votre réseau,
et chaque personne qui consulte la liste des réseaux disponibles peut le voir. Par
conséquent, si vous n’êtes pas un hotspot ouvert, il est recommandé de ne
communiquer aucune information personnelle susceptible d’être rattachée à vous,
votre entreprise ou votre emplacement. Pour beaucoup, cacher le nom du réseau wifi
(hidden SSID) constitue un progrès en termes de sécurité. Cette technique ne
représente toutefois pas un barrage contre les cybercriminels, et entraine une
connexion plus difficile pour les clients autorisés. En cachant le SSDI de son wifi, il
est aussi possible que certains appareils ne détectent plus le réseau.
Étape 5 : activer les mises à jour automatiques du logiciel d’exploitation
Pour la sécurité du wifi en général, il est indispensable que le logiciel d’exploitation
du point d’accès soit en permanence à jour. Comme pour n’importe quel programme,
les cybercriminels peuvent en effet exploiter des failles de sécurité découvertes ici, et
par exemple s’approprier les droits administrateurs ou introduire des logiciels
malveillants. Certains points d’accès disposent d’une fonction de mise à jour
automatique du logiciel d’exploitation, qu’il suffit d’activer de façon sécurisée. Dans
le cas contraire, il est conseillé de vérifier régulièrement si des mises à jour sont
disponibles pour votre appareil, puis de les télécharger et de les installer
manuellement.
Optimiser l’authentification avec IEEE 802.1X

IEEE 802.1X est un standard de sécurité basé sur les ports, qui garantit l’accès aux
clients autorisés uniquement s’ils ont été vérifiés et approuvés par un serveur
d’authentification (RADIUS). Ceci permet d’accéder à une liste prédéfinie, qui
indique si le client en question est autorisé ou non à se connecter au point d’accès
sans fil. La méthode d’identification repose sur l’extensible authentification protocol
(EAP), également compatible avec WPA 2. Cette variante est également appelée
WPA2 Enterprise, WPA2-1X ou WPA2/802.1X.

D’autres conseils utiles concernant les mesures de sécurité wifi

Si vous avez configuré votre point d‘accès en tenant compte des recommandations ci-
dessus, votre réseau wifi présente déjà un niveau correct de protection. En fonction de
l’utilisation prévue, il peut toutefois y avoir d’autres tâches à accomplir. Puisque la
majorité des wifi sont connectés à un réseau, pour l’essentiel grâce à Internet, il est
indispensable d’installer un pare-feu individuel sur votre point d’accès, afin de filtrer
les connexions indésirables. Par ailleurs, il est également pertinent d’identifier et de
combattre les accès indésirables à la source, grâce à des systèmes de détection
d’intrusion.
Si vous souhaitez que vos clients aient accès au wifi, il est recommandé de toujours
travailler avec un SSDI séparé, que vous pouvez créer et configurer en plus de votre
wifi professionnel. Dans tous les cas, en tant qu’opérateur wifi, vous êtes responsable
de l’usage qui est fait de la connexion, ce qui signifie que toute atteinte au droit
d’auteur (téléchargement illégal, etc.) peut vous être directement reprochée. Pour plus
de sécurité, il est conseillé de surveiller régulièrement l’utilisation de la bande
passante, et de bloquer les sites douteux ainsi que les paramètres du routeur.
Si vous utilisez le wifi dans un cadre professionnel, des tests de sécurité utilisant des
outils spécifiques peuvent s’avérer utiles. De cette façon, on peut simuler des
cyberattaques, et déterminer si les mesures de sécurité wifi que l’on a prises sont
efficaces. Là encore, le même principe que pour la sécurité wifi constitue la base :
plus l’on est minutieux et précis, plus les résultats sont efficaces. Il est donc
important de faire l’effort et d’optimiser son point d’accès sans fil. En résumé, voici
les mesures essentielles à appliquer pour que votre réseau wifi devienne difficile à
attaquer par les cybercriminels :

 Installer des composants de sécurité additionnels tels qu’IEEE 802.1X, un

pare-feu ou un système de détection d’intrusion

 Maintenir le réseau professionnel et le réseau invités séparés

 Vérifier régulièrement si les composants réseau sont performants et mis à jour

Quelques produits wifi sécurisés (cartes, point d'accès, routeurs wifi...)

» Les cartes wifi

Les cartes wifi sont des adaptateurs qui permettent aux utilisateurs une connexion et
un accès réseau wifi. Elles peuvent être installées sur un PC fixe, mais d’autres
modèles peuvent l’être sur un PC portable, avec des cartes au format PCMCIA ou se
branchant sur des ports USB. La plupart du temps, ces cartes permettent un cryptage
WEP, certaines le WPA ou voire même le WPA2. »

» Les points d'accès wifi

Les points d’accès Wifi ou sont des relais qui permettent l’échange des données entre
un ou plusieurs postes, chose particulièrement utile dans le cas où le réseau sans fil de
l’entreprise se trouve « coupé » à certains endroits (par des murs par exemple). A la
différence d’un routeur, ils ne proposent pas directement le partage d’une connexion
internet, mais peuvent souvent combiner ces fonctions de switch ou de routeur, qui
permet alors un tel partage. Tout comme les cartes wireless, ils disposent pour votre
sécurité du cryptage WEP, WPA ou WPA2. »

» Les routeurs wifi

Les routeurs wifi permettent de partager une connexion Internet sans fil entre
plusieurs postes au sein d’une même entreprise.  Ils intègrent au niveau sécurité la
fonction de firewall, protégeant le réseau contre les attaques issues d’Internet.
Certains routeurs peuvent disposer d’autres fonctionnalités intéressantes, comme la
possibilité de servir de serveur d’impression, c'est-à-dire de partager une imprimante
USB. »
» Les firewalls
Les firewalls ou pares-feux peuvent assurer une protection efficace du réseau et
assurent en outre les fonctions de VPN, voire de détecteur d’intrusion. Ce type de
solution constitue une solution fiable et économique parfaite pour les PME. »

» Les concentrateurs VPN

Le concentrateur, dans le contexte d’un réseau VPN, est ce l’on appelle plus
communément un « switch ». C’est un matériel acceptant les connections de clients
VPN et qui est destiné à « s’accorder » avec le serveur VPN pour l’utilisation des
clés, ainsi que leur cryptage.
Plusieurs modèles de concentrateurs existent, permettant de gérer une dizaine voire
plusieurs centaines d’utilisateurs.

Proposition d’architecture

Mise en œuvre
Plate-forme de test sous Linux (Debian sarge)
Logiciels et technologies utilisés :
- NOCAT (NoCatAuth-0.82) : portail web
- RADIUS (Freeradius) : serveur d'authentification
- Wpa-supplicant : client WPA sous Linux

Matériel Fabricant Caractéristiq Performances

ues
Switch- LINKSYS Nom: *Cryptage WEP
Routeur BEFW11S4 V4 64 et 128 Bits
*Norme: *IPSec, filtrage
802.11b MAC
*Débit: 11
Mbps, BP :2.4
Ghz
*Firware: V
1.50.14
*Type de
modulation:
DSSS
Carte PCI NETGEAR Nom : MA311 *Cryptage WEP
*Norme: 64 et 128 Bits
802.11b *Cryptage WPA
*Débit Max: 11 (NON)
Mbps
*Type de
modulation:
DSSS

Il faut avant tout configurer les serveurs DNS et DHCP.

Configuration côté serveur
1-a- Configuration du portail web (NoCatAuth-0.82)
Nous avons choisi d'installer le portail web et le serveur Radius sur
la même machine.
Eléments nécessaires :
- Apache compilé avec mod_ssl ;
- Iptables pour définir les règles de filtrage ;
- Perl (NoCatAuth est écrit en perl).
Après décompression (de préférence dans /usr/local/), créer un
répertoire qui contiendra les fichiers de configuration de la
passerelle et du module d'authentification, puis installer et compiler
les différents modules :

Génération et insertion du module gateway et insertion dans le

répertoire
/usr/local/nocat/gateway
[...NoCatAuth-0.82]#make PREFIX = /usr/local/nocat/gateway
gateway
Génération du module authentification et insertion dans le répertoire
/usr/local/nocat/
[ ...NoCatAuth-0.82]#make PREFIX = /usr/local/nocat/ authserv
Génération des clés PGP pour le cryptage des données
[...NoCatAuth-0.82]#make PREFIX = /usr/local/nocat/authserv pgpkey

Copie de la clé publique vers le répertoire contenant les modules

d'authentification et attribution au démon exécutant le serveur web
tous les droits sur ce répertoire, afin qu'il puisse y accéder et lire les
informations. Nous avons choisi une clé de 1024 bits de longueur
qui n’expire pas (uniquement pour l’expérimentation).
Modification des lignes suivantes du fichier
/usr/local/nocat/nocat.conf afin d'indiquer où se situent les clés
PGP, qui est la passerelle, quelle est l'adresse du réseau et les
fenêtres à afficher pour l'authentification.

Génération et insertion du module gateway et insertion dans le

répertoire
/usr/local/nocat/gateway
[...NoCatAuth-0.82]#make PREFIX = /usr/local/nocat/gateway
gateway
Génération du module authentification et insertion dans le répertoire
/usr/local/nocat/
[ ...NoCatAuth-0.82]#make PREFIX = /usr/local/nocat/ authserv
Génération des clés PGP pour le cryptage des données
[...NoCatAuth-0.82]#make PREFIX = /usr/local/nocat/authserv pgpkey
[...NoCatAuth-0.82]#cp /usr/local/nocat/trustedkeys.gpg
/usr/local/nocat/gateway/pgp
[...NoCatAuth-0.82]#chown -R www-data:www-data
/usr/local/nocat/gateway/pgp ou [...NoCatAuth-0.82]#chown -R
apache:apache
/usr/local/nocat/gateway/pgp
PGPKeyPath /usr/local/nocat/pgp
Document Root /usr/local/nocat/htdocs
LocalGateway 192.168.20.111
LocalNetwork 192.168.20.0/24
LoginForm login.html
LoginOKForm login_ok.html

Configuration de la passerelle
Fichier : /usr/local/nocat/gateway/nocat.conf
GatewayMode captive
GatewayLog /usr/local/nocat/gateway/nocat.log
LoginTimeout 600
DocumentRoot /usr/local/nocat/gateway/htdocs
Owners labtic # utilisateur du système chargé d'administrer la
passerelle
AuthServiceAddr 213.136.106.214 # adresse ip du serveur
d’authentification
ExternalDevice eth1 # interface publique
InternalDevice eth0 # interface privée
LocalNetwork 213.136.106.208/29
DNSAddr 192.168.1.3 # IP du serveur DNS
IncludePorts 80 443 # ports TCP autorisés : HTTP,
HTTPS

Configuration du serveur web Apache pour une utilisation

de SSL
Cela nécessite : mod_ssl dernière version, openssl, un compilateur
C ou GNU gcc. Nous utilisons pour nos tests, la version 2.0
d'apache. Pour compiler apache avec le module ssl, il convient
d'ajouter au fichier de configuration /etc/httpd/conf/httpd.conf la
directive « Include conf.d/ssl.conf ». Ensuite il convient, après avoir
configuré les fichiers
httpd.conf et ssl.conf, de copier le fichier /usr/local/NoCatAuth-
0.82/authserv.conf dans le répertoire /usr/local/nocat/etc/ (le
fichier ssl.conf fait un lien vers ce fichier).

Création des comptes

Le compte administrateur est celui du « owners » que nous avons
indiqué dans le fichier /usr/local/nocat/gateway/nocat.conf
Il existe un outil convivial en mode graphique qui permet
d'administrer le serveur. Il nécessite l'installation de Webmin .

GatewayMode captive
GatewayLog /usr/local/nocat/gateway/nocat.log
LoginTimeout 600
DocumentRoot /usr/local/nocat/gateway/htdocs
Owners labtic # utilisateur du système chargé d'administrer la
passerelle
AuthServiceAddr 213.136.106.214 # adresse ip du serveur
d’authentification
ExternalDevice eth1 # interface publique
InternalDevice eth0 # interface privée
LocalNetwork 213.136.106.208/29
DNSAddr 192.168.1.3 # IP du serveur DNS
IncludePorts 80 443 # ports TCP autorisés : HTTP,
HTTPS

Exécution de Nocat
La configuration achevée, on passe à l'exécution de nos serveurs
web, DNS, et Nocat.
1-b. Configuration de freeradius ( version 1.0.1)
Nous allons enfin configurer notre serveur pour une authentification
basée sur le protocole EAP/TLS (supporté par nos équipements). La
description de ce protocole de transport est largement décrite dans
la RFC 2716
Fichier à configurer : clients.conf, radiusd.conf, user
Configuration de clients.conf
(/usr/local/radius/etc/raddb/clients.conf). Ce fichier définit tous les
points d’accès autorisés à ouvrir une session radius sur le serveur

client 192.168.20.2 {
secret = secpartlabtic # mot de passe pour la communication entre
# serveur et l' AP
shortname = linksys # identifiant du réseau (SSID)
nastype = other # type d'AP (cisco, ...)

Configuration de radiusd.com
(/usr/local/radius/etc/raddb/radiusd.conf) pour l'utilisation de EAP-
TLS.
User = labtic
Group = labtic
modules {
eap {
default_eap_type = tls
timer_expire = 60
tls {
private_key_password = secpartlabtic
private_key_file = /usl/local/radius/etc/1x/cert-srv.pem
certificate_file = /usr/local/radius/etc/1x/cert-srv.pem
CA_file = /usr/local/radius/etc/1x/root.pem
dh_file = /usr/local/radius/etc/1x/dh
random_file = /usr/local/radius/etc/1x/random
fragment_size = 1024
include_length = yes
}
}
authorize {
…
eap # autorisation de l'authentification EAP files
}
authenticate {
eap # permission de l'authentification EAP
}

Configuration de user (/usr/local/radius/etc/raddb/user). Celui-ci

contient les clients autorisés à se connecter et à être validés par le
serveur. Nous l’utilisons dans le cadre de cet article mais il faut
savoir qu’il est possible d’utiliser freeradius avec postgresql, mysql,
LDAP afin de sauvegarder les données concernant les clients.
''labtic-wireless'' Auth-Type:= EAP
''labtic-visitor'' User-password== “labticvisitor”
NB : Il faut noter que les certificats sont générés grâce à Openssl Il
faut donc l’installer et le configurer. Pour être certain que
l'authentification se fera sans problème, il est impératif de vérifier
que tous les certificats générés ont été copiés dans les bons fichiers
:
- Au niveau du serveur :
/usl/local/radius/etc/1x/cert-srv.pem , contenant la clé privée du
serveur
/usr/local/radius/etc/1x/cert-srv.pem , contient le certificat
/usr/local/radius/etc/1x/root.pem , contient le certificat d'autorité
(serveur radius)
- Chez les clients :
/etc/cert/ca.pem , contient le certificat d'autorité (serveur radius)
/etc/cert/user.pem
/etc/cert/user.prv , contient la clé privée
1-c. Configuration du point d'accès
La configuration du point d'accès nécessite la mise à jour du
firmware (pour la prise en compte du 802.1x et WPA). Ensuite la
déclaration de deux types de SSID à savoir :
Un pour les clients sans fil du LABTIC (labtic-wireless) et l'autre pour
les visiteurs (labticvisitor).
2. Configuration des clients sans fil du LABTIC
Pour les clients, nous utilisons wpa-supplicant.
Après installation, le fichier de configuration se trouve dans
/etc/wpa-supplicant.
Nous le modifions pour l’adapter à notre configuration.
ctrl_interface = /var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
ap_scan=1
network={
ssid=''labtic_wireless''
proto=RSN
key_mgmt=WPA-EAP
pairwise=TKIP
group=TKIP
EAP=TLS
ca_cert=''/etc/cert/ca.pem''
client_cert=/etc/cert/user.pem
private_key=''/etc/cert/user.pem''
priority=1
}

Quand aux visiteurs, il n'existe pas de configuration particulière. En

effet ceux-ci ne sont pas obligés d'utiliser des certificats. Il suffit
donc de les configurer pour utiliser un serveur DHCP, d'indiquer
l'adresse IP de ce serveur (ici 192.168.1.3) et d'indiquer comme
SSID : labtic-visitor.