Académique Documents
Professionnel Documents
Culture Documents
3 WLAN sécurisés
5.3.2 Masquage du SSID et filtrage
des adresses MAC
Les signaux sans fil peuvent traverser la matière solide, comme les plafonds, les
sols, les murs, l'extérieur de la maison ou les bureaux. Sans mesures de sécurité
strictes en place, l'installation d'un WLAN peut être l'équivalent de mettre des ports
Ethernet partout, même à l'extérieur.
Pour contrer les menaces de garder les intrus sans fil à l'extérieur et de protéger les
données, deux premières fonctions de sécurité ont été utilisées et sont toujours
disponibles sur la plupart des routeurs et des points d'accès : le masquage SSID et
le filtrage des adresses MAC.
Masquage SSID
Les points d'accès et certains routeurs sans fil permettent de désactiver la trame de
la balise SSID, comme illustré dans la figure. Les clients sans fil doivent configurer
manuellement le SSID pour se connecter au réseau.
Un administrateur peut autoriser ou refuser manuellement l'accès sans fil des clients
en fonction de leur adresse matérielle MAC physique. Dans la figure, le routeur est
configuré pour autoriser deux adresses MAC. Les appareils avec des adresses MAC
différentes ne pourront pas rejoindre le WLAN 2.4 GHz.
5.3.3 Méthodes d'authentification
originales 802.11
Bien que ces deux fonctionnalités découragent la plupart des utilisateurs, la réalité
est que ni le masquage SSID ni le filtrage des adresses MAC ne décourageraient un
intrus rusé. Les SSID sont facilement découverts même si les points d'accès ne les
diffusent pas et que les adresses MAC peuvent être usurpées. La meilleure façon de
sécuriser un réseau sans fil est d'utiliser des systèmes d'authentification et de
cryptage.
Deux types d'authentification ont été introduits avec la norme 802.11 d'origine :
Dans la figure, l'administrateur configure le routeur sans fil pour utiliser WPA2 avec le
cryptage AES sur la bande 2.4 GHz.
La clé partagée n'est pas un paramètre qui doit être configuré sur un client sans fil. Il
est uniquement requis sur l'AP pour s'authentifier auprès du serveur RADIUS.
L'authentification et l'autorisation des utilisateurs sont gérées par la norme 802.1X,
qui fournit une authentification centralisée sur serveur des utilisateurs finaux.
5.3.8 WPA3
Au moment d'écrire ces lignes, les périphériques prenant en charge l'authentification
WPA3 n'étaient pas facilement disponibles. Cependant, WPA2 n'est plus considéré
comme sécurisé. WPA3, si disponible, est la méthode d'authentification 802.11
recommandée. WPA3 comprend quatre fonctionnalités :
WPA3-Personnel
Dans WPA2-Personnel, les acteurs de menace peuvent écouter la « poignée de main » entre
un client sans fil et l'AP et utiliser une attaque par force brute pour essayer de deviner le
PSK. WPA3-Personnel déjoue cette attaque en utilisant l'authentification simultanée d'égaux
(SAE), une fonctionnalité spécifiée dans l'IEEE 802.11-2016. Le PSK n'est jamais exposé, ce
qui rend impossible pour l'acteur de menace de deviner.
WPA3-Entreprise
Réseaux ouverts
Les réseaux ouverts dans WPA2 envoient le trafic utilisateur en texte clair non authentifié.
Dans WPA3, les réseaux Wi-Fi ouverts ou publics n'utilisent toujours aucune authentification.
Cependant, ils utilisent le chiffrement sans fil opportuniste (OWE) pour chiffrer tout le trafic
sans fil.
Bien que WPA2 comprenne une configuration Wi-Fi protégée (WPS) pour intégrer
rapidement les appareils sans les configurer au préalable, WPS est vulnérable à diverses
attaques et n'est pas recommandé. De plus, les appareils IoT sont généralement sans tête,
ce qui signifie qu'ils n'ont pas d'interface graphique intégrée pour la configuration et qu'ils
avaient besoin d'un moyen simple pour se connecter au réseau sans fil. Le protocole DPP
(Device Provisioning Protocol) a été conçu pour répondre à ce besoin. Chaque appareil sans
tête possède une clé publique codée en dur. La clé est généralement estampillée à
l'extérieur de l'appareil ou de son emballage sous forme de code QR (Quick Response).
L'administrateur réseau peut scanner le code QR et intégrer rapidement l'appareil. Bien qu'il
ne fasse pas strictement partie de la norme WPA3, DPP remplacera WPS au fil du temps.