Alors que pour s’introduire sur un réseau filaire, il faut s’y relier physiquement, en Wifi, toute personne se trouvant à portée du réseau peut potentiellement s’y raccorder. Et cela est d’autant plus gênant que l’intrus n’est pas forcément visible : cela peut être un voisin, un passant dans la rue, bref, n’importe qui. Libre à lui alors de fouiner sur les disques durs de vos PC reliés au réseau non protégé ou d’utiliser votre connexion Internet à mauvais escient, vous-même étant responsable des actes qu’il pourrait commettre. Heureusement qu’il est possible d’empêcher cela.

1. Réduire la zone de couverture
Une majorité d’internaute n’utilise le Wi-fi que sur une courte distance et simplement pour aller du modem au PC. Dans ce cas, et si c’est possible je vous conseille de remplacer votre Wi-fi par un cable réseau (USB ou RJ45). Si vous souhaitez utiliser le Wi-fi sur des courtes distances, il faut réduire la puissance de la borne d’accès.

La FreeBox utilise la technologie de télécommunication DECT (Digital Enhanced Cordless), cette technologie européenne de transmission numérique par liaison radio (sans fil) a une portée théorique de 300 m (50 m en pratique). Malheureusement il n’est pas prévu de réglage de la puissance de l’émetteur. Toutefois, vous pouvez toujours essayer le Wi-fi sans ajouter les antennes fournies ; ce qui reduira la zone effectivement couverte.

Pour les utilisateurs ayant une connexion à grande distance à réaliser ; Je vous recommande d’utiliser un antenne unidirectionnelle ce qui évitera d’aroser tout le quartier. Kelkoo Informatique nous propose des l’antennes unidirectionnelles.

2. Eviter les valeurs par défaut
La connexion Wifi, est gérée par le routeur. Or, par défaut, n’importe qui peut accèder à votre routeur : il suffit de connaître votre IP. Bien évidemment, cette page est protégée par un login et un mot de passe mais les réglages d’usine sont généralement :

– User : admin
– Password : password

Il vous faut changer cette combinaison login/mot de passe au plus tôt : à quoi servirait de sécuriser tout le réseau si tout le monde peut modifier les réglages du routeur à sa guise . Ouvrez votre navigateur et pointez sur l’adresse du routeur qui se trouve dans la documentation de votre routeur. Généralement c’est http://192.168.0.1 ou http://192.168.1.1, entrez dans l’interface d’administration et changez le mot de passe.

Pour la FreeBox, je vous invite à consulter le tutorial « Gestion des ports sur freebox en mode routeur » que vous trouverez ici.

D’autre part, afin de se connecter à un point d’accès il est indispensable de connaître l’identifiant du réseau (SSID). Ainsi il est vivement conseillé de modifier le nom du réseau par défaut et de désactiver la diffusion (broadcast) de ce dernier sur le réseau. Le changement de l’identifiant réseau par défaut est d’autant plus important qu’il peut donner aux pirates des éléments d’information sur la marque ou le modèle du point d’accès utilisé.

Pour la FreeBox, le régalge du Wifi est accessible depuis votre interface utilisateur chez Free : http://subscribe.free.fr/login/.
– Près votre identification, allez sur « Fonctionnalités optionnelles de la Freebox (Wifi, Routeur...) ».

– Choisissez le nom de votre choix pour votre réseau Wifi.
– Réseau : « TAPER LE NOM DE VOTRE CHOIX »
– Si vous le désirez, votre réseau Wifi peut être masqué, il devient donc invisible lors des recherches de réseau. Afin de faciliter la configuration de votre ordinateur, il est préférable de laisser cette option désactivée.
Réseau masqué Activer « COCHER LA CASE »

3. Mettre à jour le firmware du routeur
Vérifiez que le firmware de votre routeur est à jour : pour cela, consultez le site du fabricant. La mise à jour du firmware apporte souvent des améliorations, que ce soit dans la tenue de la ligne ADSL ou dans l’ajout de fonctionnalités. Cela corrige également les éventuels bugs ou failles de sécurité.

Pour la freeBox, faite un hard-reboot (débranchez et rebranchez 4 fois rapidement l’alim de la freebox).

4. Le filtrage des adresses MAC
Chaque adaptateur réseau (nom générique pour la carte réseau) possède une adresse physique qui lui est propre (appelée adresse MAC). Cette adresse est représentée par 12 chiffres hexadécimaux groupés par paires et séparés par des tirets.

Les points d’accès permettent généralement dans leur interface de configuration de gérer une liste de droits d’accès (appelée ACL) basée sur les adresses MAC des équipements autorisés à se connecter au réseau sans fil.

Pour les utilisateurs de la FreeBox voir ici.

5. WEP - Wired Equivalent Privacy
Votre routeur possède des options de cryptage : activez-les. Il existe plusieurs protocoles de cryptage :

WEP ou Wired Equivalent Privacy : est désormais obsolète, il peut être craqué en moins de 5 minutes par analyse de trames. Malgré tout, cela reste mieux qu’aucun encryptage du tout - le cryptage se fait sur 64 bits (appelé aussi cryptage 40 bits) ou 128 bits. Le WEP a donc été supplanté par le Wi-Fi Protected Access (WPA) en 2003, puis par le WPA2 en 2004.

WPA ou WiFi Privacy Access : respecte la majorité de la norme IEEE 802.11i et a été prévu comme une solution intermédiaire pour remplacer le WEP en attendant que la norme 802.11i soit terminée. WPA a été conçu pour être utilisé en collaboration avec un serveur d’authentification 802.1X chargé de distribuer les différentes clés à chaque utilisateurs. Il peut aussi être utilisé dans un mode moins sécurisé, appelé pre-shared key (PSK), dans lequel tous les utilisateurs partagent une même phrase secrète. Les données sont chiffrées en utilisant l’algorithme de chiffrement par flot RC4, avec une clé de 128 bits et un vecteur d’initialisation (initialization vector ou IV en anglais) de 48 bits. Une des améliorations majeures du WPA par rapport au WEP est le protocole Temporal Key Integrity Protocol (TKIP), qui échange de manière dynamique les clés lors de l’utilisation du système. Ce protocole, associé au vecteur d’initialisation beaucoup plus grand que dans le WEP, empêche certaines attaques sur WEP aujourd’hui bien connues.

WPA2 est la version de la norme IEEE 802.11i certifiée par la Wi-Fi Alliance. WPA2 inclut tous les éléments obligatoires de la norme 802.11i (en) [1]. En particulier, les algorithmes Michael et RC4 sont remplacés respectivement par un algorithme d’authentification de message, CCMP, qui est considéré comme complètement sécurisé et par AES.

Utilisez donc le WPA2 si disponible, le WPA à défaut et le WEP en dernier recours. Choisissez une clé supérieure à 128 bits si possible et un mot de passe (également appelé passphrase) au moins égal à 8 caractères, contenant chiffres, lettres et caractères spéciaux. Pour une sécurité renforcée, je vous recommande le générateur de clés WPA sécurisées.

Bien qu’imparfait en matière de sécurité, le standard WPA comble la plupart des lacunes majeures de WEP. Pour plus de détail sur le WPA voir ici.

6. Mise en place d’un VPN
Pour toutes les communications nécessitant un haut niveau de sécurisation, il est préférable de recourir à un chiffrement fort des données en mettant en place un réseau privé virtuel (VPN).

Pour plus de détail lire l’article Réseau privé virtuel sur WikiPédia.

Et toujours pour la freeBox, voir ici.

Créez un VPN sous XP (partie serveur)

7. Conclusion
Malgré des problèmes de sécurité intrinsèques, les réseaux sans fil continuent et continueront probablement à se développer. Il est donc important de bien connaître les problèmes liés à la mise en place de ce type de réseaux afin d’en limiter les effets néfastes. Il est également important de déterminer le niveau de sécurité souhaité afin de mettre en place une solution en adéquation avec ce choix.

Malgré le peu de recul sur la norme IEEE 802.11i, celle-ci est vouée à s’imposer comme la norme unificatrice en matière de sécurité.

A ce jour, avec le peu de recul sur la norme IEEE 802.11i, l’utilisation d’IPSEC reste la manière la plus sûre de sécuriser son réseau sans fil, ce qui n’interdit pas de mettre en place le chiffrement disponible sur le lien radio.

8. Sources :
– http://www.commentcamarche.net/wifi/wifisecu.php3
– http://hsc.fr/ressources/presentations/libreast04/index.html.fr
– http://www.linternaute.com/hightech/wifi/05-wifi/securite.shtml
– http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002/