Le développement des objets communicants et leur usage quotidien sont aujourd’hui à l’origine de l’omniprésence des réseaux sans-fil WiFi, tant chez les particuliers que dans le monde professionnel.
Ces réseaux permettent de connecter tout type de matériel (ordinateurs portables, téléphones mobiles, consoles de jeux, télévisions, équipements électroménagers, automates industriels, etc.) à des réseaux privés ainsi qu’au réseau public Internet. Le WiFi est largement utilisé dans le monde professionnel pour la commodité d’accès au réseau interne de l’entreprise, ainsi que pour s’épargner le coût d’une infrastructure filaire.
Ces réseaux WiFi sont toutefois souvent vulnérables, et utilisables par des personnes malveillantes afin d’intercepter des données sensibles (informations personnelles, codes de cartes de paiement, données d’entreprise, etc.). Force est de constater que la problématique de sécurisation des réseaux sans-fil n’est pas toujours bien appréhendée et que les risques encourus restent souvent méconnus. Pourtant, quel que soit l’usage envisagé, et si l’équipement utilisé n’est pas trop ancien, il est possible de procéder assez simplement à un paramétrage robuste et sécurisé d’une borne WiFi.
Les six catégories connues de menaces WiFi ciblant les entreprises
Bien que la liste des menaces WiFi potentielles n'ait de cesse de s'allonger, il existe six catégories connues de menaces WiFi contre lesquelles toute entreprise doit se protéger.
Il consiste à créer un faux réseau WiFi en imitant son SSID (Service Set IDentifier) et son adresse MAC (Media Access Control). Les pirates peuvent ensuite intercepter le trafic et s’immiscer dans l’échange de données entre la victime et les serveurs auxquels la victime accède lorsqu’elle est connectée au point d’accès Evil Twin. Une fois la victime connectée, le pirate peut voler ses identifiants, injecter un code malveillant dans son navigateur et la rediriger vers un site malveillant, entre autres.
Dans les réseaux chargés où sont déployés de nouveaux points d'accès, le risque est grand que les Administrateurs réseau commettent des erreurs involontaires de configuration, par exemple en laissant les paramètres par défaut ou en rendant un SSID privé ouvert et sans chiffrement, exposant potentiellement des données sensibles à des pirates cherchant à les intercepter dans l'espace WiFi.
Un point d'accès illicite est un point d'accès sans fil qui a été installé sur un réseau sécurisé sans autorisation explicite d'un administrateur. Les points d’accès illicites se connectent au réseau autorisé, en général au moyen d’un SSID ouvert, et permettent aux pirates de contourner le système de sécurité. Il peut s’agir d’un point d’accès physique ou d’un point d’accès logiciel.
Tout utilisateur auparavant connecté à un point d'accès illicite ou autre point d'accès malveillant à portée d'un réseau privé, est considéré comme illicite. Un utilisateur illicite peut être un collaborateur qui s’est connecté à un réseau WiFi public sur lequel un point d’accès Evil Twin a été installé pour infecter son appareil d’un ransomware. Lorsque ce collaborateur se connectera au WiFi d’entreprise, rien ne pourra retenir le ransomware qui se propagera au sein de l’organisation.
Un collaborateur se connecte à un point d'accès voisin externe ou invité, contournant ainsi le périmètre de sécurité de l'entreprise et les restrictions de sécurité définies par le firewall. Il n’y a là aucune ruse ultra-secrète de pirate informatique. En décidant de connecter leurs appareils au réseau invité ou au réseau du café d’en bas, le collaborateur contourne en toute simplicité le périmètre de sécurité que son entreprise a intégré à son réseau.
Il s'agit d'un réseau WiFi peer-to-peer qui permet à deux appareils ou plus de communiquer directement entre eux, contournant ainsi les politiques en matière de sécurité réseau et rendant le trafic complètement invisible. En quelques clics, n'importe qui parmi les collaborateurs pourrait rapidement installer un réseau ad-hoc entre les appareils de ses collègues. Cela peut donner suite à des conséquences juridiques, susceptibles de mettre à mal l’entreprise.
Les bonnes pratiques pour sécuriser son WiFi d’entreprise
Dans un premier temps, il convient de modifier le nom d’utilisateur et le mot de passe du routeur WiFi, ainsi que le nom du réseau (SSID) plutôt que de laisser ceux renseignés par défaut par le fabricant. Cela apportera une couche de sécurité supplémentaire pour l’accès à l’interface administrateur du routeur.
Le WPS (WiFi Protected Setup) est une fonctionnalité présente sur certains routeurs. Elle permet de connecter un nouvel appareil sans avoir besoin du mot de passe réseau. Or, le signal peut être relativement simple à intercepter pour un pirate aguerri. Il est donc préférable de vérifier que le WPS est éteint par défaut.
Certains fournisseurs d’accès internet propose l’option de gestion à distance du routeur. Il est conseillé de ne pas l’activer et de préférer l’Ethernet pour connecter physiquement un ordinateur au routeur et ainsi accéder à son interface d’administration. Ainsi, si un individu mal intentionné réussi à obtenir les identifiants de connexion à l’interface, il ne pourra rien faire s’il n’est pas branché directement au routeur.
Chaque périphérique équipé d’une interface réseau (ordinateur, smartphone, tablette, imprimante, objet connecté…) possède une adresse MAC (ou adresse matérielle ou adresse Ethernet). Certains routeurs disposent d’une fonctionnalité permettant de filtrer les adresses des équipements autorisés à se connecter au réseau sans fil. Ceux qui ne figurent pas dans la liste des adresses MAC autorisées ne peuvent donc pas accéder au réseau.
S’il n’est pas utile qu’un réseau WiFi s’étende au-delà des locaux d’une entreprise, il est recommandé de diminuer la puissance de transmission du signal du routeur afin de limiter les risques qu’une personne étrangère à la société puisse le capter et s’y connecter de l’extérieur.
Si le WiFi n’est pas utile sur certaines périodes (nuit, congés), il est préférable de désactiver automatiquement le réseau pour qu’il ne soit pas accessible et ainsi réduire un peu plus les risques de piratage.
Une sécurité active passe par différents dispositifs.
Dans un premier temps, une attention particulière doit être accordée à la méthode de cryptage. Cela passe par l’activation du protocole de chiffrement WPA2, ou encore plus abouti, WPA3 (Wi-Fi Protected Access 3). Ce protocole de sécurité sans fil implique la confirmation des mots de passe et un cryptage fort, rendant ainsi plus difficile le piratage d’un réseau sans fil.
Dans un second temps, il faut s’assurer que le pare-feu, souvent intégré au routeur, est activé afin d’ajouter une couche de protection supplémentaire au routeur WiFi.
Enfin, il faut privilégier les bornes d’accès WiFi du marché capables de détecter et de bloquer automatiquement les six catégories connues de menaces Wi-Fi vues précédemment, et ce, sans perte de performance.
Les mises à jour de sécurité ont pour but de supprimer les failles pouvant être la cible de hackers. Elles doivent donc porter sur tout le matériel (postes de travail et serveurs), les logiciels, les applications, les routeurs, les imprimantes, les modems et bien sûr, les routeurs WiFi.
Malgré la mise en place de mesures de protection, le meilleur moyen de sécuriser les données de son entreprise reste de contrôler manuellement le trafic réseau. Cela permet de repérer un potentiel comportement ou appareil suspect qui aurait pu franchir tous les garde-fous afin de l’isoler rapidement.
Éviter les réseaux WiFi publics ou inconnus
S’ils peuvent s’avérer très utiles, les réseaux WiFi publics sont une aubaine pour les pirates informatiques. Très faciles d’accès, ces réseaux sont souvent mal sécurisés et peuvent être contrôlés par des cybercriminels pour intercepter des informations confidentielles.
Pour éviter que les appareils ne se connectent automatiquement à ces réseaux, il est recommandé de désactiver les connexions sans-fil (WiFi, Bluetooth, NFC, …) lorsque ces dernières ne sont pas utiles.
En situation de mobilité, les collaborateurs d’une entreprise ont tout intérêt de privilégier la connexion internet via leur abonnement mobile 4G ou 5G. Il faut tout de même veiller à ce que le partage de connexion des appareils se fasse à l’aide d’un mot de passe pour éviter que n’importe qui puisse accéder directement aux données partagées.
L’utilisation d’un réseau WiFi public est cependant possible dans le cas où l’entreprise équipe les postes nomades d’un VPN (réseau privé virtuel) qui permet de chiffrer les données pour les échanges. Le collaborateur veillera tout de même à ne jamais y réaliser d’opérations sensibles.
Sécuriser convenablement le routeur WiFi de son entreprise exige des compétences techniques en matière de sécurité, architecture et protocoles réseaux. Pour s’assurer de ne pas avoir de brèches dans son système de sécurité, voire de dysfonctionnements au niveau des accès internet de sa structure, il est préférable de faire appel à un prestataire informatique tel que Promosoft Informatique.
