Construire un réseau Wifi sécurisé

mardi 11 octobre 2005

Depuis que je suis rentré de vacances, j’ai constaté un changement chez mes voisins: un certain nombre d’entre eux ont installé un réseau Wifi. Pour la plupart, il n’y a aucune sécurité. Si ma connexion tombait en panne, j’aurais le choix parmi une demi-douzaine de réseaux ouverts ! C’est bien d’habiter en appartement… Les gens qui n’y connaissent rien en informatique peuvent acheter une LiveBox, dans ce cas il y aura un système minimal de sécurité préinstallé (WEP). Ou bien ils peuvent suivre les conseils avisés d’un ami informaticien et acheter un routeur d’un fabricant tiers pour mettre en place leur réseau domestique. Dans ce cas, il n’y aura aucune sécurité par défaut, le réseau sera ouvert et représentera un trou de sécurité béant.

Les gens croient au plug ‘n’ play, mais cela n’existe pas en matière de réseau. Avoir un réseau ouvert dans un immeuble en plein Paris, c’est s’exposer à des détournements de sa connexion. Si quelqu’un utilise votre ligne, la première conséquence est que votre bande passante sera réduite. S’il se met à télécharger sur les réseaux P2P, non seulement votre vitesse de navigation sera considérablement ralentie (vous aurez plus l’impression d’être connecté en 56K qu’en ADSL), mais vous pourrez avoir de sérieux ennuis selon le contenu téléchargé. Vous êtes responsable des données qui transitent par votre connexion… et allez prouver que ce n’était pas vous qui étiez connecté !

Il vous faut donc impérativement sécuriser votre réseau Wifi. Ce n’est pas compliqué dans l’absolu, mais c’est totalement inaccessible aux novices. Cet article a pour but d’expliquer un certain nombre de techniques pour renforcer la sécurité de votre réseau. Si vous suivez toutes ces instructions votre réseau sera très bien protégé pour un réseau domestique, la plupart des gens qui ont sécurisé leur réseau n’ayant pas mis en oeuvre le tiers de ces techniques.

Théorie et définitions

Je tiens à expliquer dans un premier temps quelles sont les principales techniques à mettre en oeuvre pour sécuriser un réseau Wifi, pour ensuite passer à une démonstration pratique. Les techniques sont exposées de la plus essentielle à la moins importante ; mais gardez quand même à l’esprit que chaque nouvelle technique mise en oeuvre renforce un peu plus la sécurité globale du réseau.


Protéger l'accès par un mot de passe et crypter les données en transit
La première technique à mettre en oeuvre est l’activation du cryptage automatique des données qui transitent par Wifi. Vous avez pour cela 2 protocoles de cryptage: WEP et WPA. Le WEP est relativement célèbre puisqu’il est actif sur la plupart des «Box» (LiveBox, FreeBox, etc…) vendues. Il est néanmoins totalement obsolète. Il n’arrêtera que quelqu’un qui n’y connait rien ; il ne m’arrête pas (en 10 minutes, c’est expédié). Pour vous en persuader, tapez «wep hacking» sur Google, et vous trouverez de nombreuses pages vous expliquant comment casser une protection WEP. Il faut donc utiliser le protocole WPA qui est beaucoup plus difficile (mais pas totalement impossible…) à hacker («hacker» signifie ici «faire tomber les sécurités»). De plus, le WEP nuit à la fiabilité du réseau et à sa portée, alors que ce n’est pas le cas pour le WPA.

Le cryptage WPA, comme le WEP, fonctionne sur un principe simple: un mot de passe automatiquement utilisé par le routeur pour crypter les données, et le même mot de passe utilisé par l’ordinateur pour les décrypter. Comme tout mot de passe, il ne doit pas pouvoir être trouvé d’après vos données personnelles. Ne mettez pas votre nom ou date de naissance… Le mot de passe doit également être assez long et alphanumérique (des chiffres et des lettres). Par exemple: kjsd8976dhs7ww4hpzx8bqj09dmH6d3b est un excellent mot de passe ;-)


Changer le nom du réseau
C’est ce qui m’a donné l’idée d’écrire cet article. Je me connecte souvent, en province, à un réseau appelé NETGEAR (nom par défaut donné par les routeurs de cette marque à tout nouveau réseau). Les Mac sous OS X gardent en mémoire les réseaux fréquemment utilisés et s’y connectent automatiquement. Mon réseau à Paris a été indisponible pendant les quelques secondes qu’a nécessité le redémarrage de mon routeur. J’ai eu le malheur d’allumer mon ordinateur pendant ce temps, et il s’est automatiquement connecté à un réseau du voisinage appelé NETGEAR. J’étais donc sur le réseau de mon voisin, sans même m’en être rendu compte.

D’où l’impératif suivant: changez le nom du réseau ! Le nom de votre chat conviendra parfaitement, si vous ne passez pas votre temps à lui courir après dans le jardin en hurlant son nom… ;)


Désactivez la diffusion SSID
Les routeurs sont paramétrés par défaut pour diffuser le nom de votre réseau, cela s’appelle la diffusion du SSID. Tout ordinateur Mac ou PC pourra alors sélectionner votre réseau dans la liste des réseaux disponibles et s’y connecter en entrant le mot de passe associé. Désactivez la diffusion du SSID. Le nom du réseau ne sera plus diffusé, et il faudra entrer manuellement son nom pour pouvoir s’y connecter. Pour entrer manuellement le nom, il faut déjà savoir que le réseau existe et, en plus, connaître son nom… c’est bête, mais imparable !

Il existe des logiciels qui permettent de repérer les réseaux qui ne diffusent pas leur SSID. Masquer son SSID est donc nécessaire, mais non suffisant : cela permet de réduire les risques, mais pas de se protéger contre une attaque ciblée.


Filtrez les adresses MAC
Chaque appareil doté de capacités Wifi possède une adresse MAC unique et immuable. L’adresse MAC, du type 00:0F:76:EB:83:D9, est l’empreinte digitale de votre matériel. Vous pouvez paramétrer votre routeur pour n’accepter que les connexions venant de certaines adresses MAC, et rejeter toutes les autres. Les LiveBox de Wanadoo sont configurées automatiquement pour mettre en oeuvre le filtrage des adresses MAC: quand vous mettez une LiveBox en mode «association», elle enregistre une nouvelle adresse MAC autorisée.

Le filtrage des adresses MAC constitue une protection supplémentaire nécessaire mais non suffisante. Il est en effet possible de récupérer l’adresse MAC d’un périphérique autorisé par le routeur, puis de se connecter en usurpant cette adresse (en utilisant un logiciel de virtualisation, par exemple).


Changer le mot de passe du logiciel d'administration
Vous accedez au logiciel d’administration de votre routeur depuis votre navigateur, en entrant un login (nom d’utilisateur) et un password (mot de passe). Par défaut, il s’agit souvent des couples {admin,admin} (pour les LiveBox par exemple) ou {admin,password} (pour les routeurs Netgear par exemple).

Imaginez la situation suivante: je tombe sur votre réseau Netgear qui s’appelle tout bêtement «NETGEAR» et qui n’a aucune protection. Je me connecte, j’accède à l’interface d’administration avec {admin,password}, je fais mes petites modifications et je change ce couple nom d’utilisateur / mot de passe. Vous perdez le contrôle de votre connexion: je peux désormais l’utiliser, mais pas vous. Changez donc impérativement le nom d’utilisateur et le mot de passe.


Réduction de la portée du réseau
Certaines bornes Wifi peuvent être paramétrées pour réduire leur champ d’action. C’est la protection la plus drastique, elle est même totale et définitive: s’il n’y a pas de couverture, il est impossible de se connecter au réseau. L’inconvénient est que vous ne pouvez pas savoir exactement quel est le rayon de couverture du réseau.


Serveur RADIUS
L’installation d’un réseau RADIUS est une technique de protection avancée (notamment utilisée sur le matériel CISCO). Cette technique étant destinée avant tout aux entreprises je n’en parlerai pas plus ici, mais vous savez au moins que ça existe.

En pratique

Pour ce cas d’école, je vais reproduire un schéma simple: une LiveBox connectée à la prise téléphonique et faisant office de modem ADSL. Une borde Airport connectée à la LiveBox et qui s’occupe du routage des données. Enfin, une autre borne Airport branchée à la chaîne hifi et à l’imprimante, et communiquant sans fil avec la première borne. Installer un tel réseau prendra approximativement 10 minutes.


Voici le schéma de ce réseau:
Réseau Wifi sécurisé

La première chose à faire est de désactiver le réseau Wifi sur la LiveBox (car elle fait tout mal… c’est un vrai désastre ce truc). Pour cela, tapez l’adresse http://192.168.1.1/ dans votre navigateur, puis identifiez vous. Vous accèderez à la page d’accueil du logiciel d’administration de la LiveBox. Cliquez sur Réseau sans fil dans le menu principal (1). Cliquez ensuite sur le bouton Désactiver qui se transformera en Activer immédiatement après cela (2). L’état de la diffusion Wifi de la LiveBox devrait maintenant être passé à désactivé (3).


Réseau Wifi sécurisé

Branchez la première borne Airport à la LiveBox par Ethernet (cable droit), en utilisant la prise rouge. Installez également la seconde borne Airport, qui ne sera pour l’instant connectée à aucun appareil. Lancez l’Utilitaire Admin Airport situé dans Application/Utilitaires sur Mac ou dans le menu démarrer de Windows, après installation des drivers fournis sur le CD allant avec la borne Airport. Vous devriez voir les deux bornes dans la liste, avec leurs noms d’origine: Base Station XXXX. Dans l’image ci-dessous, les noms originaux ont été changés.


Réseau Wifi sécurisé

Sélectionnez la borne branchée à la Livebox et paramétrez là ainsi:
(voir les images ci-contre, cliquer dessus pour agrandir)</p>
  • Borne d'accès: Nom: ce que vous voulez.
  • Borne d'accès: Modifier le mot de passe: entrez un mot de passe facile à retenir, ce n'est pas très important.
  • Réseau: Mode sans fil: Créer un réseau sans fil (routeur domestique)
  • Réseau: Nom: il s'agit du nom de votre réseau.
  • Réseau: Modifier sécurité sans fil: réglez ceci sur WPA2, et choisissez un mot de passe très complexe.
  • Réseau: Réseau fermé: cochez cette case pour ne pas diffuer le SSID.
  • Réseau: Options sans fil: pour paramétrer le portée de la borne.

Réseau Wifi sécurisé

Réseau Wifi sécurisé

Réseau Wifi sécurisé

Rendez vous ensuite sur l’onglet Accès et entrez les adresses MAC de vos différents ordinateurs comme montré dans l’image ci-dessous.



Réseau Wifi sécurisé

Pour finir, rendez vous sur l’onglet WDS, activez la borne en tant que borne principale, permettez l’accès aux clients sans fil et cliquez sur le bouton « + « pour ajouter automatiquement votre seconde borne Airport (dont le nom est donné dans la liste des bornes disponibles, voir ci-dessus). Validez en cliquant sur «Mettre à jour» pour que vos deux bornes Airport se configurent et redémarrent.



Réseau Wifi sécurisé

Votre réseau est prêt ! Il ne vous reste plus qu’à vous connecter.

Depuis que je suis rentré de vacances, j’ai constaté un changement chez mes voisins: un certain nombre d’entre eux ont installé un réseau Wifi. Pour la plupart, il n’y a aucune sécurité. Si ma connexion tombait en panne, j’aurais le choix parmi une demi-douzaine de réseaux ouverts ! C’est bien d’habiter en appartement… Les gens qui n’y connaissent rien en informatique peuvent acheter une LiveBox, dans ce cas il y aura un système minimal de sécurité préinstallé (WEP). Ou bien ils peuvent suivre les conseils avisés d’un ami informaticien et acheter un routeur d’un fabricant tiers pour mettre en place leur réseau domestique. Dans ce cas, il n’y aura aucune sécurité par défaut, le réseau sera ouvert et représentera un trou de sécurité béant.

Les gens croient au plug ‘n’ play, mais cela n’existe pas en matière de réseau. Avoir un réseau ouvert dans un immeuble en plein Paris, c’est s’exposer à des détournements de sa connexion. Si quelqu’un utilise votre ligne, la première conséquence est que votre bande passante sera réduite. S’il se met à télécharger sur les réseaux P2P, non seulement votre vitesse de navigation sera considérablement ralentie (vous aurez plus l’impression d’être connecté en 56K qu’en ADSL), mais vous pourrez avoir de sérieux ennuis selon le contenu téléchargé. Vous êtes responsable des données qui transitent par votre connexion… et allez prouver que ce n’était pas vous qui étiez connecté !

Il vous faut donc impérativement sécuriser votre réseau Wifi. Ce n’est pas compliqué dans l’absolu, mais c’est totalement inaccessible aux novices. Cet article a pour but d’expliquer un certain nombre de techniques pour renforcer la sécurité de votre réseau. Si vous suivez toutes ces instructions votre réseau sera très bien protégé pour un réseau domestique, la plupart des gens qui ont sécurisé leur réseau n’ayant pas mis en oeuvre le tiers de ces techniques.

Théorie et définitions

Je tiens à expliquer dans un premier temps quelles sont les principales techniques à mettre en oeuvre pour sécuriser un réseau Wifi, pour ensuite passer à une démonstration pratique. Les techniques sont exposées de la plus essentielle à la moins importante ; mais gardez quand même à l’esprit que chaque nouvelle technique mise en oeuvre renforce un peu plus la sécurité globale du réseau.


Protéger l'accès par un mot de passe et crypter les données en transit
La première technique à mettre en oeuvre est l’activation du cryptage automatique des données qui transitent par Wifi. Vous avez pour cela 2 protocoles de cryptage: WEP et WPA. Le WEP est relativement célèbre puisqu’il est actif sur la plupart des «Box» (LiveBox, FreeBox, etc…) vendues. Il est néanmoins totalement obsolète. Il n’arrêtera que quelqu’un qui n’y connait rien ; il ne m’arrête pas (en 10 minutes, c’est expédié). Pour vous en persuader, tapez «wep hacking» sur Google, et vous trouverez de nombreuses pages vous expliquant comment casser une protection WEP. Il faut donc utiliser le protocole WPA qui est beaucoup plus difficile (mais pas totalement impossible…) à hacker («hacker» signifie ici «faire tomber les sécurités»). De plus, le WEP nuit à la fiabilité du réseau et à sa portée, alors que ce n’est pas le cas pour le WPA.

Le cryptage WPA, comme le WEP, fonctionne sur un principe simple: un mot de passe automatiquement utilisé par le routeur pour crypter les données, et le même mot de passe utilisé par l’ordinateur pour les décrypter. Comme tout mot de passe, il ne doit pas pouvoir être trouvé d’après vos données personnelles. Ne mettez pas votre nom ou date de naissance… Le mot de passe doit également être assez long et alphanumérique (des chiffres et des lettres). Par exemple: kjsd8976dhs7ww4hpzx8bqj09dmH6d3b est un excellent mot de passe ;-)


Changer le nom du réseau
C’est ce qui m’a donné l’idée d’écrire cet article. Je me connecte souvent, en province, à un réseau appelé NETGEAR (nom par défaut donné par les routeurs de cette marque à tout nouveau réseau). Les Mac sous OS X gardent en mémoire les réseaux fréquemment utilisés et s’y connectent automatiquement. Mon réseau à Paris a été indisponible pendant les quelques secondes qu’a nécessité le redémarrage de mon routeur. J’ai eu le malheur d’allumer mon ordinateur pendant ce temps, et il s’est automatiquement connecté à un réseau du voisinage appelé NETGEAR. J’étais donc sur le réseau de mon voisin, sans même m’en être rendu compte.

D’où l’impératif suivant: changez le nom du réseau ! Le nom de votre chat conviendra parfaitement, si vous ne passez pas votre temps à lui courir après dans le jardin en hurlant son nom… ;)


Désactivez la diffusion SSID
Les routeurs sont paramétrés par défaut pour diffuser le nom de votre réseau, cela s’appelle la diffusion du SSID. Tout ordinateur Mac ou PC pourra alors sélectionner votre réseau dans la liste des réseaux disponibles et s’y connecter en entrant le mot de passe associé. Désactivez la diffusion du SSID. Le nom du réseau ne sera plus diffusé, et il faudra entrer manuellement son nom pour pouvoir s’y connecter. Pour entrer manuellement le nom, il faut déjà savoir que le réseau existe et, en plus, connaître son nom… c’est bête, mais imparable !

Il existe des logiciels qui permettent de repérer les réseaux qui ne diffusent pas leur SSID. Masquer son SSID est donc nécessaire, mais non suffisant : cela permet de réduire les risques, mais pas de se protéger contre une attaque ciblée.


Filtrez les adresses MAC
Chaque appareil doté de capacités Wifi possède une adresse MAC unique et immuable. L’adresse MAC, du type 00:0F:76:EB:83:D9, est l’empreinte digitale de votre matériel. Vous pouvez paramétrer votre routeur pour n’accepter que les connexions venant de certaines adresses MAC, et rejeter toutes les autres. Les LiveBox de Wanadoo sont configurées automatiquement pour mettre en oeuvre le filtrage des adresses MAC: quand vous mettez une LiveBox en mode «association», elle enregistre une nouvelle adresse MAC autorisée.

Le filtrage des adresses MAC constitue une protection supplémentaire nécessaire mais non suffisante. Il est en effet possible de récupérer l’adresse MAC d’un périphérique autorisé par le routeur, puis de se connecter en usurpant cette adresse (en utilisant un logiciel de virtualisation, par exemple).


Changer le mot de passe du logiciel d'administration
Vous accedez au logiciel d’administration de votre routeur depuis votre navigateur, en entrant un login (nom d’utilisateur) et un password (mot de passe). Par défaut, il s’agit souvent des couples {admin,admin} (pour les LiveBox par exemple) ou {admin,password} (pour les routeurs Netgear par exemple).

Imaginez la situation suivante: je tombe sur votre réseau Netgear qui s’appelle tout bêtement «NETGEAR» et qui n’a aucune protection. Je me connecte, j’accède à l’interface d’administration avec {admin,password}, je fais mes petites modifications et je change ce couple nom d’utilisateur / mot de passe. Vous perdez le contrôle de votre connexion: je peux désormais l’utiliser, mais pas vous. Changez donc impérativement le nom d’utilisateur et le mot de passe.


Réduction de la portée du réseau
Certaines bornes Wifi peuvent être paramétrées pour réduire leur champ d’action. C’est la protection la plus drastique, elle est même totale et définitive: s’il n’y a pas de couverture, il est impossible de se connecter au réseau. L’inconvénient est que vous ne pouvez pas savoir exactement quel est le rayon de couverture du réseau.


Serveur RADIUS
L’installation d’un réseau RADIUS est une technique de protection avancée (notamment utilisée sur le matériel CISCO). Cette technique étant destinée avant tout aux entreprises je n’en parlerai pas plus ici, mais vous savez au moins que ça existe.

En pratique

Pour ce cas d’école, je vais reproduire un schéma simple: une LiveBox connectée à la prise téléphonique et faisant office de modem ADSL. Une borde Airport connectée à la LiveBox et qui s’occupe du routage des données. Enfin, une autre borne Airport branchée à la chaîne hifi et à l’imprimante, et communiquant sans fil avec la première borne. Installer un tel réseau prendra approximativement 10 minutes.


Voici le schéma de ce réseau:
Réseau Wifi sécurisé

La première chose à faire est de désactiver le réseau Wifi sur la LiveBox (car elle fait tout mal… c’est un vrai désastre ce truc). Pour cela, tapez l’adresse http://192.168.1.1/ dans votre navigateur, puis identifiez vous. Vous accèderez à la page d’accueil du logiciel d’administration de la LiveBox. Cliquez sur Réseau sans fil dans le menu principal (1). Cliquez ensuite sur le bouton Désactiver qui se transformera en Activer immédiatement après cela (2). L’état de la diffusion Wifi de la LiveBox devrait maintenant être passé à désactivé (3).


Réseau Wifi sécurisé

Branchez la première borne Airport à la LiveBox par Ethernet (cable droit), en utilisant la prise rouge. Installez également la seconde borne Airport, qui ne sera pour l’instant connectée à aucun appareil. Lancez l’Utilitaire Admin Airport situé dans Application/Utilitaires sur Mac ou dans le menu démarrer de Windows, après installation des drivers fournis sur le CD allant avec la borne Airport. Vous devriez voir les deux bornes dans la liste, avec leurs noms d’origine: Base Station XXXX. Dans l’image ci-dessous, les noms originaux ont été changés.


Réseau Wifi sécurisé

Sélectionnez la borne branchée à la Livebox et paramétrez là ainsi:
(voir les images ci-contre, cliquer dessus pour agrandir)</p>
  • Borne d'accès: Nom: ce que vous voulez.
  • Borne d'accès: Modifier le mot de passe: entrez un mot de passe facile à retenir, ce n'est pas très important.
  • Réseau: Mode sans fil: Créer un réseau sans fil (routeur domestique)
  • Réseau: Nom: il s'agit du nom de votre réseau.
  • Réseau: Modifier sécurité sans fil: réglez ceci sur WPA2, et choisissez un mot de passe très complexe.
  • Réseau: Réseau fermé: cochez cette case pour ne pas diffuer le SSID.
  • Réseau: Options sans fil: pour paramétrer le portée de la borne.

Réseau Wifi sécurisé

Réseau Wifi sécurisé

Réseau Wifi sécurisé

Rendez vous ensuite sur l’onglet Accès et entrez les adresses MAC de vos différents ordinateurs comme montré dans l’image ci-dessous.



Réseau Wifi sécurisé

Pour finir, rendez vous sur l’onglet WDS, activez la borne en tant que borne principale, permettez l’accès aux clients sans fil et cliquez sur le bouton « + « pour ajouter automatiquement votre seconde borne Airport (dont le nom est donné dans la liste des bornes disponibles, voir ci-dessus). Validez en cliquant sur «Mettre à jour» pour que vos deux bornes Airport se configurent et redémarrent.



Réseau Wifi sécurisé

Votre réseau est prêt ! Il ne vous reste plus qu’à vous connecter.