Recommandations de sécurité relatives aux réseaux WiFi

Ce document rédigé par l’ANSSI présente les « Recommandations de sécurité relatives aux réseaux WiFi ». Il est téléchargeable sur le site www.ssi.gouv.fr. Il constitue une produc- tion originale de l’ANSSI. Il est à ce titre placé sous le régime de la « Licence ouverte » publiée par la mission Etalab (www.etalab.gouv.fr). Il est par conséquent diffusable sans restriction.

Le développement des objets communiquants et leur usage quotidien sont aujourd’hui à l’origine de l’omniprésence des réseaux sans-fil WiFi, tant chez les particuliers que dans le monde professionnel. Ces réseaux permettent de connecter tout type de matériel (ordinateurs portables, téléphones mobiles, consoles de jeux, télévisions, équipements électroménagers, automates industriels, etc.) à des réseaux privés ainsi qu’au réseau public Internet. Le WiFi est largement utilisé au sein des réseaux domestiques (par les modems routeurs Internet et autres "Box"), mais également dans le monde professionnel pour la commodité d’accès au réseau interne de l’entreprise, ainsi que pour s’épargner le coût d’une infrastructure filaire.

Ces réseaux WiFi sont toutefois souvent vulnérables, et utilisables par des personnes malveillantes afin d’intercepter des données sensibles (informations personnelles, codes de cartes de paiement, don- nées entreprise etc.). Début 2013, près de la moitié des réseaux WiFi n’utilisent aucun moyen de chiffrement ou utilisent un moyen de chiffrement obsolète. Force est de constater que la problématique de sécurisation des réseaux sans-fil n’est pas toujours bien appréhendée et que les risques encourus restent souvent méconnus. Pourtant, quel que soit l’usage envisagé, et si l’équipement utilisé n’est pas trop ancien, il est souvent possible de procéder assez simplement à un paramétrage robuste et sécurisé d’une borne WiFi. Plusieurs aspects de configuration sont à prendre en compte. L’objet de ce document est donc de guider le lecteur dans le choix des meilleurs paramètres pour la bonne sécurisation d’un réseau WiFi. Le particulier non averti y trouvera des recommandations simples à appliquer pour la mise en place d’un réseau WiFi personnel, tandis que l’administrateur réseau en entreprise y trouvera des informations et recommandations complémentaires applicables à un système d’information.

Les risques de sécurité associés au WiFi

La compromission d’un réseau sans-fil donne accès à l’ensemble des flux réseaux qui y sont échangés, ce qui inclut bien évidemment les données sensibles. Or, l’interception des flux peut être réalisée assez simplement. De par la multitude d’outils prévus à cet effet et disponibles librement, elle ne nécessite souvent aucune connaissance particulière.

L’accès illégitime à un réseau WiFi par une personne malveillante lui confère une situation privilé- giée lui permettant de s’attaquer plus facilement à d’autres ressources du système d’information (postes de travail, serveurs, équipements réseaux) et indirectement d’accéder à d’autres données sensibles.

Par manque de robustesse, les mécanismes cryptographiques intrinsèques aux réseaux WiFi n’ap- portent parfois qu’une fausse impression. Fin 2012, les principaux profils de sécurité sont, par ordre d’apparition :
 le WEP, dont la clé (mot de passe d’accès) est cassable en moins d’une minute ;
 le WPA, de robustesse variable en fonction du paramétrage utilisé ;
 le WPA2, particulièrement robuste ;
 et plus récemment le WPS qui simplifie l’authentification d’un terminal sur un réseau WPA2 (par code PIN par exemple) mais ré-introduit une vulnérabilité importante qui en réduit fortement le niveau de sécurité.