Sécurité réseau wifi - clusir drôme ardèche - mars 2012
1. 7 mars 2012
SECURITE & RESEAUX WIFI
Cette action est financée par :
2. Plan
Les réseaux wifi
• Contexte
• Fonctionnement
Evaluations des risques et mesures de sécurité
• Analyse et gestion des risques
• Les différentes attaques
• Etude de cas, évaluation des risques
• Connexion lors d’un déplacement professionnel et
personnel
• Organisation qui fournit un accès wifi à ses
collaborateurs
• Entreprise qui fournit un accès public (hotspot)
Comment sécuriser son réseau wifi ?
Clusir – 7 mars 2012 – wifi & sécurité
3. Contexte
Des usages de plus en plus massifs
Le temps de connexion Internet mobile devrait rapidement
dépasser celui du temps de connexion internet fixe
Clientèle, visiteurs ou partenaires étrangers
coûts de connexion à l’internet mobile -> wifi public
Une facilité de déploiement
Coût relativement faible
Besoins d’accès temporaires: salons..
Débit intéressant / 3G
Clusir – 7 mars 2012 – wifi & sécurité
4. Contexte (étude
Credoc)
15% de la population française s’est
connectée à Internet dans un lieu public
en 2011 par du matériel mis à % population connectée dans lieu public avec ordi
disposition, soit près de 10 millions de portable ou tablette
14%
personnes ! (cybercafés, epn,
bibliothèque etc…) 12%
10%
Principaux utilisateurs: 8%
Jeunes (37% des 18-24 ans) 6%
4%
faibles revenus (24% des 2%
foyers <900 € / mois) 0%
2005 2006 2007 2008 2009 2010 2011
cadres (28%)
13% de la population s’est connectée
à Internet dans un lieu public avec son
matériel (hotspot wifi).
32% des cadres supérieurs
Hausse de toutes les couches de
la population Clusir – 7 mars 2012 – wifi & sécurité
5. Contexte (étude
Credoc)
37% des cadres
Clusir – 7 mars 2012 – wifi & sécurité
6. Fonctionnement
Réseaux sans fils: Wireless Local Area Network (Wlan)
Système de communication sans les contraintes du câblage
Norme IEEE 802.11g
débit théorique maximal de 54
Mbps, 25 Mbps réel
14 canaux de transmission sur la
fréquence 2,4 Ghz
portée de 10 à 100m selon matériel
utilisé et environnement
Clusir – 7 mars 2012 – wifi & sécurité
7. Fonctionnement
Architecture cellulaire où chaque
cellule appelée BSS (Basic Service
Set) est contrôlée par un AP (Access
Point) ou point d'accès, le tout
formant un réseau appelé ESS
(Extended Service Set)
Des points d’accès wifi pour
diffuser et gérer les interconnexions
Des cartes ou clés wifi pour se
connecter aux points d’accès
Des antennes ou amplificateurs
pour augmenter
Clusir – 7 mars 2012 – wifi & sécurité
9. Evaluation du risque
Risques = Menaces * Vulnérabilités * Impacts
Menaces : les attaques des réseaux wifi & intrusions sur
le SI
Vulnérabilités : faiblesses ou failles
humaines, techniques, organisationnelles
Impacts : les dommages causés et conséquences
Clusir – 7 mars 2012 – wifi & sécurité
10. Les attaques : Faux AP
Simuler un point d’accès existant
Clusir – 7 mars 2012 – wifi & sécurité
11. Les attaques : Rogue AP
Rogue AP (défaut de sécurisation du Hotspot)
Clusir – 7 mars 2012 – wifi & sécurité
12. Les attaques : l’écoute
passive
Absence de chiffrement ou faille de sécurité
Ecoute passive
Clusir – 7 mars 2012 – wifi & sécurité
13. Cas n 1 : Connexion lors
d’un déplacement
Menaces :
• Intrusion SI
Vulnérabilité :
• Faux point d’accès
• Défaut de sécurisation des hotspots wifi
• Défaut de sécurisation du terminal
• Manque de vigilance ou défaut de formation
Impact :
• Vol ou perte de données confidentielles (informations
confidentielles, commerciales, savoir faire)
Clusir – 7 mars 2012 – wifi & sécurité
14. Cas n 2 : Accès internet dans
une entreprise
Offrir un accès public dans son entreprise pour :
• Offrir un service de connectivité à ses
clients, fournisseurs, partenaires
• Connexion à leur entreprise de rattachement
• Connexion à des services ou sites webs
• Renforcer l’image de l’entreprise (dynamique et connectée)
Clusir – 7 mars 2012 – wifi & sécurité
15. Cas n 2 : Accès internet dans
une entreprise
Menaces :
• Intrusion sur le SI, Interruption de service (brouillage), utilisation
frauduleuse de la connexion
Vulnérabilités :
• Accès aux documents et informations confidentielles depuis le
réseau WIFI
• Accès depuis l’extérieur des murs de l’entreprise
• Failles de sécurité
Impacts :
• Vol ou perte de données confidentielles (informations
confidentielles, commerciales, savoir faire)
Clusir – 7 mars 2012 – wifi & sécurité
16. Cas n 3 : Fourniture d’un
accès public (hotspot wifi)
Contextes et usages:
• Un service de différenciation (avantage concurrentiel) de plus en plus
demandé. Elément quasi intégré au métier.
• Gares, hôtels, offices de tourisme, campings
Utilisateurs:
• Personnes de passage
• Clients
Différents modèles :
accès gratuits et/ou payants
Accès ouvert, sur identification, sur tickets de connexion, sur paiement
services différenciés et personnalisés
différents modes de paiement (cartes, paiements en ligne...)
différents modèles économiques
Clusir – 7 mars 2012 – wifi & sécurité
17. Cas n 3 : Fourniture d’un
accès public
Menaces :
• Intrusion sur le SI de l’entreprise
• Utilisation de la connexion internet à des fins frauduleuses ou
inadaptées (téléchargement illégal, terrorisme…)
Vulnérabilité :
• Cadre légal (LCEN, loi anti-terroriste, Hadopi, Code des Postes et
des Communications Electroniques, Loi Informatique et libertés)
• Responsabilité du fournisseur d’accès
Impact :
• Vol ou perte de données confidentielles (informations
confidentielles, commerciales, savoir faire)
• Poursuites judiciaires
• Compromission de l’image de l’entreprise
Clusir – 7 mars 2012 – wifi & sécurité
18. Cas n 3 : Fourniture d’un
accès public
Questions juridiques
L’entreprise qui met à disposition un hotspot wifi est-elle Fournisseur
d’Accès Internet – Opérateur de Communication Electronique?
Doit-elle bloquer les accès aux sites pédophiles, négationnistes et
racistes?
Doit elle pouvoir bloquer l’accès à certains sites si injonction juridique de
le faire?
Cela concerne-t-il les salariés, les visiteurs?
Quelles obligations légales?
Question principale: qui est responsable de l’utilisation frauduleuse des accès
hotspots wifi?
Clusir – 7 mars 2012 – wifi & sécurité
19. Cas n 3 : Fourniture d’un
accès public
Flou juridique sur statut de l’entreprise
Loi Confiance Economique Numérique 2004:
Entreprises dont l’activité est d’offrir un accès à des services de communication
au public en ligne => pas opérateur
Code des Postes et Communications Electroniques
Entreprises exploitant un réseau de communications électroniques ouvert au
public ou fournissant au public un service de communication électronique
=>opérateur
Arcep
Entreprise dont ce n’est pas l’activité mais qui ouvre ses réseaux internes au
public dans un domaine privé sans empiéter sur le domaine public => pas
opérateur
CNIL
Cela ne concerne pas l’ouverture d’accès des entreprises à leurs salariés. Mais
les visiteurs?
Clusir – 7 mars 2012 – wifi & sécurité
20. Cas n 3 : Fourniture d’un
accès public
Flou juridique sur données à conserver
Loi hadopi
L’entreprise doit conservée de façon nominative les coordonnées des
utilisateurs
Cnil
Pas besoin de nominatif
Clusir – 7 mars 2012 – wifi & sécurité
21. Cas n 3 : Fourniture d’un
accès public
Sécurisation réglementaire:
Selon la Loi sur la Confiance dans l’Economie Numérique,
« Est opérateur de réseau public, toute entreprise ou personne qui
fournit un accès à un réseau de communications électroniques »
ouvert au public,
accessible via un réseau filaire ou hertzien (hotspot wifi)
et ce sans distinction de mode de connexion (ouverte, identifiée)
Clusir – 7 mars 2012 – wifi & sécurité
22. Cas n 3 : Fourniture d’un
accès public
Quelles obligations?
1 - le respect de la règlementation concernant l’émission d’ondes
d’une borne wifi
Fréquence des ondes:
plus la fréquence des ondes est basse, plus elle peut avoir un
impact négatif.
Fréquence > 2450 Mhz. Pour mémoire: radio Fm environ 100
Mhz et Gsm environ 1500 Mhz.
Puissance des ondes:
< 0.1 Watt. Pour mémoire, Gsm = 2 watt
Distance: à partir de 50 centimètres de la borne, la puissance
est divisée par 10
Clusir – 7 mars 2012 – wifi & sécurité
23. Cas n 3 : Fourniture d’un
accès public LCEN 2004
2 – la conservation des données techniques issues des utilisateurs connectés
à son réseau public:
informations permettant l’identification de l’utilisateur (adresse IP, numéro
de téléphone…)
Les informations des terminaux de connexion utilisés
Les dates, heures et durées de chaque communication
Des services complémentaires utilisés ainsi que leurs fournisseurs
Les informations qui permettent d’identifier le ou les destinataires de la
communication (spécialement pour les activités de téléphonie)
Des données sur la localisation de la communication
Durée de conservation: 1 an
Obligation de tenir à la disposition des autorités judiciaires (gendarmerie et
police) ces données dans le cadre de procédures judiciaires (enquête
préliminaire, instructions, réquisitions contre terrorisme…)
Clusir – 7 mars 2012 – wifi & sécurité
24. Cas n 3 : Fourniture d’un
accès public
Exclusions
Les contenus des connexions et des communications échangées ou les
informations consultées (sms, objet et contenu d’un mail…)
l’identité nominative des utilisateurs
CNIL
Pas d’obligation de déclaration des informations techniques collectées
Si formulaire d’identification des utilisateurs, obligation de déclaration (et
d’accord préalable des utilisateurs)
Clusir – 7 mars 2012 – wifi & sécurité
25. Cas n 3 : Fourniture d’un
accès public
Fournitures de Conditions Générales d’Utilisation:
Préciser aux utilisateurs de votre réseau que votre entreprise n’est
pas tenue responsable des actions qu’ils peuvent réaliser
Informer les utilisateurs de l’existence de moyens techniques
permettant de tracer et de restreindre les accès à certains services
Ne pas laisser de moyen de stockage sur les postes libre service, ni
de transfert direct sur support externe
Clusir – 7 mars 2012 – wifi & sécurité
27. Filtrage des @Mac
@MAC = identifiant Matériel d’une carte réseau (12 caractères)
Le filtrage des adresses MAC = autorisation des machines légitimes
Possibilité de changer l’adresse MAC d’une carte de manière
logicielle
Faible niveau de sécurité
Inadaptable pour un hotspot public
Clusir – 7 mars 2012 – wifi & sécurité
28. Masquer le SSID
SSID = nom du réseau sans fil
Existante du réseau non divulguée
Paramétrage des équipements fastidieux (Saisie des paramètres
manuellement)
Faible niveau de sécurité (monitoring)
Inadapté à un hotspot ou à un accès aux collaborateurs dans
une entreprise
Clusir – 7 mars 2012 – wifi & sécurité
29. Le chiffrement des
échanges
Sécurité Chiffrement Authentificati Mise en Vulnérabilité
on œuvre
WEP Clé partagée Faille
protocole
(cryptographie
)
WPA TKIP PSK Clé partagée Attaque Dico
Personnal Force Brute
WPA2 CCMP PSK Clé partagée
Personnal (extension
AES)
WPA TKIP EAP Serveur
Entreprise d’authentificati
on dédié
(RADIUS)
WPA2 CCMP EAP Serveur
Entreprise (extension d’authentificati
AES) on dédié
(RADIUS)
Clusir – 7 mars 2012 – wifi & sécurité
30. Serveur d’authentification
(RADIUS)
Fonctionnalité du serveur RADIUS
• Distribuer les clés WPA2 (renouvelée régulièrement, attribué à
chaque utilisateur)
• Identifier les personnes qui veulent se connecter (log)
• Autoriser l’accès au réseau
Clusir – 7 mars 2012 – wifi & sécurité
31. Séparer WIFI / filaire
Aucune interaction entre l’infrastructure wifi publique et celle de
l’entreprise
L’accès aux données est possible uniquement sur le réseau câblé
Infrastructure réseau dédiée ou séparation (pare-feu, Vlan invité)
Ou pare-feu pour isoler le réseau wifi du réseau câblé.
Clusir – 7 mars 2012 – wifi & sécurité
32. Utiliser un VPN
Tunnel crypté (IPsec ou PPTP)
Chiffrement au dessus du réseau sans fil
Serveur VPN et client sur les terminaux
Niveau de sécurité fort
Inapplicable à un hotspot public
Clusir – 7 mars 2012 – wifi & sécurité
33. Protéger l’AP
Vérifier que le compte administrateur et le mot de passe par défaut
ont été modifiés
Ne pas mémoriser le mot de passe de la console d’administration du
routeur dans l’interface du navigateur
Ne pas laisser l’étiquette avec le code wep / wpa collé sur l’AP
Désactiver les services disponibles non utilisés (telnet)
Clusir – 7 mars 2012 – wifi & sécurité
34. MERCI DE VOTRE ATTENTION
Toutes les questions sont les
bienvenues !
Xavier MASCLAUX Jean-Philippe FALAVEL
xmasclaux@pole-numerique.fr jpfalavel@pole-numerique.fr
06.10.64.13.53 – 04 75 83 50 58 06 34 55 49 90– 04 75 83 50 58
35. Cette création est mise à disposition selon le Contrat Attribution-NonCommercial 2.0 France
disponible en ligne http://creativecommons.org/licenses/by-nc/2.0/fr/ ou par courrier postal à
Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA.
En citant « Source Pôle Numérique » pour toutes reprises intégrales
ou « Librement inspiré des travaux du Pôle Numérique » en cas de modification