Cela fait désormais un peu plus de 20 ans que le WIFI fait partie de notre quotidien. Son usage ne fait que croître pour des raisons assez évidentes. En effet, le WIFI est présent dans tous nos équipements aussi bien domestiques que professionnels. Les points d’accès sont également partout, à la maison, au bureau, au restaurant… Il vous permet de vous déplacer librement sans interruption de la connectivité et surtout vous pouvez vous connecter dans des zones dépourvues de câblage réseau. Tout cela, fait de la sécurité du WIFI en entreprise un enjeu non négligeable.
Puisque le déploiement d’un réseau WIFI est totalement pertinent dans les locaux peu ou pas du tout câblés, quid de sa sécurité ? Il faut en effet traiter différemment un réseau d’entreprise d’un réseau personnel, les conséquences d’une intrusion pouvant être désastreuses en entreprise.
Nous allons d’abord tenter de démêler le vrai du faux avec une série de questions/réponses et vous expliquerons comment faire pour avoir un réseau sécurisé.
WIFI : Les idées reçues
On peut capter mon WIFI en dehors de mes locaux.
VRAI, les pirates motivés utilisent des antennes directionnelles très sensibles qui permettent la réception à des dizaines, voire des centaines de mètres de votre point d’accès. Cependant ils vont capturer du trafic chiffré, c’est à dire une bouillie d’octets totalement inexploitable dans l’immédiat.
Il leur en faudra donc un peu plus pour porter atteinte à la sécurité de l’entreprise…
On peut découvrir facilement ma clé WIFI en écoutant mon réseau.
CA DÉPEND, l’écoute d’un réseau WIFI permet de capturer des paquets de données spécifiques que l’on pourra ensuite soumettre à un logiciel spécialisé dans le brute forcing. Il faut de solides connaissances en informatique, du matériel puissant et beaucoup de temps : ce n’est donc pas à la portée de tout le monde et ça a un coût !
Si votre clé est suffisamment longue et complexe il faudra des années pour la découvrir, MAIS s’il s’agit du prénom de votre enfant quelques heures suffiront…
JeanMichel49* c’est une super clé WIFI robuste.
FAUX, les hackers sont de fins psychologues et savent orienter en priorité leurs outils vers des structures bien connues :
- prénom + nombre + caractère spécial
- prénom + nombre + caractère spécial x2
- prénom de l’enfant + nombre + caractère spécial
- prénom de l’enfant + année de naissance + caractère spécial
- …
- Ça leur fait évidemment gagner beaucoup de temps dans leur travail (!), par contre si on mélange les caractères comme ceci hcai4ln9*MJee , il n’y a plus de structure identifiable et il faudra beaucoup (énormément) plus de temps pour découvrir la clé. Il est donc important de bien choisir votre mot de passe.
On a découvert ma clé WIFI, je suis foutu !!!
PAS ENCORE, ce n’est pas en découvrant votre clé WIFI qu’un attaquant va automatiquement prendre le contrôle de vos données. Avec une clé WIFI valide on obtient une présence dans votre réseau, il y a beaucoup d’autres étapes à franchir – et non des moindres – comme découvrir les identifiants de votre serveur de fichiers…
Bien évidemment, vous devez couper votre WIFI et remplacer votre clé au plus vite.
Il également important de prendre contact avec des professionnels compétents pour aider à évaluer le risque.
Il existe des moyens plus robustes qu’une clé pour se connecter.
VRAI, la norme WPA-2 Enterprise permet d’utiliser des identifiants (login, mot de passe) et/ou des certificats X.509 distincts pour chaque utilisateur. La gestion est ainsi plus fine car vous pouvez bloquer l’accès WIFI d’un utilisateur sans impacter les autres. Vous bénéficiez également d’une authentification mutuelle : le point d’accès vérifie votre identité (comme d’habitude) mais vous vérifiez également l’identité du point d’accès. Vous êtes alors certain d’être connecté à votre point d’accès (et pas à celui d’un pirate).
Voilà un petit schéma, très simplifié, du fonctionnement du WPA-2Enterprise :
La mise en œuvre de ces techniques nécessitera l’intervention d’informaticiens expérimentés et vous devrez acquérir de l’équipement WIFI professionnel, le matériel d’entrée de gamme (dont les box des opérateurs) n’étant généralement pas compatible avec WPA-2 Enterprise.
Comsapik vous accompagne aussi bien sur le paramétrage que l’achat de vos équipements.
Il n’y a pas de risque à connecter mon smartphone au WIFI de mon entreprise.
FAUX, Il ne faut pas considérer un smartphone comme un équipement fiable. Les stores applicatifs (Google Play, Apple App Store) regorgent de logiciels embarquant du code malveillant, certains constructeurs peuvent aussi intégrer directement des mouchards dans leur produits…
De plus de nos jours les forfaits 4G/5G sont plutôt bien pourvus en Go, vous n’avez pas d’excuses pour vous connecter au réseau de l’entreprise !
Le WIFI invités n’est pas fiable
FAUX, le WIFI invités est totalement isolé du réseau WIFI principal de votre entreprise, il donnera uniquement accès à internet , ce qui peut s’avérer très pratique pour vos visiteurs (clients, prospects, sous-traitants…). Les ressources informatiques de l’entreprise (serveurs, ordinateurs, imprimantes…) sont totalement inaccessibles aux visiteurs.
Néanmoins, cela ne dispense pas d’utiliser une clé robuste et d’en changer régulièrement !
Conseils pour sécuriser votre WIFI d’entreprise
Une clé WIFI forte et renouvelée périodiquement
Une astuce pour savoir si une clé est robuste : Fixez la avec vos yeux pendant quelques secondes si vous avez réussi à la mémoriser c’est qu’elle est faible !
- Pas robuste : JeanMichel49*
- Robuste : e48247fe6e308724644d026f3c1bb309
Votre clé ne doit pas être réutilisée pour d’autres applications.
En remplaçant votre clé (une fois par an c’est un bon début) vous vous assurez que plus personne ne puisse se connecter sans connaître la nouvelle, vous éliminez d’un coup les anciens appareils, les anciens collaborateurs et les pirates.
Cette recommandation est également valable pour le WIFI invités.
Limitez la diffusion de la clé aux porteurs d’équipements autorisés
Elle doit être uniquement communiquée aux utilisateurs qui ont du matériel WIFI fourni par l’entreprise, il n’est pas recommandé de l’imprimer sur une feuille volante ou de l’envoyer par e-mail.
Ne connectez pas de smartphones, ni d’ordinateurs externes dont le contenu n’est pas maitrisé, le WIFI invités est prévu pour cela.
Utilisez un point d’accès WIFI indépendant
Utiliser un matériel dédié vous permettra des réglages plus fins notamment en matière de sécurité, de plus vous n’êtes plus dépendants de la box de votre fournisseur d’accès à internet (vous pourrez changer de FAI plus facilement).
Coupez le WIFI les soirs et week-ends
On ne peut pas pirater un réseau qui ne diffuse rien ! Vous avez peut-être sur votre point d’accès (ou box) un bouton ou un planificateur qui vous permettra de couper le WIFI pendant les périodes ou il n’y a pas de personnel.
C’est certainement l’un des points les plus simples à mettre en œuvre pour sécuriser votre WIFI d’entreprise.
Déployez la sécurité WPA-2 Enterprise
Avec cette méthode, vous boostez votre niveau de sécurité tout en conservant un fonctionnement simple pour les utilisateurs, vous authentifiez et autorisez (ou pas) les utilisateurs et leur matériel à se connecter à vos réseaux, la gestion des accès est beaucoup plus fine.
La mise en œuvre est plus complexe et s’adresse plutôt à des structures de 20 employés et + ou bien aux entreprises gérant des données plutôt confidentielles. Malgré la complexité, cela reste toujours moins couteux que de faire passer 20 câbles dans vos murs !
Vous l’aurez compris, la sécurité du WIFI en entreprise est un subtil mélange de paramétrages, de choix de matériel et de bon sens ! Mais le mieux est encore de vous faire accompagner par un professionnel qui saura vous accompagner sur la solution la plus adaptée à vos besoins. Alors, contactez-nous.
