7 mars 2012 SECURITE & RESEAUX WIFI Cette action est financée par :
Dec 22, 2014
7 mars 2012
SECURITE & RESEAUX WIFI
Cette action est financée par :
Clusir – 7 mars 2012 – wifi & sécurité
Plan
Les réseaux wifi
• Contexte
• Fonctionnement
Evaluations des risques et mesures de sécurité
• Analyse et gestion des risques
• Les différentes attaques
• Etude de cas, évaluation des risques
• Connexion lors d’un déplacement professionnel et personnel
• Organisation qui fournit un accès wifi à ses collaborateurs
• Entreprise qui fournit un accès public (hotspot)
Comment sécuriser son réseau wifi ?
Clusir – 7 mars 2012 – wifi & sécurité
Contexte
Des usages de plus en plus massifs
Le temps de connexion Internet mobile devrait rapidement dépasser celui du temps de connexion internet fixe
Clientèle, visiteurs ou partenaires étrangers
coûts de connexion à l’internet mobile -> wifi public
Une facilité de déploiement
Coût relativement faible
Besoins d’accès temporaires: salons..
Débit intéressant / 3G
Clusir – 7 mars 2012 – wifi & sécurité
Contexte (étude Credoc)
15% de la population française s’est connectée à Internet dans un lieu public en 2011 par du matériel mis à disposition, soit près de 10 millions de personnes ! (cybercafés, epn, bibliothèque etc…)
Principaux utilisateurs:
Jeunes (37% des 18-24 ans)
faibles revenus (24% des foyers <900 € / mois)
cadres (28%)
13% de la population s’est connectée à Internet dans un lieu public avec son matériel (hotspot wifi).
32% des cadres supérieurs
Hausse de toutes les couches de la population
2005 2006 2007 2008 2009 2010 20110%
2%
4%
6%
8%
10%
12%
14%
% population connectée dans lieu public avec ordi por-table ou tablette
Clusir – 7 mars 2012 – wifi & sécurité
37% des cadres
Contexte (étude Credoc)
Clusir – 7 mars 2012 – wifi & sécurité
Fonctionnement
Réseaux sans fils: Wireless Local Area Network (Wlan)
Système de communication sans les contraintes du câblage
Norme IEEE 802.11g
débit théorique maximal de 54 Mbps, 25 Mbps réel
14 canaux de transmission sur la fréquence 2,4 Ghz
portée de 10 à 100m selon matériel utilisé et environnement
Clusir – 7 mars 2012 – wifi & sécurité
Fonctionnement
Architecture cellulaire où chaque cellule appelée BSS (Basic Service Set) est contrôlée par un AP (Access Point) ou point d'accès, le tout formant un réseau appelé ESS (Extended Service Set)
Des points d’accès wifi pour diffuser et gérer les interconnexions
Des cartes ou clés wifi pour se connecter aux points d’accès
Des antennes ou amplificateurs pour augmenter
Clusir – 7 mars 2012 – wifi & sécurité
Fonctionnement
Clusir – 7 mars 2012 – wifi & sécurité
Evaluation du risque
Risques = Menaces * Vulnérabilités * Impacts
Menaces : les attaques des réseaux wifi & intrusions sur le SI
Vulnérabilités : faiblesses ou failles humaines, techniques, organisationnelles
Impacts : les dommages causés et conséquences
Clusir – 7 mars 2012 – wifi & sécurité
Les attaques : Faux AP
Simuler un point d’accès existant
Clusir – 7 mars 2012 – wifi & sécurité
Les attaques : Rogue AP
Rogue AP (défaut de sécurisation du Hotspot)
Clusir – 7 mars 2012 – wifi & sécurité
Les attaques : l’écoute passive
Ecoute passive
Absence de chiffrement ou faille de sécurité
Clusir – 7 mars 2012 – wifi & sécurité
Cas n°1 : Connexion lors d’un déplacement
Menaces :
• Intrusion SI
Vulnérabilité :
• Faux point d’accès
• Défaut de sécurisation des hotspots wifi
• Défaut de sécurisation du terminal
• Manque de vigilance ou défaut de formation
Impact :
• Vol ou perte de données confidentielles (informations confidentielles, commerciales, savoir faire)
Clusir – 7 mars 2012 – wifi & sécurité
Cas n°2 : Accès internet dans une entreprise
Offrir un accès public dans son entreprise pour :
• Offrir un service de connectivité à ses clients, fournisseurs, partenaires
• Connexion à leur entreprise de rattachement
• Connexion à des services ou sites webs
• Renforcer l’image de l’entreprise (dynamique et connectée)
Clusir – 7 mars 2012 – wifi & sécurité
Cas n°2 : Accès internet dans une entreprise
Menaces :
• Intrusion sur le SI, Interruption de service (brouillage), utilisation frauduleuse de la connexion
Vulnérabilités :
• Accès aux documents et informations confidentielles depuis le réseau WIFI
• Accès depuis l’extérieur des murs de l’entreprise
• Failles de sécurité
Impacts :
• Vol ou perte de données confidentielles (informations confidentielles, commerciales, savoir faire)
Clusir – 7 mars 2012 – wifi & sécurité
Cas n°3 : Fourniture d’un accès public (hotspot wifi)
Contextes et usages:
• Un service de différenciation (avantage concurrentiel) de plus en plus demandé. Elément quasi intégré au métier.
• Gares, hôtels, offices de tourisme, campings
Utilisateurs:
• Personnes de passage
• Clients
Différents modèles :
accès gratuits et/ou payants
Accès ouvert, sur identification, sur tickets de connexion, sur paiement
services différenciés et personnalisés
différents modes de paiement (cartes, paiements en ligne...)
différents modèles économiques
Clusir – 7 mars 2012 – wifi & sécurité
Cas n°3 : Fourniture d’un accès public
Menaces :
• Intrusion sur le SI de l’entreprise
• Utilisation de la connexion internet à des fins frauduleuses ou inadaptées (téléchargement illégal, terrorisme…)
Vulnérabilité :
• Cadre légal (LCEN, loi anti-terroriste, Hadopi, Code des Postes et des Communications Electroniques, Loi Informatique et libertés)
• Responsabilité du fournisseur d’accès
Impact :
• Vol ou perte de données confidentielles (informations confidentielles, commerciales, savoir faire)
• Poursuites judiciaires
• Compromission de l’image de l’entreprise
Clusir – 7 mars 2012 – wifi & sécurité
Cas n°3 : Fourniture d’un accès public
Questions juridiques
L’entreprise qui met à disposition un hotspot wifi est-elle Fournisseur d’Accès Internet – Opérateur de Communication Electronique?
Doit-elle bloquer les accès aux sites pédophiles, négationnistes et racistes?
Doit elle pouvoir bloquer l’accès à certains sites si injonction juridique de le faire?
Cela concerne-t-il les salariés, les visiteurs?
Quelles obligations légales?
Question principale: qui est responsable de l’utilisation frauduleuse des accès hotspots wifi?
Clusir – 7 mars 2012 – wifi & sécurité
Cas n°3 : Fourniture d’un accès public
Flou juridique sur statut de l’entreprise
Loi Confiance Economique Numérique 2004:
Entreprises dont l’activité est d’offrir un accès à des services de communication au public en ligne => pas opérateur
Code des Postes et Communications Electroniques
Entreprises exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communication électronique =>opérateur
Arcep
Entreprise dont ce n’est pas l’activité mais qui ouvre ses réseaux internes au public dans un domaine privé sans empiéter sur le domaine public => pas opérateur
CNIL
Cela ne concerne pas l’ouverture d’accès des entreprises à leurs salariés. Mais les visiteurs?
Clusir – 7 mars 2012 – wifi & sécurité
Cas n°3 : Fourniture d’un accès public
Flou juridique sur données à conserver
Loi hadopi
L’entreprise doit conservée de façon nominative les coordonnées des utilisateurs
Cnil
Pas besoin de nominatif
Clusir – 7 mars 2012 – wifi & sécurité
Sécurisation réglementaire:
Selon la Loi sur la Confiance dans l’Economie Numérique,
« Est opérateur de réseau public, toute entreprise ou personne qui fournit un accès à un réseau de communications électroniques »
ouvert au public,
accessible via un réseau filaire ou hertzien (hotspot wifi)
et ce sans distinction de mode de connexion (ouverte, identifiée)
Cas n°3 : Fourniture d’un accès public
Clusir – 7 mars 2012 – wifi & sécurité
Quelles obligations?
1 - le respect de la règlementation concernant l’émission d’ondes d’une borne wifi
Fréquence des ondes:
plus la fréquence des ondes est basse, plus elle peut avoir un impact négatif.
Fréquence > 2450 Mhz. Pour mémoire: radio Fm environ 100 Mhz et Gsm environ 1500 Mhz.
Puissance des ondes:
< 0.1 Watt. Pour mémoire, Gsm = 2 watt
Distance: à partir de 50 centimètres de la borne, la puissance est divisée par 10
Cas n°3 : Fourniture d’un accès public
Clusir – 7 mars 2012 – wifi & sécurité
2 – la conservation des données techniques issues des utilisateurs connectés à son réseau public:
informations permettant l’identification de l’utilisateur (adresse IP, numéro de téléphone…)
Les informations des terminaux de connexion utilisés
Les dates, heures et durées de chaque communication
Des services complémentaires utilisés ainsi que leurs fournisseurs
Les informations qui permettent d’identifier le ou les destinataires de la communication (spécialement pour les activités de téléphonie)
Des données sur la localisation de la communication
Durée de conservation: 1 an
Obligation de tenir à la disposition des autorités judiciaires (gendarmerie et police) ces données dans le cadre de procédures judiciaires (enquête préliminaire, instructions, réquisitions contre terrorisme…)
Cas n°3 : Fourniture d’un accès public
LCEN 2004
Clusir – 7 mars 2012 – wifi & sécurité
Exclusions
Les contenus des connexions et des communications échangées ou les informations consultées (sms, objet et contenu d’un mail…)
l’identité nominative des utilisateurs
CNIL
Pas d’obligation de déclaration des informations techniques collectées
Si formulaire d’identification des utilisateurs, obligation de déclaration (et d’accord préalable des utilisateurs)
Cas n°3 : Fourniture d’un accès public
Clusir – 7 mars 2012 – wifi & sécurité
Cas n°3 : Fourniture d’un accès public
Fournitures de Conditions Générales d’Utilisation:
Préciser aux utilisateurs de votre réseau que votre entreprise n’est pas tenue responsable des actions qu’ils peuvent réaliser
Informer les utilisateurs de l’existence de moyens techniques permettant de tracer et de restreindre les accès à certains services
Ne pas laisser de moyen de stockage sur les postes libre service, ni de transfert direct sur support externe
Clusir – 7 mars 2012 – wifi & sécurité
SECURISATION D’UN RESEAU WIFI
Clusir – 7 mars 2012 – wifi & sécurité
Filtrage des @Mac
@MAC = identifiant Matériel d’une carte réseau (12 caractères)
Le filtrage des adresses MAC = autorisation des machines légitimes
Possibilité de changer l’adresse MAC d’une carte de manière logicielle
Faible niveau de sécurité
Inadaptable pour un hotspot public
Clusir – 7 mars 2012 – wifi & sécurité
Masquer le SSID
SSID = nom du réseau sans fil
Existante du réseau non divulguée
Paramétrage des équipements fastidieux (Saisie des paramètres manuellement)
Faible niveau de sécurité (monitoring)
Inadapté à un hotspot ou à un accès aux collaborateurs dans une entreprise
Clusir – 7 mars 2012 – wifi & sécurité
Le chiffrement des échanges
Sécurité Chiffrement Authentification
Mise en œuvre
Vulnérabilité
WEP Clé partagée Faille protocole (cryptographie)
WPA Personnal
TKIP PSK Clé partagée Attaque Dico Force Brute
WPA2Personnal
CCMP (extension AES)
PSK Clé partagée
WPAEntreprise
TKIP EAP Serveur d’authentification dédié (RADIUS)
WPA2Entreprise
CCMP (extension AES)
EAP Serveur d’authentification dédié (RADIUS)
Clusir – 7 mars 2012 – wifi & sécurité
Serveur d’authentification (RADIUS)
Fonctionnalité du serveur RADIUS
• Distribuer les clés WPA2 (renouvelée régulièrement, attribué à chaque utilisateur)
• Identifier les personnes qui veulent se connecter (log)
• Autoriser l’accès au réseau
Clusir – 7 mars 2012 – wifi & sécurité
Séparer WIFI / filaire
Aucune interaction entre l’infrastructure wifi publique et celle de l’entreprise
L’accès aux données est possible uniquement sur le réseau câblé
Infrastructure réseau dédiée ou séparation (pare-feu, Vlan invité)
Ou pare-feu pour isoler le réseau wifi du réseau câblé.
Clusir – 7 mars 2012 – wifi & sécurité
Utiliser un VPN
Tunnel crypté (IPsec ou PPTP)
Chiffrement au dessus du réseau sans fil
Serveur VPN et client sur les terminaux
Niveau de sécurité fort
Inapplicable à un hotspot public
Clusir – 7 mars 2012 – wifi & sécurité
Protéger l’AP
Vérifier que le compte administrateur et le mot de passe par défaut ont été modifiés
Ne pas mémoriser le mot de passe de la console d’administration du routeur dans l’interface du navigateur
Ne pas laisser l’étiquette avec le code wep / wpa collé sur l’AP
Désactiver les services disponibles non utilisés (telnet)
Jean-Philippe [email protected]
06 34 55 49 90– 04 75 83 50 58
MERCI DE VOTRE ATTENTION
Toutes les questions sont les bienvenues !
Xavier [email protected]
06.10.64.13.53 – 04 75 83 50 58
Cette création est mise à disposition selon le Contrat Attribution-NonCommercial 2.0 France disponible en ligne http://creativecommons.org/licenses/by-nc/2.0/fr/ ou par courrier postal à Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA.
En citant « Source Pôle Numérique » pour toutes reprises intégralesou « Librement inspiré des travaux du Pôle Numérique » en cas de modification