Sécurité réseau wifi - clusir drôme ardèche - mars 2012

7 mars 2012

SECURITE & RESEAUX WIFI

Cette action est financée par :

Clusir – 7 mars 2012 – wifi & sécurité

Plan

Les réseaux wifi

• Contexte

• Fonctionnement

Evaluations des risques et mesures de sécurité

• Analyse et gestion des risques

• Les différentes attaques

• Etude de cas, évaluation des risques

• Connexion lors d’un déplacement professionnel et personnel

• Organisation qui fournit un accès wifi à ses collaborateurs

• Entreprise qui fournit un accès public (hotspot)

Comment sécuriser son réseau wifi ?


Contexte

Des usages de plus en plus massifs

Le temps de connexion Internet mobile devrait rapidement dépasser celui du temps de connexion internet fixe

Clientèle, visiteurs ou partenaires étrangers

coûts de connexion à l’internet mobile -> wifi public

Une facilité de déploiement

Coût relativement faible

Besoins d’accès temporaires: salons..

Débit intéressant / 3G


Contexte (étude Credoc)

15% de la population française s’est connectée à Internet dans un lieu public en 2011 par du matériel mis à disposition, soit près de 10 millions de personnes ! (cybercafés, epn, bibliothèque etc…)

Principaux utilisateurs:

Jeunes (37% des 18-24 ans)

faibles revenus (24% des foyers <900 € / mois)

cadres (28%)

13% de la population s’est connectée à Internet dans un lieu public avec son matériel (hotspot wifi).

32% des cadres supérieurs

Hausse de toutes les couches de la population

2005 2006 2007 2008 2009 2010 20110%

2%

4%

6%

8%

10%

12%

14%

% population connectée dans lieu public avec ordi por-table ou tablette


37% des cadres

Contexte (étude Credoc)


Fonctionnement

Réseaux sans fils: Wireless Local Area Network (Wlan)

Système de communication sans les contraintes du câblage

Norme IEEE 802.11g

débit théorique maximal de 54 Mbps, 25 Mbps réel

14 canaux de transmission sur la fréquence 2,4 Ghz

portée de 10 à 100m selon matériel utilisé et environnement


Fonctionnement

Architecture cellulaire où chaque cellule appelée BSS (Basic Service Set) est contrôlée par un AP (Access Point) ou point d'accès, le tout formant un réseau appelé ESS (Extended Service Set)

Des points d’accès wifi pour diffuser et gérer les interconnexions

Des cartes ou clés wifi pour se connecter aux points d’accès

Des antennes ou amplificateurs pour augmenter


Fonctionnement


Evaluation du risque

Risques = Menaces * Vulnérabilités * Impacts

Menaces : les attaques des réseaux wifi & intrusions sur le SI

Vulnérabilités : faiblesses ou failles humaines, techniques, organisationnelles

Impacts : les dommages causés et conséquences


Les attaques : Faux AP

Simuler un point d’accès existant


Les attaques : Rogue AP

Rogue AP (défaut de sécurisation du Hotspot)


Les attaques : l’écoute passive

Ecoute passive

Absence de chiffrement ou faille de sécurité


Cas n°1 : Connexion lors d’un déplacement

Menaces :

• Intrusion SI

Vulnérabilité :

• Faux point d’accès

• Défaut de sécurisation des hotspots wifi

• Défaut de sécurisation du terminal

• Manque de vigilance ou défaut de formation

Impact :

• Vol ou perte de données confidentielles (informations confidentielles, commerciales, savoir faire)


Cas n°2 : Accès internet dans une entreprise

Offrir un accès public dans son entreprise pour :

• Offrir un service de connectivité à ses clients, fournisseurs, partenaires

• Connexion à leur entreprise de rattachement

• Connexion à des services ou sites webs

• Renforcer l’image de l’entreprise (dynamique et connectée)


Cas n°2 : Accès internet dans une entreprise

Menaces :

• Intrusion sur le SI, Interruption de service (brouillage), utilisation frauduleuse de la connexion

Vulnérabilités :

• Accès aux documents et informations confidentielles depuis le réseau WIFI

• Accès depuis l’extérieur des murs de l’entreprise

• Failles de sécurité

Impacts :



Cas n°3 : Fourniture d’un accès public (hotspot wifi)

Contextes et usages:

• Un service de différenciation (avantage concurrentiel) de plus en plus demandé. Elément quasi intégré au métier.

• Gares, hôtels, offices de tourisme, campings

Utilisateurs:

• Personnes de passage

• Clients

Différents modèles :

accès gratuits et/ou payants

Accès ouvert, sur identification, sur tickets de connexion, sur paiement

services différenciés et personnalisés

différents modes de paiement (cartes, paiements en ligne...)

différents modèles économiques


Cas n°3 : Fourniture d’un accès public

Menaces :

• Intrusion sur le SI de l’entreprise

• Utilisation de la connexion internet à des fins frauduleuses ou inadaptées (téléchargement illégal, terrorisme…)

Vulnérabilité :

• Cadre légal (LCEN, loi anti-terroriste, Hadopi, Code des Postes et des Communications Electroniques, Loi Informatique et libertés)

• Responsabilité du fournisseur d’accès

Impact :


• Poursuites judiciaires

• Compromission de l’image de l’entreprise



Questions juridiques

L’entreprise qui met à disposition un hotspot wifi est-elle Fournisseur d’Accès Internet – Opérateur de Communication Electronique?

Doit-elle bloquer les accès aux sites pédophiles, négationnistes et racistes?

Doit elle pouvoir bloquer l’accès à certains sites si injonction juridique de le faire?

Cela concerne-t-il les salariés, les visiteurs?

Quelles obligations légales?

Question principale: qui est responsable de l’utilisation frauduleuse des accès hotspots wifi?



Flou juridique sur statut de l’entreprise

Loi Confiance Economique Numérique 2004:

Entreprises dont l’activité est d’offrir un accès à des services de communication au public en ligne => pas opérateur

Code des Postes et Communications Electroniques

Entreprises exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communication électronique =>opérateur

Arcep

Entreprise dont ce n’est pas l’activité mais qui ouvre ses réseaux internes au public dans un domaine privé sans empiéter sur le domaine public => pas opérateur

CNIL

Cela ne concerne pas l’ouverture d’accès des entreprises à leurs salariés. Mais les visiteurs?



Flou juridique sur données à conserver

Loi hadopi

L’entreprise doit conservée de façon nominative les coordonnées des utilisateurs

Cnil

Pas besoin de nominatif


Sécurisation réglementaire:

Selon la Loi sur la Confiance dans l’Economie Numérique,

« Est opérateur de réseau public, toute entreprise ou personne qui fournit un accès à un réseau de communications électroniques »

ouvert au public,

accessible via un réseau filaire ou hertzien (hotspot wifi)

et ce sans distinction de mode de connexion (ouverte, identifiée)



Quelles obligations?

1 - le respect de la règlementation concernant l’émission d’ondes d’une borne wifi

Fréquence des ondes:

plus la fréquence des ondes est basse, plus elle peut avoir un impact négatif.

Fréquence > 2450 Mhz. Pour mémoire: radio Fm environ 100 Mhz et Gsm environ 1500 Mhz.

Puissance des ondes:

< 0.1 Watt. Pour mémoire, Gsm = 2 watt

Distance: à partir de 50 centimètres de la borne, la puissance est divisée par 10



2 – la conservation des données techniques issues des utilisateurs connectés à son réseau public:

informations permettant l’identification de l’utilisateur (adresse IP, numéro de téléphone…)

Les informations des terminaux de connexion utilisés

Les dates, heures et durées de chaque communication

Des services complémentaires utilisés ainsi que leurs fournisseurs

Les informations qui permettent d’identifier le ou les destinataires de la communication (spécialement pour les activités de téléphonie)

Des données sur la localisation de la communication

Durée de conservation: 1 an

Obligation de tenir à la disposition des autorités judiciaires (gendarmerie et police) ces données dans le cadre de procédures judiciaires (enquête préliminaire, instructions, réquisitions contre terrorisme…)


LCEN 2004


Exclusions

Les contenus des connexions et des communications échangées ou les informations consultées (sms, objet et contenu d’un mail…)

l’identité nominative des utilisateurs

CNIL

Pas d’obligation de déclaration des informations techniques collectées

Si formulaire d’identification des utilisateurs, obligation de déclaration (et d’accord préalable des utilisateurs)




Fournitures de Conditions Générales d’Utilisation:

Préciser aux utilisateurs de votre réseau que votre entreprise n’est pas tenue responsable des actions qu’ils peuvent réaliser

Informer les utilisateurs de l’existence de moyens techniques permettant de tracer et de restreindre les accès à certains services

Ne pas laisser de moyen de stockage sur les postes libre service, ni de transfert direct sur support externe


SECURISATION D’UN RESEAU WIFI


Filtrage des @Mac

@MAC = identifiant Matériel d’une carte réseau (12 caractères)

Le filtrage des adresses MAC = autorisation des machines légitimes

Possibilité de changer l’adresse MAC d’une carte de manière logicielle

Faible niveau de sécurité

Inadaptable pour un hotspot public


Masquer le SSID

SSID = nom du réseau sans fil

Existante du réseau non divulguée

Paramétrage des équipements fastidieux (Saisie des paramètres manuellement)

Faible niveau de sécurité (monitoring)

Inadapté à un hotspot ou à un accès aux collaborateurs dans une entreprise


Le chiffrement des échanges

Sécurité Chiffrement Authentification

Mise en œuvre

Vulnérabilité

WEP Clé partagée Faille protocole (cryptographie)

WPA Personnal

TKIP PSK Clé partagée Attaque Dico Force Brute

WPA2Personnal

CCMP (extension AES)

PSK Clé partagée

WPAEntreprise

TKIP EAP Serveur d’authentification dédié (RADIUS)

WPA2Entreprise

CCMP (extension AES)

EAP Serveur d’authentification dédié (RADIUS)


Serveur d’authentification (RADIUS)

Fonctionnalité du serveur RADIUS

• Distribuer les clés WPA2 (renouvelée régulièrement, attribué à chaque utilisateur)

• Identifier les personnes qui veulent se connecter (log)

• Autoriser l’accès au réseau


Séparer WIFI / filaire

Aucune interaction entre l’infrastructure wifi publique et celle de l’entreprise

L’accès aux données est possible uniquement sur le réseau câblé

Infrastructure réseau dédiée ou séparation (pare-feu, Vlan invité)

Ou pare-feu pour isoler le réseau wifi du réseau câblé.


Utiliser un VPN

Tunnel crypté (IPsec ou PPTP)

Chiffrement au dessus du réseau sans fil

Serveur VPN et client sur les terminaux

Niveau de sécurité fort

Inapplicable à un hotspot public


Protéger l’AP

Vérifier que le compte administrateur et le mot de passe par défaut ont été modifiés

Ne pas mémoriser le mot de passe de la console d’administration du routeur dans l’interface du navigateur

Ne pas laisser l’étiquette avec le code wep / wpa collé sur l’AP

Désactiver les services disponibles non utilisés (telnet)

Jean-Philippe [email protected]

06 34 55 49 90– 04 75 83 50 58

MERCI DE VOTRE ATTENTION

Toutes les questions sont les bienvenues !

Xavier [email protected]

06.10.64.13.53 – 04 75 83 50 58

Cette création est mise à disposition selon le Contrat Attribution-NonCommercial 2.0 France disponible en ligne http://creativecommons.org/licenses/by-nc/2.0/fr/ ou par courrier postal à Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA.

En citant « Source Pôle Numérique » pour toutes reprises intégralesou « Librement inspiré des travaux du Pôle Numérique » en cas de modification

Technology

Sécurité réseau wifi - clusir drôme ardèche - mars 2012