A l’inverse d’un réseau filaire classique, un réseau sans fil s’affranchit, par nature, des prises et des câbles réseau : ce sont les ondes radio qui portent le signal informatique. N’importe qui peut donc capter l’émission dès lors qu’il se situe dans la zone de portée. Ce qu’il est possible de faire ensuite dépend de la configuration du réseau sans fil : écouter le réseau, s’y connecter. Ecouter le réseau revient à intercepter tous les échanges radio entre les points d’accès et les cartes sans fil. Se connecter au réseau correspond à une utilisation active de ce réseau sans fil.

Evacuons tout de suite les idées de « contrôler la portée de son réseau sans fil », à l’aide d’antennes sectorielles ou par un réglage fin de la puissance d’émission des bornes. Avec des antennes directionnelles appropriées, il est possible de capter un réseau situé à plusieurs centaines de mètres, voire au-delà du kilomètre. A moins de travailler dans une cage de Faraday, il faut donc partir du principe que « l’intrus a une antenne plus grosse que la nôtre » et qu’il peut capter nos ondes radio.

En l’absence de toute mesure de sécurité, le réseau sans fil est totalement ouvert : n’importe qui peut intercepter la totalité des échanges qui s’y font, et n’importe qui peut se connecter au réseau. L’interception revient à « lire » tout ce qui transite sur le réseau sans fil (mails reçus et envoyés, documents imprimés ou échangés avec un serveur de fichiers, navigation sur Internet, etc.), et notamment les quelques informations utiles pour la connexion au réseau sans fil. La connexion au réseau donne les mêmes possibilités qu’à un ordinateur légitime, exactement comme l’un de vos collaborateurs. Cette connexion au réseau permet ensuite de (tenter de) se connecter aux autres ordinateurs du réseau ; si ceux-ci ne sont pas protégés entre eux ou s’ils présentent des faiblesses de sécurité, l’intrus pourra s’en servir à des fins variées (envoi de spams, hébergement de sites illégaux, attaque d’autres systèmes, etc.).

Beaucoup de réseaux de particuliers sont dans cette configuration « plug and play », sans aucune protection (dans certains quartiers, il est inutile de s’abonner à l’ADSL ; il suffit de se connecter à la borne d’accès d’un voisin, le choix ne manque pas), mais nombre d’entreprises sont aussi concernées. L’idée d’un filtrage selon les adresses physiques des cartes (adresses MAC dans le jargon) afin d’authentifier (1) les ordinateurs qui se connectent au réseau est illusoire : de nombreux outils permettent de redéfinir l’adresse physique d’une carte. Si vous avez un réseau sans fil pour lequel vous n’avez fait aucune configuration, arrêtez de lire cet article et allez débrancher toutes vos bornes d’accès, avant de reprendre la lecture. A titre d’illustration, en mars 2005, une heure de « promenade » dans une zone d’activité de la région a permis de détecter plus de 80 réseaux sans fil différents, dont un quart seulement n’étaient pas en clair.

Une clé WEP peut être cassée en une dizaine de minutes

Comment sécuriser un réseau sans fil ? Il existe plusieurs méthodes, qui sont de simples à complexes. Le premier point à traiter est de ne plus diffuser en clair des informations sur les ondes radio. Il est vital de chiffrer ces échanges. La manière la plus simple de procéder, qui reste cependant très fragile, est d’activer le chiffrement WEP. Pour simplifier, il s’agit d’une clé secrète (de 40 ou 104 bits) partagée entre les bornes d’accès et les ordinateurs qui cherchent à se connecter à ces bornes (2). Cette technique est fragile parce que l’on sait briser ce chiffrement (des logiciels faciles à récupérer sur Internet permettent de déterminer une clé de chiffrement WEP en une dizaine de minutes à quelques heures, selon les situations). Même s’il est très loin d’être un idéal, le WEP est mieux qu’aucun chiffrement, mais pas de beaucoup. Si vous utilisez le chiffrement WEP, et si un tiers réussit à casser votre clé de chiffrement, il a alors accès à votre réseau exactement comme si ce dernier n’était pas protégé du tout. Il peut ensuite intercepter les échanges, utiliser votre réseau pour ses besoins propres (voir plus haut), tenter d’attaquer les autres ordinateurs de votre réseau, etc.

La sécurité commence avec le WPA et un serveur d'authentification

Dès lors que vos points d’accès permettent de faire mieux que le WEP, il convient d’oublier celui-ci et d’opter pour WPA (éventuellement sa version simplifiée WPA-PSK) ou WPA2.

Les nouvelles bornes sans fil (fabriquées depuis moins de 18 mois environ) permettent d’activer WPA ou, pour les plus récentes, WPA2 (normalisé par l’IEEE sous le nom 802.11i). L’activation de WPA/WPA-PSK ou WPA2 dépend uniquement du matériel utilisé et des logiciels associés ; les pilotes de périphériques fournis avec les cartes sans fil peuvent souvent être mis à jour pour inclure ces fonctionnalités, ainsi que certaines bornes d’accès.

WPA, WPA-PSK et WPA2 comblent les nombreuses faiblesses crytographiques du WEP. WPA et WPA2 ajoutent en outre de réelles possibilités d’authentification des systèmes cherchant à se connecter à un réseau sans fil, en imposant l’authentification préalable du client sans fil auprès d’un serveur spécifique, de type Radius. Celui-ci donne le feu vert éventuel à la borne Wi-Fi pour que le poste puisse se connecter au réseau. Tant que ce feu vert n’est pas donné, la borne ne transmet que les demandes d’authentification du poste auprès du serveur. Soulignons qu’un serveur de type Radius peut être « construit » à partir d’un PC basique, d’un système d’exploitation Linux et de logiciels du domaine public, mais doit être installé et configuré avec soin, sous peine de nombreux problèmes dans l’utilisation du réseau. Il n’y a donc pas de coûts matériels supplémentaires. Mais une bonne configuration des systèmes peut nécessiter l’intervention de personnes qualifiées (entre 2000 et 5000 euros, selon la complexité de la configuration).

Un dernier point : même avec WPA/WPA2 et un serveur d’authentification bien configuré, il est conseillé de compartimenter le réseau afin d’isoler les systèmes sans fil des autres. Mais c’est une autre histoire.

(1) Il ne faut pas confondre identifier et authentifier. Identifier revient à dire « c’est M. Untel ». Authentifier correspond à s’assurer que la personne devant vous est bien celle qu’elle prétend être. Les usurpations d’identité viennent de ce que souvent, on traite un simple identifiant comme un véritable authentifiant.

(2) La clé WEP permet d’authentifier les ordinateurs (car elle doit être connue du système qui veut se connecter, donc avoir été transmise à l’utilisateur par le service informatique) ; elle est aussi utilisée pour chiffrer les échanges. L’interception des ondes radio reste toujours possible, mais il est impossible de lire les informations ainsi collectées si l’on ne connaît pas la clé de chiffrement/déchiffrement.