On sait aujourd’hui que votre entreprise s’expose à des risques si elle ne sécurise pas ses réseaux Wifi. Au-delà des simples désagréments causés par les « squatters de bande passante » qui ralentissent vos connexions, les problèmes peuvent devenir critiques (si des personnes non autorisées accèdent aux données de l’entreprise, espionnent et interceptent des données sensibles, récupèrent des identifiants de connexion et diffusent des programmes malveillants et des virus).
Heureusement, la majorité des entreprises a réagi en sécurisant ses réseaux en WPA ou WPA2. Ces deux protocoles chiffrent les données transmises sur le réseau et limitent l’accès aux seuls utilisateurs autorisés (le WPA2 étant plus «fort», c’est celui que les entreprises auront intérêt à utiliser et que j’évoquerai dans la suite de cet article).
On regrettera cependant que de nombreuses entreprises utilisent le mode Personnel du WPA2, «WPA2-Personal», auquel l’on accède avec un mot de passe partagé — ce qui est loin d’être la solution idéale en entreprise. La suite de cet article apporte un éclairage sur les pièges de cette configuration et propose une alternative plus satisfaisante.
Remarque : inutile de rappeler que vous ne devez plus compter sur le WEP pour protéger votre Wifi.
Wifi : attention aux clés de sécurité (passphrases) en mode partagé
Le mode Personnel du WPA2 s’appuie sur une clé de sécurité (également appelée «phrase de code») partagée... Et c’est là que le bât blesse. Car pour accéder au réseau Wifi, il suffit de taper un code. Chaque individu et chaque appareil utilise le même code. Si cela convient pour un réseau domestique, on imagine aisément les problèmes que cela peut occasionner en entreprise. Quelques points à méditer...
- Les employés n’auront aucun mal à communiquer la clé de sécurité à des personnes extérieures à l’entreprise.
- Il y a fort à parier que le mot de passe se retrouvera rapidement sur plusieurs bouts de papiers ou pense-bêtes au bureau, au risque de tomber dans les mauvaises mains.
- Les mots de passe sont la cible d’attaques par force brute.
- Que se passe-t-il lorsqu’un collaborateur quitte l’entreprise ? Il vous faudra changer le mot de passe pour être certain que les personnes ayant quitté l’entreprise ne puissent plus accéder au réseau ou aux ressources partagées.
- Que se passe-t-il en cas de perte de matériel (ordinateur portable, tablette...) ? Comme indiqué plus haut, il vous faudra mettre à jour le mot de passe pour empêcher que les personnes qui mettraient la main sur un appareil perdu ou égaré ne puissent accéder au réseau de votre entreprise.
- À la lumière des deux points précédents, à quelle fréquence déploieriez-vous les nouveaux mots de passe et comment vous y prendriez-vous ? Devrez-vous saisir le nouveau mot de passe sur chaque machine ? Si ce n’est pas le cas, comment communiquerez-vous le nouveau mot de passe aux employés ?
En résumé : le partage de mots de passe peut ouvrir une brèche dans laquelle des utilisateurs non autorisés peuvent s’engouffrer pour accéder à votre réseau. Une fois qu’ils sont sur le réseau de votre entreprise, cela revient à dire qu’ils ont franchi la porte d’entrée. Les risques sont alors les mêmes que sur les réseaux ouverts : ils peuvent écouter et intercepter des données, voler des identifiants, surveiller le trafic, accéder aux ressources partagées, diffuser des malwares, virus et autres...
WPA2-Entreprise : une solution plus adaptée aux réseaux Wifi des entreprises
Je pense qu’à ce stade, nous pouvons tous affirmer que le WPA2-Personnel est une protection insuffisante pour la plupart des entreprises. Mieux vaut se tourner vers le WPA2-Entreprise qui, entre autres avantages, supprime la clé de sécurité partagée. Certes, ce type de déploiement exige une configuration supplémentaire, mais je soutiens que cela en vaut la peine au regard des avantages :
- Comme évoqué plus haut, chaque utilisateur accède au réseau avec ses identifiants uniques et non plus avec un code d’accès universel. Outre les avantages évidents sur le plan de la sécurité, cela simplifie également les démarches lorsqu’un employé quitte l’entreprise ou perd un appareil puisqu’il n’y a qu’un seul et unique identifiant à supprimer ou mettre à jour. Ce sont les administrateurs qui déploient et gèrent ces identifiants ; les utilisateurs n’ont donc rien à mémoriser ou configurer.
- Les utilisateurs ne peuvent pas espionner les sessions (c’est-à-dire surveiller le trafic ou voler des identifiants) d’autres utilisateurs. Chaque session utilisateur est chiffrée à l’aide d’une autre clé, contrairement au WPA2-Personnel qui utilise une clé partagée. Les utilisateurs ne peuvent ni déchiffrer ni voir l’activité des autres utilisateurs. On perçoit maintenant l’intérêt d’une telle protection dans le cas où un utilisateur non autorisé s’infiltrerait sur le réseau.
Bien que les spécificités techniques de ce type de déploiement dépassent l’objet de ce billet, l’article suivant propose un aperçu intéressant : Wireless Security in the Enterprise: Deploying WPA2-Enterprise.
WPA2-Entreprise + certificats : le duo gagnant pour le Wifi de l’entreprise
Au moment de configurer WPA2-Entreprise, le système vous demande de choisir votre protocole d’authentification extensible Exensible Authentication Protocol (EAP), ce qui en clair, correspond à la manière dont les clients s’authentifient sur votre réseau Wifi. L’une des solutions consiste à utiliser un nom d’utilisateur et un mot de passe (c’est-à-dire les identifiants de domaine d’un employé), mais les mots de passe ne sont pas connus pour être particulièrement fiables (griffonnés sur un bout de papier, sujets aux attaques par force brute...). Mieux vaut donc utiliser des certificats, ce que Microsoft semble également confirmer.
“La sécurité des méthodes d’authentification à base de mots de passe n’est pas renforcée ; leur utilisation n’est donc pas recommandée. Il est préférable d’utiliser une méthode d’authentification à base de certificats pour tous les moyens d’accès au réseau compatibles avec des certificats. C’est particulièrement vrai pour les connexions sans fil...”
L’utilisation d’un protocole EAP basé sur des certificats signifie que seuls les utilisateurs, les machines et les terminaux mobiles dotés de certificats correctement configurés pourront accéder à votre réseau Wifi. Ainsi, même si une personne mal intentionnée parvenait à récupérer les identifiants d’un employé, elle ne pourrait toujours pas accéder au réseau. Autre avantage : contrairement aux solutions à base de mots de passe qui n’authentifient que l’utilisateur, les certificats peuvent être émis à l’attention de machines pour empêcher tout accès indésirable (terminal mobile personnel non autorisé ou tiers malveillant).
Le rôle d’Active Directory ?
Bien souvent, pour le déploiement de WPA2-Entreprise, les entreprises utilisent Active Directory, Group Policy et un serveur RADIUS pour déployer les paramètres et identifiants du réseau sans fil. C’est là que les certificats prennent tout leur sens. L’utilisation de Group Policy et d’un serveur RADIUS vous permet de provisionner les certificats sur les ordinateurs clients et de créer des règles qui assigneront automatiquement les appareils au réseau approprié. Certaines autorités de certification comme GlobalSign proposent des intégrations d’Active Directory pour vous éviter d’avoir à exécuter votre propre AC interne— ce qui peut se révéler chronophage et consommateur de ressources — pour bénéficier de cette fonctionnalité.
J’espère que ce billet vous aura ouvert les yeux sur les dangers des codes de sécurité Wifi partagés et vous aura incité à vous pencher sur WPA2-Entreprise, si ce n’est déjà fait. Si ce n’est pas le cas, utilisez-vous des certificats pour renforcer l’authentification et sécuriser l’accès à vos réseaux sans fil ? Pourquoi ou pourquoi pas ? N’hésitez pas à me faire part de vos commentaires sur le sujet !
Des questions sur l’utilisation et le déploiement de certificats pour contrôler l’accès aux réseaux sans fil ? Faites-nous signe, nous serons ravis de vous aider !
