Astuce du Service conseils et achats : Les réseaux sans fil1

Qu'est-ce qu'un réseau sans fil?

Un réseau sans fil (Wireless network) est, comme son nom l'indique, un réseau dans lequel au moins deux équipements informatiques peuvent communiquer sans liaison filaire. Si on utilise un ordinateur portable équipé d'une carte réseau sans fil et qu'une borne d'accès sans fil est installée dans vos bureaux, il devient possible pour un utilisateur, de se déplacer à l'intérieur du bureau et de continuer à recevoir et envoyer des courriels, d'accéder à l'Internet, d'imprimer des documents ou encore d'utiliser un logiciel de gestion d'étude notariale de n'importe où, à l'intérieur du rayon d'action de la borne d'accès (Access Point).

Les réseaux sans fil sont basés sur une liaison utilisant des ondes radioélectriques en lieu et place des câbles habituels. Il existe plusieurs technologies se distinguant d'une part, par la fréquence d'émission utilisée et d'autre part, par le débit et la portée des transmissions.

Les réseaux sans fil permettent de relier très facilement des équipements distants d'une dizaine de mètres à quelques kilomètres. De plus, l'installation de tels réseaux ne demande pas de lourds réaménagements des infrastructures existantes, comme c'est le cas avec les réseaux filaires, par exemple pour communiquer avec un utilisateur qui serait de l'autre côté de la rue.

La technologie sans fil la plus répandue au Canada est sans contredit le WiFi (IEEE 802.11.) Cette appellation décrit les caractéristiques d'un réseau local sans fil. Elle est habituellement suivie d'une lettre, les plus fréquentes étant 802.11A, 802.11B ou encore 802.11G. La lettre réfère généralement au débit du réseau. Plusieurs manufacturiers tels que Linksys, NetGear et D-Link offrent ce type d'appareil dans la majorité des magasins d'électronique grande surface. Vous pouvez également vous les procurer par l'entremise du Service conseils et achats de Notarius et bénéficier de notre assistance pour la mise en place d'un réseau sans fil.

Le Service conseils et achats de Notarius vous recommande l'utilisation de la technologie 802.11G. Celle-ci offrant un débit de 54Mbps et une compatibilité avec la norme 802.11B qui est actuellement la plus répandue. Elle propose un débit théorique de 11 Mbps (6 Mbps réels) avec une portée pouvant aller jusqu'à 300 mètres dans un environnement dégagé.

En contrepartie de la facilité d'utilisation d'un réseau sans fil se pose le problème de confidentialité aux transmissions radioélectriques. En effet, les transmissions radioélectriques sont difficiles à confiner dans une surface géographique restreinte. Il est donc facile pour un pirate de capter l'information sur le réseau si celle-ci circule en clair (ceci est possible si les paramètres par défaut des appareils ne sont pas changés). Il est donc nécessaire de prendre les dispositions nécessaires pour assurer une confidentialité des données circulant sur les réseaux sans fil. Même si cela diminue quelque peu les performances et la rapidité de transmission, les vitesses sont tout à fait acceptables, surtout pour la norme 802.11G à 54 Mbps.

Les composantes d'un réseau sans fil

Pour mettre en place un réseau sans fil, vous aurez besoin des composantes suivantes :

  1. Une borne d'accès (Access Point). La plupart des bornes d'accès sont combinées à un routeur ou à un coupe-feu. Dans ce cas, il ne s'agit plus d'une simple borne d'accès mais bien d'un routeur ou coupe-feu sans fil.
  2. Une carte de communication réseau sans fil par appareil que vous désirez relier. Quatre types sont disponibles :
    • Pour ordinateur portable;
    • Pour ordinateur de bureau;
    • Pour ordinateur portable ou de bureau (connexion USB)
    • Pour imprimante.
  3. La configuration de la borne d'accès.

La première chose à faire lors de la mise en place d'un réseau sans fil consiste à positionner intelligemment le ou les points d'accès selon la zone que l'on souhaite couvrir.

La deuxième chose à faire est de s'assurer que la transmission de données est chiffrée, afin d'assurer la confidentialité de données transmises sur le réseau.

La troisième chose à faire est de s'assurer que seuls les équipements autorisés puissent se brancher au réseau en question.

Recommandations du Service conseils et achats de Notarius

Votre Service conseils et achats vous recommande de faire appel à un technicien qualifié pour mettre en marche votre réseau sans fil. Il est impératif d'assurer la confidentialité de la transmission de données.

à titre d'information, vous trouverez ci-dessous les points à éviter ainsi que les informations à transmettre à votre technicien lors de l'installation.

Éviter les valeurs par défaut

La borne d'accès est configurée avec des valeurs par défaut, y compris le mot de passe pour en faire l'administration. Un grand nombre d'utilisateurs considère qu'à partir du moment où le réseau fonctionne, il est inutile de modifier la configuration de la borne. Toutefois les paramètres par défaut sont tels que la sécurité est quasi inexistante. Il est donc impératif que le technicien se branche à l'interface d'administration (généralement via une interface web sur un port spécifique de la borne d'accès) notamment pour définir un mot de passe d'administration.

D'autre part, il est indispensable que le technicien change l'identifiant du réseau (appelé SSID). Ainsi, il est vivement conseillé de modifier le nom du réseau par défaut et de désactiver la diffusion (broadcast) de ce dernier sur le réseau. Si vous ne le diffusez pas, vous serez le seul à le connaître et il sera plus difficile pour un intrus de se brancher à votre réseau. Le changement de l'identifiant réseau par défaut est d'autant plus important puisque celui-ci peut donner aux pirates des éléments d'information sur la marque ou le modèle de la borne d'accès utilisé. Par conséquent, il est important d'utiliser un identifiant réseau qui ne permet pas à un pirate de faire le lien avec la marque ou le modèle de l'équipement utilisé.

Le filtrage des adresses MAC

Chaque carte réseau, qu'elle soit filaire ou sans fil, possède un identifiant unique, soit l'adresse MAC. Cette adresse est représentée par 12 chiffres hexadécimaux groupés par paires et séparés par des tirets (par exemple: 01-A8-FF-76-E0-B6).

Les bornes d'accès permettent généralement, dans leur interface de configuration, de gérer une liste de droits d'accès (appelée ACL) basée sur les adresses MAC des équipements autorisés à se brancher au réseau sans fil. Votre technicien devrait y indiquer les adresses MAC de vos appareils et lui faire rejeter toute demande de connexion de la part d'adresses inconnues. L'adresse MAC est unique à chaque appareil réseau.

Cette précaution, un peu contraignante, permet de limiter l'accès au réseau qu'aux ordinateurs autorisés. En contrepartie cela ne résout pas le problème de la confidentialité des échanges. Si cette option n'est pas activée, n'importe qui peut facilement se brancher sur le réseau sans fil et essayer d'attaquer les postes internes ou même lancer des attaques vers d'autres sites externes.

Chiffrement des données

Pour remédier aux problèmes de confidentialité des échanges sur les réseaux sans fil, la norme 802.11 intègre un mécanisme simple de chiffrement des données, il s'agit du WEP (Wired equivalent privacy).

Le WEP est un protocole chargé du chiffrement des données utilisant l'algorithme symétrique RC4 avec des clés d'une longueur de 64 bits ou 128 bits. Le principe du WEP consiste à définir dans un premier temps une clé secrète de 40 ou 104 bits. Cette clé secrète doit être déclarée au niveau de la borne d'accès et des clients.

La clé de session partagée par toutes les stations est statique, c'est-à-dire que pour déployer un grand nombre de stations WiFi il est nécessaire de les configurer en utilisant la même clé de session. Ainsi la connaissance de la clé est suffisante pour déchiffrer les communications.

Il est possible de découvrir la clé secrète par une attaque par force brute (méthode utilisée pour trouver un mot de passe ou une clé en testant une à une toutes les combinaisons possibles). Par conséquent, nous ne recommandons pas la mise place du WEP, sauf bien entendu si le WPA n'est pas disponible sur votre appareil. Ce sera tout de même un peu mieux que de transmettre les données en clair. Par contre, il est conseillé de mettre au moins en oeuvre une protection WEP 128 bits afin d'assurer un niveau de confidentialité minimum et d'éviter de cette façon 90 % des risques d'intrusion.

WPA WiFi Protected Access ou encore WPA version 2 (WPA2) peuvent aussi être implantés. Ils sont généralement disponibles sur les appareils conçus après 2003. La différence majeure est que le WPA possède une clé qui change durant la session, ce qui garantit une confidentialité accrue. La version WPA2 est la version certifiée IEEE802.11i et contient aussi des améliorations sur WPA. Ces deux mécanismes de chiffrement offrent aussi des améliorations sur WEP en terme d'efficacité.

Si les protocoles WPA2 ou WPA sont disponibles sur la borne d'accès, une plus grande confidentialité sera assurée en privilégiant ces méthodes de chiffrement sur WEP.

Demandez à votre technicien d'activer la fonction de chiffrement WPA, si elle est disponible, ou encore WEP avec clé de 128 bits si WPA n'est pas disponible.

Ces mesures de sécurité, assez simples, sont généralement très efficaces pour dissuader la majorité des pirates qui s'attarderont plutôt à attaquer un réseau non protégé.

_____________________________
1Ce texte est inspiré du document intitulé Wifi - Sécurité, issu de l'Encyclopédie informatique Comment Ça Marche (www.commentcamarche.net), disponible sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de ce texte, dans les conditions fixées par la licence, tant que cette note apparaît clairement.