Des données sécurisées grâce au WPA2

Parce que sur un réseau Wi-Fi, les données transitent par les airs, la question de la sécurité se pose autrement que sur un réseau câblé. "Les gestionnaires prennent conscience de l'importance de sécuriser un réseau sans fil quand on leur explique que les mêmes informations que sur leur réseau câblé y circulent, observe Robert Laurin, directeur, infrastructures TI et services aux utilisateurs, chez GFI Solutions. Et ils s'inquiètent aussi quand on leur parle de du détournement de leur bande passante."

Pour contrer les intrusions dans un réseau, la solution peut être de réduire l'intensité du signal. Il faut lui laisser assez de force pour pouvoir être capté par les terminaux des employés, mais pas assez pour être utilisé dans la rue, précise Stéphane Richer, vice-président, télécommunications et sécurité infrastructure, d'Expracom Technologies.

Cadenasser les informations

Même si les intrus ne peuvent pas utiliser votre réseau, ils peuvent toutefois y lire les informations qui y circulent. "Le chiffrement est essentiel, sinon il est possible de décoder les mots de passe d'authentification", explique Stéphane Richer.

"Chiffrer permet de cadenasser les informations, note Guillaume Séguin, conseiller principal en sécurité chez Okiok. Si le réseau demande seulement l'authentification, il est quand même possible de voir les informations circuler, notamment les courriels."

Contrairement à une idée répandue, tous les types de chiffrement ne sont pas équivalents, précise M. Séguin. En effet, les techniques ont considérablement évolué en quelques années. L'ancien protocole de sécurité WEP (Wired Equivalent Privacy) est encore très utilisé par les PME, déplore Alain Daigle, directeur technique de Réseaux Eagle. L'expert conseille d'abandonner ce protocole, "trop facile à craquer, dit-il. Et les pirates vont vers les proies faciles", rappelle-t-il.

À New York, 97 % des points d'accès sans fil bénéficient d'un procédé de chiffrement, indique une enquête réalisée par la firme RSA, en 2008. Mais la moitié de ces émetteurs censés être sécurisés le sont par le protocole WEP... autant dire qu'ils ne le sont pas.

Clés de cryptage codées

Les nouveaux protocoles WPA, surtout WPA2, sont plus sûrs. Ces normes changent les clés de cryptage à intervalles réguliers. Un pirate devrait alors constamment retrouver la façon dont les données sont chiffrées pour arriver à les lire. "Mathématiquement, WPA2 est presque impossible à décrypter", précise Stéphane Richer. Mais les utilisateurs doivent souvent changer eux-même la configuration de leurs équipements, car WEP reste le réglage par défaut de nombreux fabricants.

WPA2 fonctionne selon deux modes, adaptés aux ressources de chaque organisation. Le mode "entreprise" utilise un serveur d'identification 802.1x, qui gère la sécurité. Il génère lui-même des clés de cryptage spécifiques à chaque équipement connecté. La plupart des serveurs Windows possèdent cette fonction.

Le mode "clé prépartagée" (pre-shared key) permet aux plus petites entreprises de se passer d'un tel serveur. Alain Daigle juge qu'à moins de 25 utilisateurs, le mode entreprise n'est plus nécessaire, car le nombre d'utilisateurs peut être facilement contrôlé.

Dans le mode clé prépartagée, un code est défini pour l'ensemble des utilisateurs. Il s'agit d'une suite de caractères. "Choisissez au moins 20 lettres ou chiffres",conseille Alain Daigle. Le code ne doit pas être un mot figurant dans un dictionnaire. Les pirates ont des outils qui passent en revue des dictionnaires complets pour trouver les mots de passe. Enfin, ce code doit être modifié chaque fois qu'un utilisateur perd ses droits de connexion au réseau sans fil, par exemple lorsqu'il quitte l'entreprise.

Certains vieux équipements ne supportent pas le protocole WPA2. Les entreprises qui utilisent de vieux ordinateurs, seulement compatibles avec WEP, devraient utiliser un réseau virtuel privé (VPN), recommande Alain Daigle.

L'authentification, la clé de la sécurité

Sur un réseau sans fil, on doit s'assurer que l'utilisateur est légitime. Pour permettre la vérification de son identité, il suffit de lui attribuer un nom et un mot de passe. Il pourra être reconnu quand il ouvre une session sur son ordinateur, ou bien avoir à entrer ces informations quand il se connecte au réseau sans fil.

Une fois qu'il a reconnu l'utilisateur, le réseau sans fil sait si celui-ci fait partie d'un groupe, comme celui des administrateurs du réseau, des employés d'un service ou des visiteurs de l'entreprise. Le réseau lui donne alors un accès lié aux droits spécifiques de ce groupe. Ainsi, les visiteurs n'ont souvent qu'un accès à Internet, sans possibilité de pénétrer dans le réseau informatique d'entreprise.

Créer un tunnel sécurisé

"L'authentification permet de contrôler l'utilisation du réseau", souligne Stéphane Richer, d'Expracom Technologies. Les réseaux Wi-Fi disponibles dans les aéroports et les hôtels ne font que vérifier que les utilisateurs sont bien inscrits. Il s'agit donc uniquement d'authentifier les internautes. Aucun chiffrement des communications n'est pratiqué.

C'est pourquoi il est conseillé d'utiliser un réseau privé virtuel (VPN) dans ces endroits. "Le VPN forme une sorte de tunnel entre votre ordinateur et votre réseau d'entreprise, empêchant tout intrus de lire vos transmissions", explique Alain Daigle, de Réseaux Eagle, spécialisée dans les réseaux sans fil. D.B.