====== Introduction ====== ===== Les différents types de risque ===== D'une manière générale, dans le domaine des systèmes d'information, nous sommes confrontés à divers types de risques, qui découlent tous d'une intrusion sur notre réseau, hormis les DoS (Deny of Service) qui n'ont pour but que de « simplement » rendre le système inutilisable. Ce dernier aspect ne sera pas traité ici, la façon que nous avons d'utiliser le spectre radio n'offrant que très peu de moyens de nous protéger de la méthode d'attaque la plus simple : le brouillage radio. Tout de même, il faut en parler un tout petit peu, dans la mesure où la promiscuité de réseaux sans fils, montés de façon anarchique, peut arriver de façon involontaire à cet état de fait. ==== Intrusion en vue d'une compromission des postes ==== L'objet de ce type d'intrusion est de prendre possession d'un équipement du réseau, soit pour en extraire des données intéressant le pirate, soit pour constituer une armée de « zombies », avec pour objectif final, par exemple, de réaliser un DDoS (Distribued Deny of Service) sur une cible stratégique, ou encore de déclencher un envoi massif de spams à un instant donné, pour prendre de court les stratégies mises en place pour contenir ce fléau. Ce type d'intrusion se réalise généralement depuis l'internet, ce n'est pas un problème spécifique aux réseaux sans fils. Tout de même, dans une certaine mesure, ces derniers sont un peu plus exposés, dans la mesure où ils sont plus souvent destinés à accueillir des postes clients dont l'état sanitaire n'est pas maîtrisé par les responsables du système d'information. Si un invité se connecte avec un poste déjà compromis par un ver, ce ver pourra à son tour contaminer les autres postes du réseau, suivant le type de propagation qu'il utilise et suivant les protections mises en place sur les postes du réseau. Si l'on peut considérer que généralement les réseaux sont assez bien protégés d'attaques venant de l'extérieur par un système de « firewall », ils le sont en général beaucoup moins contre les attaques venant de l'intérieur, qui est à priori considéré comme une zone « de confiance ». ==== Intrusion en vue d'exploitation d'un accès à l'internet ==== Un pirate peut chercher à exploiter votre connexion à l'internet, en vue d'effectuer des attaques sur d'autres systèmes. Cette méthode lui offre beaucoup de confort, puisque si ses activités sont repérées, dans les faits, ce ne sera pas lui, mais vous qui serez inquiété, voire condamné. Ne sous estimez pas ce risque, surtout avec les réseaux sans fils dont on ne peut maitriser parfaitement la portée ! ==== Intrusion « passive » en vue d'extraire des informations ==== Pour récupérer des informations « intéressantes », un pirate peut se contenter d'écouter de façon passive les échanges d'information, pour en retirer (en temps réel ou non) des éléments ayant pour lui une certaine valeur. Sur un réseau sans fils, il est très facile de mettre en place des systèmes d'écoute dans ce but. Le pirate se contente d'écouter les conversations et de les enregistrer. Il n'agit pas sur vos équipements et ne laisse aucune trace, surtout sur un réseau sans fils. ===== Les parades ===== Il existe un certain nombre de règles de base, qu'il faudra mettre en ?uvre pour tenter de minimiser ces risques. ==== Savoir qui est présent sur votre réseau ==== L'authentification des clients d'un réseau est bien sûr un élément fondamental. Les adresses IP comme les adresses MAC ne constituent plus, depuis longtemps, un moyen efficace. Ces adresses peuvent très facilement être usurpées sur un LAN. C'est évidemment un point très sensible sur les réseaux sans fils, ça l'est de plus en plus sur un réseau filaire, avec l'apparition massive d'ordinateurs portables. La méthode sans doute la plus aboutie consiste à utiliser des certificats, principalement sur les serveurs, mais aussi sur les clients. Cependant, l'usage des certificats sur les clients est une opération lourde. Il faut créer un certificat par client, maintenir une base de donnée des certificats autorisés et aussi des certificats révoqués. Rappelons-le, un certificat contient schématiquement une partie publique et une partie privée. La partie publique peut être récupérée par tout tiers désirant entrer en contact avec le possesseur du certificat, la partie privée doit rester confidentielle. Dans chacune de ces parties, il y a une clé de chiffrement. Pour plus de détails, voyez le chapitre sur la cryptographie. Il est possible sur les clients de remplacer le certificat par un autre moyen d'authentification, allant du simple couple « nom d'utilisateur / mot de passe », à l'usage d'une carte à puce ou d'une empreinte biométrique. La dernière méthode est probablement la plus sûre et a fait déjà rêver bon nombres d'auteurs de science-fiction. La carte à puce est très proche du certificat et reste assez lourde à gérer. Le couple « utilisateur/mot de passe » reste le plus simple, et peut souvent être considéré comme suffisamment sûr, à la condition que le mot de passe ne soit pas évident et que l'échange de ce mot de passe ne soit pas facilement « sniffable », c'est-à-dire récupérable par une écoute passive. Bien sûr, il faut aussi que les utilisateurs aient pris conscience des risques qu'il y a à partager leur identifiant avec un (ou plusieurs) tiers. En conclusion, nous devrons mettre en place un système strict, qui n'autorise qu'une personne dûment authentifiée à rejoindre notre réseau, en minimisant les risques d'usurpation d'identité. Ceci évitera qu'un intrus profite d'une faille du système pour : * compromettre des machines du réseau, * exploiter votre accès à l'internet pour effectuer des opérations malveillantes, * identifier éventuellement, toute personne (authentifiée) qui se livrerait à des opérations malveillantes. ==== Cacher les informations échangées ==== Le principe de base est de chiffrer les échanges, mais il faut être bien conscient qu'un chiffrement n'est pas (jamais ?) incassable. Tout est question de temps. Ainsi, dans un système de chiffrement bien réalisé il faut tenir compte de quelques éléments importants : * combien de temps les informations doivent-elles rester confidentielles ? * quel préjudice subirons-nous lorsque ces informations seront découvertes ? Prenons quelques exemples simples... === Découverte d'un « login » autorisé === Si le temps nécessaire à la découverte d'un moyen d'authentification est supérieur à la durée de vie de ce dernier, le moyen d'authentification est considéré comme sûr et il n'y a pas de préjudice subi. === Découverte d'une information « stratégique » caduque === Une information communiquée à un tiers de confiance doit rester confidentielle pendant une semaine, puis elle sera divulguée au public, ou n'aura plus aucune valeur. Le temps nécessaire au déchiffrage de cette information est supérieur à une semaine. Le système de protection est sûr et il n'y a pas de préjudice. === Découverte d'une information « stratégique » à long terme === Une information communiquée à un tiers de confiance doit rester confidentielle le plus longtemps possible. Le préjudice subi en cas de découverte sera d'autant moindre que le temps de découverte sera long. Ici, nous avons un problème. Si l'information chiffrée est récupérée, un jour où l'autre, elle sera déchiffrée et préjudice il y aura. Le jeu consiste donc à mettre en place un système qui « tienne » le plus longtemps possible, à mettre en ?uvre divers procédés pour tenter de minimiser les risques d'écoute passive, de mettre hors d'état de nuire un pirate repéré avant qu'il n'ait eu le temps de déchiffrer les données, etc. Le tout, jusqu'à ce que le préjudice ne soit plus suffisant pour justifier le coût de toutes ces mesures. Clairement, les besoins du particulier ne sont pas les mêmes que ceux d'une banque (le particulier qui utilise les moyens de commerce en ligne doit tout de même envisager ces trois types d'intrusion, une carte de crédit, par exemple, ayant maintenant deux ans, voire plus, de durée de vie). ==== Assurer un minimum de sécurité au client ==== Authentifier le client, c'est bien. Mais le client ne doit-il pas être lui aussi protégé ? Le client peut, pour sa sécurité, pouvoir s'assurer qu'il se connecte bien au réseau auquel il pense se connecter. Il n'est pas très difficile, sur les réseaux sans fils, de présenter un « SSID » usurpé. Le client doit pouvoir, si besoin est, authentifier le réseau auquel il se connecte. === Bon gros avertissement à l'usage des clients === Un client mal configuré peut très bien se connecter tout seul à un réseau non protégé. Pour peu que le SSID de ce réseau soit le même que le vôtre, le client peu au fait des règles du WI-FI, pourra croire qu'il est connecté à votre réseau, alors que ce n'est pas le cas. Ne riez pas, il existe des gens qui utilisent le WI-FI sans rien y comprendre, j'en ai rencontré.