Selon l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI), encore près de la moitié des réseaux Wifi français sont pas ou mal protégés contre les intrusions. L'agence de l'Etat a donc décidé de publier des recommandations très précises.

Alors que l'on attend toujours que l'Hadopi fasse son travail et publie enfin les spécifications fonctionnelles des moyens de sécurisation, comme le lui intime la loi (mais il est vrai qu'il s'agit d'une loi impossible à respecter tant le chantier est complexe), l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) vient de publier ses recommandations en matière de réseaux WiFi, à destination des professionnels comme des particuliers.

"Début 2013, près de la moitié des réseaux WiFi n’utilisent aucun moyen de  chiffrement ou utilisent un moyen de chiffrement obsolète", constate l'Agence. Malgré les quelques 1,6 millions de mails envoyés aux internautes depuis la création de l'Hadopi, qui invitent à prendre "toute précaution pour sécuriser" l'accès à internet, "force est de constater que la problématique  de sécurisation des réseaux sans-?l n’est pas toujours bien appréhendée et que les risques encourus  restent souvent méconnus". 

L'ANSSI a donc décidé de publier elle-même des recommandations de sécurisation, beaucoup plus complètes que la fiche pratique (.pdf) publiée par l'Hadopi – laquelle est d'ailleurs difficile à trouver pour l'internaute lambda qui se rend sur le site officiel de la Haute Autorité. Suivre ces recommandations peut vous éviter d'avoir à dénoncer vos voisins lorsque vous recevez un mail Hadopi :

Voici l'ensemble de ses recommandations pour les particuliers.

Au niveau du terminal (ordinateur, smartphone, tablette…) :

  1. N’activer l’interface WiFi que lorsqu’elle celle-ci doit être utilisée ;
  2. A?n de garder le contrôle sur la connectivité du terminal, désactiver systématiquement  l’association automatique aux points d’accès WiFi con?gurés dans le terminal ;
  3. Maintenir le système d’exploitation et les pilotes WiFi du terminal en permanence à jour  des correctifs de sécurité ;
  4. Éviter tant que possible de se connecter à des réseaux sans ?l inconnus ou qui ne sont pas  de con?ance ;
  5. Bloquer, par con?guration du pare-feu local, les connexions entrantes via l’interface WiFi ;

Au niveau du routeur WiFi/de la box :

  1. Con?gurer le point d’accès pour utiliser un chi?rement robuste. le mode WPA2 avec l’algorithme de chiffrement AES-CCMP est fortement recommandé. Pour les points d’accès  personnels, utiliser le mode d’authenti?cation WPA-PSK (WPA-Personnel) avec un mot  de passe long (une vingtaine de caractères par exemple) et complexe, d’autant plus que ce  dernier est enregistré et n’a pas besoin d’être mémorisé par l’utilisateur ;
  2. Lorsque l’accès au réseau WiFi n’est protégé que par un mot de passe (WPA-PSK), il est  primordial de changer régulièrement ce dernier mais également de contrôler sa diffusion.  En particulier, il convient de : 
    – ne pas communiquer le mot de passe à des tiers non autorisés (prestataires de services  par exemple) ;
    – ne pas écrire le mot de passe sur un support qui pourrait être vu par un tiers non  autorisé ;  
    – changer le mot de passe régulièrement et lorsqu’il a été compromis. ;
  3. Con?gurer le Private VLAN invité en mode isolated lorsque que le point d’accès WiFi  prend en charge cette fonctionnalité ;
  4. Ne pas conserver un nom de réseau (SSID) générique et proposé par défaut. Le SSID retenu  ne doit pas être trop explicite par rapport à une activité professionnelle ou une information  personnelle ;
  5. Désactiver systématiquement la fonction WPS (WiFi Protected Setup) des points d’accès ;
  6. Sécuriser l’administration du point d’accès WiFi, en :
    – utilisant des protocoles d’administration sécurisés (HTTPS par exemple) ;
    – connectant l’interface d’administration à un réseau ?laire d’administration sécurisé, a  minima en y empêchant l’accès aux utilisateurs WiFi ;
    – utilisant des mots de passe d’administration robustes. ;
  7. Con?gurer le point d’accès pour que les évènements de sécurité puissent être supervisés.  En environnement professionnel, il est préférable de rediriger l’ensemble des évènements  générés par les points d’accès vers une infrastructure centrale de supervision ;
  8. Maintenir le microgiciel (le firmware, ndlr) des points d’accès à jour ;
  9. Ne jamais sous-estimer la zone de couverture d’un réseau WiFi. Ne jamais penser être à  l’abri de tout risque du fait de l’isolement géographique du point d’accès WiFi ;

Partager sur les réseaux sociaux

Articles liés