7 mars 2012       SECURITE & RESEAUX WIFICette action est financée par :
Plan        Les réseaux wifi          • Contexte          • Fonctionnement       Evaluations des risques et mesures de s...
ContexteDes usages de plus en plus massifs   Le temps de connexion Internet mobile devrait rapidement   dépasser celui d...
Contexte (étude   Credoc)15% de la population française s’estconnectée à Internet dans un lieu publicen 2011 par du matér...
Contexte (étude   Credoc)                                  37% des cadres                  Clusir – 7 mars 2012 – wifi & ...
FonctionnementRéseaux sans fils: Wireless Local Area Network (Wlan)   Système de communication sans les contraintes du c...
FonctionnementArchitecture cellulaire où chaquecellule appelée BSS (Basic ServiceSet) est contrôlée par un AP (AccessPoin...
Fonctionnement                 Clusir – 7 mars 2012 – wifi & sécurité
Evaluation du risque         Risques = Menaces * Vulnérabilités * Impacts         Menaces : les attaques des réseaux wif...
Les attaques : Faux AP Simuler un point d’accès existant                                      Clusir – 7 mars 2012 – wifi...
Les attaques : Rogue AP  Rogue AP (défaut de sécurisation du Hotspot)                                            Clusir –...
Les attaques : l’écoute        passiveAbsence de chiffrement ou faille de sécurité                            Ecoute pass...
Cas n 1 : Connexion lors   d’un déplacement   Menaces :     • Intrusion SI  Vulnérabilité :     • Faux point d’accès    ...
Cas n 2 : Accès internet dans       une entreprise    Offrir un accès public dans son entreprise pour :      • Offrir un ...
Cas n 2 : Accès internet dans       une entreprise    Menaces :      • Intrusion sur le SI, Interruption de service (brou...
Cas n 3 : Fourniture d’un   accès public (hotspot wifi) Contextes et usages:    • Un service de différenciation (avantage...
Cas n 3 : Fourniture d’un     accès public Menaces :   • Intrusion sur le SI de l’entreprise   • Utilisation de la connex...
Cas n 3 : Fourniture d’un     accès public Questions juridiques     L’entreprise qui met à disposition un hotspot wifi e...
Cas n 3 : Fourniture d’un     accès publicFlou juridique sur statut de l’entreprise Loi Confiance Economique Numérique 20...
Cas n 3 : Fourniture d’un     accès publicFlou juridique sur données à conserver Loi hadopi    L’entreprise doit conserv...
Cas n 3 : Fourniture d’un     accès publicSécurisation réglementaire:    Selon la Loi sur la Confiance dans l’Economie N...
Cas n 3 : Fourniture d’un     accès publicQuelles obligations?    1 - le respect de la règlementation concernant l’émiss...
Cas n 3 : Fourniture d’un     accès public                                                          LCEN 20042 – la conse...
Cas n 3 : Fourniture d’un     accès publicExclusions    Les contenus des connexions et des communications échangées ou l...
Cas n 3 : Fourniture d’un     accès publicFournitures de Conditions Générales d’Utilisation:    Préciser aux utilisateurs...
SECURISATION D’UN RESEAU WIFI                  Clusir – 7 mars 2012 – wifi & sécurité
Filtrage des @Mac @MAC = identifiant Matériel d’une carte réseau (12 caractères) Le filtrage des adresses MAC = autorisa...
Masquer le SSID SSID = nom du réseau sans fil Existante du réseau non divulguée Paramétrage des équipements fastidieux ...
Le chiffrement des     échangesSécurité     Chiffrement   Authentificati   Mise en                  Vulnérabilité         ...
Serveur d’authentification       (RADIUS)   Fonctionnalité du serveur RADIUS     • Distribuer les clés WPA2 (renouvelée r...
Séparer WIFI / filaire Aucune interaction entre l’infrastructure wifi publique et celle de  l’entreprise L’accès aux don...
Utiliser un VPN Tunnel crypté (IPsec ou PPTP) Chiffrement au dessus du réseau sans fil Serveur VPN et client sur les te...
Protéger l’AP Vérifier que le compte administrateur et le mot de passe par défaut  ont été modifiés Ne pas mémoriser le ...
MERCI DE VOTRE ATTENTION  Toutes les questions sont les          bienvenues !  Xavier MASCLAUX                          Je...
Cette création est mise à disposition selon le Contrat Attribution-NonCommercial 2.0 Francedisponible en ligne http://crea...
Prochain SlideShare
Chargement dans…5
×

Sécurité réseau wifi - clusir drôme ardèche - mars 2012

2 322 vues

Publié le

Sécuriser techniquement et juridiquement la mise en oeuvre d'un réseau wifi ouvert au public

Publié dans : Technologie
1 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 322
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
179
Commentaires
1
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité réseau wifi - clusir drôme ardèche - mars 2012

  1. 1. 7 mars 2012 SECURITE & RESEAUX WIFICette action est financée par :
  2. 2. Plan  Les réseaux wifi • Contexte • Fonctionnement Evaluations des risques et mesures de sécurité • Analyse et gestion des risques • Les différentes attaques • Etude de cas, évaluation des risques • Connexion lors d’un déplacement professionnel et personnel • Organisation qui fournit un accès wifi à ses collaborateurs • Entreprise qui fournit un accès public (hotspot) Comment sécuriser son réseau wifi ? Clusir – 7 mars 2012 – wifi & sécurité
  3. 3. ContexteDes usages de plus en plus massifs Le temps de connexion Internet mobile devrait rapidement dépasser celui du temps de connexion internet fixe Clientèle, visiteurs ou partenaires étrangers coûts de connexion à l’internet mobile -> wifi public Une facilité de déploiement Coût relativement faible Besoins d’accès temporaires: salons.. Débit intéressant / 3G Clusir – 7 mars 2012 – wifi & sécurité
  4. 4. Contexte (étude Credoc)15% de la population française s’estconnectée à Internet dans un lieu publicen 2011 par du matériel mis à % population connectée dans lieu public avec ordidisposition, soit près de 10 millions de portable ou tablette 14%personnes ! (cybercafés, epn,bibliothèque etc…) 12% 10% Principaux utilisateurs: 8% Jeunes (37% des 18-24 ans) 6% 4%  faibles revenus (24% des 2% foyers <900 € / mois) 0% 2005 2006 2007 2008 2009 2010 2011  cadres (28%) 13% de la population s’est connectéeà Internet dans un lieu public avec sonmatériel (hotspot wifi). 32% des cadres supérieurs Hausse de toutes les couches de la population Clusir – 7 mars 2012 – wifi & sécurité
  5. 5. Contexte (étude Credoc) 37% des cadres Clusir – 7 mars 2012 – wifi & sécurité
  6. 6. FonctionnementRéseaux sans fils: Wireless Local Area Network (Wlan) Système de communication sans les contraintes du câblage Norme IEEE 802.11g débit théorique maximal de 54 Mbps, 25 Mbps réel 14 canaux de transmission sur la fréquence 2,4 Ghz portée de 10 à 100m selon matériel utilisé et environnement Clusir – 7 mars 2012 – wifi & sécurité
  7. 7. FonctionnementArchitecture cellulaire où chaquecellule appelée BSS (Basic ServiceSet) est contrôlée par un AP (AccessPoint) ou point daccès, le toutformant un réseau appelé ESS(Extended Service Set)Des points d’accès wifi pourdiffuser et gérer les interconnexionsDes cartes ou clés wifi pour seconnecter aux points d’accèsDes antennes ou amplificateurspour augmenter Clusir – 7 mars 2012 – wifi & sécurité
  8. 8. Fonctionnement Clusir – 7 mars 2012 – wifi & sécurité
  9. 9. Evaluation du risque Risques = Menaces * Vulnérabilités * Impacts Menaces : les attaques des réseaux wifi & intrusions sur le SI Vulnérabilités : faiblesses ou failles humaines, techniques, organisationnelles Impacts : les dommages causés et conséquences Clusir – 7 mars 2012 – wifi & sécurité
  10. 10. Les attaques : Faux AP Simuler un point d’accès existant Clusir – 7 mars 2012 – wifi & sécurité
  11. 11. Les attaques : Rogue AP Rogue AP (défaut de sécurisation du Hotspot) Clusir – 7 mars 2012 – wifi & sécurité
  12. 12. Les attaques : l’écoute passiveAbsence de chiffrement ou faille de sécurité Ecoute passive Clusir – 7 mars 2012 – wifi & sécurité
  13. 13. Cas n 1 : Connexion lors d’un déplacement  Menaces : • Intrusion SI Vulnérabilité : • Faux point d’accès • Défaut de sécurisation des hotspots wifi • Défaut de sécurisation du terminal • Manque de vigilance ou défaut de formation Impact : • Vol ou perte de données confidentielles (informations confidentielles, commerciales, savoir faire) Clusir – 7 mars 2012 – wifi & sécurité
  14. 14. Cas n 2 : Accès internet dans une entreprise  Offrir un accès public dans son entreprise pour : • Offrir un service de connectivité à ses clients, fournisseurs, partenaires • Connexion à leur entreprise de rattachement • Connexion à des services ou sites webs • Renforcer l’image de l’entreprise (dynamique et connectée) Clusir – 7 mars 2012 – wifi & sécurité
  15. 15. Cas n 2 : Accès internet dans une entreprise  Menaces : • Intrusion sur le SI, Interruption de service (brouillage), utilisation frauduleuse de la connexion Vulnérabilités : • Accès aux documents et informations confidentielles depuis le réseau WIFI • Accès depuis l’extérieur des murs de l’entreprise • Failles de sécurité Impacts : • Vol ou perte de données confidentielles (informations confidentielles, commerciales, savoir faire) Clusir – 7 mars 2012 – wifi & sécurité
  16. 16. Cas n 3 : Fourniture d’un accès public (hotspot wifi) Contextes et usages: • Un service de différenciation (avantage concurrentiel) de plus en plus demandé. Elément quasi intégré au métier. • Gares, hôtels, offices de tourisme, campings Utilisateurs: • Personnes de passage • ClientsDifférents modèles :  accès gratuits et/ou payants  Accès ouvert, sur identification, sur tickets de connexion, sur paiement  services différenciés et personnalisés  différents modes de paiement (cartes, paiements en ligne...)  différents modèles économiques Clusir – 7 mars 2012 – wifi & sécurité
  17. 17. Cas n 3 : Fourniture d’un accès public Menaces : • Intrusion sur le SI de l’entreprise • Utilisation de la connexion internet à des fins frauduleuses ou inadaptées (téléchargement illégal, terrorisme…)Vulnérabilité : • Cadre légal (LCEN, loi anti-terroriste, Hadopi, Code des Postes et des Communications Electroniques, Loi Informatique et libertés) • Responsabilité du fournisseur d’accèsImpact : • Vol ou perte de données confidentielles (informations confidentielles, commerciales, savoir faire) • Poursuites judiciaires • Compromission de l’image de l’entreprise Clusir – 7 mars 2012 – wifi & sécurité
  18. 18. Cas n 3 : Fourniture d’un accès public Questions juridiques  L’entreprise qui met à disposition un hotspot wifi est-elle Fournisseur d’Accès Internet – Opérateur de Communication Electronique?  Doit-elle bloquer les accès aux sites pédophiles, négationnistes et racistes?  Doit elle pouvoir bloquer l’accès à certains sites si injonction juridique de le faire?  Cela concerne-t-il les salariés, les visiteurs?  Quelles obligations légales?Question principale: qui est responsable de l’utilisation frauduleuse des accèshotspots wifi? Clusir – 7 mars 2012 – wifi & sécurité
  19. 19. Cas n 3 : Fourniture d’un accès publicFlou juridique sur statut de l’entreprise Loi Confiance Economique Numérique 2004:  Entreprises dont l’activité est d’offrir un accès à des services de communication au public en ligne => pas opérateurCode des Postes et Communications Electroniques  Entreprises exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communication électronique =>opérateurArcep  Entreprise dont ce n’est pas l’activité mais qui ouvre ses réseaux internes au public dans un domaine privé sans empiéter sur le domaine public => pas opérateurCNIL  Cela ne concerne pas l’ouverture d’accès des entreprises à leurs salariés. Mais les visiteurs? Clusir – 7 mars 2012 – wifi & sécurité
  20. 20. Cas n 3 : Fourniture d’un accès publicFlou juridique sur données à conserver Loi hadopi  L’entreprise doit conservée de façon nominative les coordonnées des utilisateursCnil  Pas besoin de nominatif Clusir – 7 mars 2012 – wifi & sécurité
  21. 21. Cas n 3 : Fourniture d’un accès publicSécurisation réglementaire:  Selon la Loi sur la Confiance dans l’Economie Numérique,  « Est opérateur de réseau public, toute entreprise ou personne qui fournit un accès à un réseau de communications électroniques » ouvert au public, accessible via un réseau filaire ou hertzien (hotspot wifi) et ce sans distinction de mode de connexion (ouverte, identifiée) Clusir – 7 mars 2012 – wifi & sécurité
  22. 22. Cas n 3 : Fourniture d’un accès publicQuelles obligations?  1 - le respect de la règlementation concernant l’émission d’ondes d’une borne wifi Fréquence des ondes: plus la fréquence des ondes est basse, plus elle peut avoir un impact négatif. Fréquence > 2450 Mhz. Pour mémoire: radio Fm environ 100 Mhz et Gsm environ 1500 Mhz. Puissance des ondes: < 0.1 Watt. Pour mémoire, Gsm = 2 watt Distance: à partir de 50 centimètres de la borne, la puissance est divisée par 10 Clusir – 7 mars 2012 – wifi & sécurité
  23. 23. Cas n 3 : Fourniture d’un accès public LCEN 20042 – la conservation des données techniques issues des utilisateurs connectésà son réseau public:  informations permettant l’identification de l’utilisateur (adresse IP, numéro de téléphone…)  Les informations des terminaux de connexion utilisés  Les dates, heures et durées de chaque communication  Des services complémentaires utilisés ainsi que leurs fournisseurs  Les informations qui permettent d’identifier le ou les destinataires de la communication (spécialement pour les activités de téléphonie)  Des données sur la localisation de la communicationDurée de conservation: 1 anObligation de tenir à la disposition des autorités judiciaires (gendarmerie etpolice) ces données dans le cadre de procédures judiciaires (enquêtepréliminaire, instructions, réquisitions contre terrorisme…) Clusir – 7 mars 2012 – wifi & sécurité
  24. 24. Cas n 3 : Fourniture d’un accès publicExclusions  Les contenus des connexions et des communications échangées ou les informations consultées (sms, objet et contenu d’un mail…)  l’identité nominative des utilisateursCNIL  Pas d’obligation de déclaration des informations techniques collectées  Si formulaire d’identification des utilisateurs, obligation de déclaration (et d’accord préalable des utilisateurs) Clusir – 7 mars 2012 – wifi & sécurité
  25. 25. Cas n 3 : Fourniture d’un accès publicFournitures de Conditions Générales d’Utilisation:  Préciser aux utilisateurs de votre réseau que votre entreprise n’est pas tenue responsable des actions qu’ils peuvent réaliser  Informer les utilisateurs de l’existence de moyens techniques permettant de tracer et de restreindre les accès à certains services  Ne pas laisser de moyen de stockage sur les postes libre service, ni de transfert direct sur support externe Clusir – 7 mars 2012 – wifi & sécurité
  26. 26. SECURISATION D’UN RESEAU WIFI Clusir – 7 mars 2012 – wifi & sécurité
  27. 27. Filtrage des @Mac @MAC = identifiant Matériel d’une carte réseau (12 caractères) Le filtrage des adresses MAC = autorisation des machines légitimes Possibilité de changer l’adresse MAC d’une carte de manière logicielle Faible niveau de sécurité Inadaptable pour un hotspot public Clusir – 7 mars 2012 – wifi & sécurité
  28. 28. Masquer le SSID SSID = nom du réseau sans fil Existante du réseau non divulguée Paramétrage des équipements fastidieux (Saisie des paramètres manuellement) Faible niveau de sécurité (monitoring) Inadapté à un hotspot ou à un accès aux collaborateurs dans une entreprise Clusir – 7 mars 2012 – wifi & sécurité
  29. 29. Le chiffrement des échangesSécurité Chiffrement Authentificati Mise en Vulnérabilité on œuvreWEP Clé partagée Faille protocole (cryptographie )WPA TKIP PSK Clé partagée Attaque DicoPersonnal Force BruteWPA2 CCMP PSK Clé partagéePersonnal (extension AES)WPA TKIP EAP ServeurEntreprise d’authentificati on dédié (RADIUS)WPA2 CCMP EAP ServeurEntreprise (extension d’authentificati AES) on dédié (RADIUS) Clusir – 7 mars 2012 – wifi & sécurité
  30. 30. Serveur d’authentification (RADIUS)  Fonctionnalité du serveur RADIUS • Distribuer les clés WPA2 (renouvelée régulièrement, attribué à chaque utilisateur) • Identifier les personnes qui veulent se connecter (log) • Autoriser l’accès au réseau Clusir – 7 mars 2012 – wifi & sécurité
  31. 31. Séparer WIFI / filaire Aucune interaction entre l’infrastructure wifi publique et celle de l’entreprise L’accès aux données est possible uniquement sur le réseau câblé Infrastructure réseau dédiée ou séparation (pare-feu, Vlan invité) Ou pare-feu pour isoler le réseau wifi du réseau câblé. Clusir – 7 mars 2012 – wifi & sécurité
  32. 32. Utiliser un VPN Tunnel crypté (IPsec ou PPTP) Chiffrement au dessus du réseau sans fil Serveur VPN et client sur les terminaux Niveau de sécurité fort Inapplicable à un hotspot public Clusir – 7 mars 2012 – wifi & sécurité
  33. 33. Protéger l’AP Vérifier que le compte administrateur et le mot de passe par défaut ont été modifiés Ne pas mémoriser le mot de passe de la console d’administration du routeur dans l’interface du navigateur Ne pas laisser l’étiquette avec le code wep / wpa collé sur l’AP Désactiver les services disponibles non utilisés (telnet) Clusir – 7 mars 2012 – wifi & sécurité
  34. 34. MERCI DE VOTRE ATTENTION Toutes les questions sont les bienvenues ! Xavier MASCLAUX Jean-Philippe FALAVEL xmasclaux@pole-numerique.fr jpfalavel@pole-numerique.fr 06.10.64.13.53 – 04 75 83 50 58 06 34 55 49 90– 04 75 83 50 58
  35. 35. Cette création est mise à disposition selon le Contrat Attribution-NonCommercial 2.0 Francedisponible en ligne http://creativecommons.org/licenses/by-nc/2.0/fr/ ou par courrier postal àCreative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA. En citant « Source Pôle Numérique » pour toutes reprises intégrales ou « Librement inspiré des travaux du Pôle Numérique » en cas de modification

×