Comment bien sécuriser votre WiFi ?
Pas mal de monde commence à s’interroger sur la sécurité de son environnement informatique, peut-être que nous ne sommes pas encore assez nombreux à nous poser des questions sur la vulnérabilité de nos réseaux, mais en tout cas la tendance est à une certaine prise de conscience.
Il faut dire que les différents acteurs de la sécurité, éditeurs d’antivirus et prestataires VPN en tête nous martèlent de recommandations toute la journée. Bien entendu, ils cherchent à vendre leur service, et c’est bien normal, mais pour autant, tout n’est pas à jeter dans ces recommandations.
Mais avant même d’avoir recours à ces tiers, ne pouvons-nous pas, par nous-même, et gratuitement, sécuriser cet environnement, et plus spécifiquement nos réseaux WiFi ?
Vous vous doutez bien que si je pose cette question c’est que certaines mesures peuvent déjà être mises en place, c’est à la portée de tous et c’est diablement efficace. Disons, que, suivant l’état actuel de votre WiFi, et vos (mauvaises) habitudes, vous pouvez d’ores et déjà énormément augmenter la sécurité de votre réseau.
Il y a des choses techniques à mettre en place, et de bonnes habitudes à prendre, alors ensuite, si vous voulez aller encore plus loin, il sera également possible de rajouter certaines briques sécuritaires, comme un VPN ou un antivirus payant, comme nous le mentionnons juste avant.
Les bonnes et les mauvaises habitudes
Nous allons commencer par-là, un petit truc qui a un peu tendance à m’énerver (intérieurement bien entendu), le partage de votre mot de passe WiFi. Sans essayer de compter, savez-vous à peu près à combien de personnes vous avez déjà donné votre mot de passe WiFi ? 5 ? 10 ? 50 ? Et vous faites une confiance absolue à tous ces gens ? Je veux dire, parmi ces détenteurs de votre mot de passe, vous êtes sur et certain que tous sont parfaitement honnêtes ? Oui, je sais, dans cette liste de gens il y a des membres de votre famille, ou des amis, mais peut-être qu’il y a aussi des amis d’amis ? Bref des gens que vous ne connaissez pour ainsi dire pas.
Est-ce prudent ? Non. Est-ce nécessaire ? Non plus. Est-ce une grosse faille de sécurité ? Oui c’est certain. Qu’est-ce qui vous garantit qu’en ce moment, il n’y a pas quelqu’un dans une voiture garée devant chez vous qui est en train de se promener sur votre réseau et de vous voler des informations confidentielles ? Il faut bien comprendre que donner son mot de passe réseau à n’importe qui c’est la même chose que de donner vos clés de porte d’entrée à quelqu’un que vous ne connaissez pas.
Alors, oui, c’est mal poli, si on vous demande le-dit mot de passe d’envoyer la personne se faire cuire un œuf. Et en plus, vous allez passer pour un gros parano. Cependant, il existe une solution toute bête et dont vous êtes probablement déjà équipé sans le savoir, le réseau WiFi « invités ».
C’est quoi donc ? Et bien, comme son nom l’indique, c’est un réseau WiFi parallèle à votre réseau principal, mais dédié uniquement aux personnes de passage dans votre domicile. Ce réseau WiFi a une particularité, il permet d’accéder à Internet, mais ne permet pas l’accès au périphériques réseaux présents sur votre réseau local. Ainsi, en partageant, non pas le mot de passe de votre WiFi principal, mais celui du réseau « invités », il devient impossible pour quelqu’un de mal intentionné de vous dérober quoi que ce soit (à condition que le reste soit également bien configuré).
Rien de vous empêche également, de changer le mot de passe de ce réseau secondaire de temps en temps afin, d’éliminer les autres risques potentiels.
Donc, première bonne habitude, on arrête de donner son mot de passe WiFi à tout le monde, et à la place on donne celui du réseau « invités ». Ce mot de passe du réseau « invités » peut être quelque chose de simple, de facile à se souvenir, car il ne présente pas d’énormes risques et en plus de ça vous le changerez de temps en temps.
Par contre, maintenant que la moitié de vos connaissances ont le mot de passe de votre réseau WiFi principal dans la mémoire de leur smartphone, il va falloir changer ce mot de passe, pour repartir sur des bases saines.
Je pense que nous avons déjà évoqué la sécurité des mots de passe, mais en remettre en couche ne peut pas faire de mal. Donc, rapidement et en gros, on évite les dates de naissances, la vôtre, celle de vos enfants, ou celle de votre chien… On évite également les prénoms, et plus généralement tout ce qui a un rapport trop direct avec vous. Ça peut paraitre un peu extrême, mais depuis l’apparition des réseaux sociaux, il est assez simple pour un attaquant de recourir à ce que l’on appelle le social engineering. La personne mal intentionnée va entrer tout un tas d’informations vous concernant dans un logiciel et ce logiciel va essayer un nombre important de combinaisons incluant ces informations. Utiliser ce genre d’infos dans votre mot de passe, c’est une brèche, un point d’entrée pour une attaque. De plus, il faut que votre mot de passe soit long. Car même si vous n’utilisez pas d’informations persos dans le mot de passe, il est tout de même possible de le deviner, tout simplement en essayant toutes les combinaisons possibles.
On comprend donc bien, que plus le mot de passe est long, et plus il contient de type de symboles différents et plus le piratage par force brute va être long. Le mieux, et probablement le plus efficace, c’est d’opter pour une pass phrase. Prenons, un exemple, je me souviens assez bien de la fable Le corbeau et le renard que j’ai appris quand j’étais écolier.
« Maître Corbeau, sur un arbre perché
Tenait en son bec un fromage. »
C’est je pense quelque chose que je ne risque pas d’oublier. Maintenant, imaginons que je prenne la première lettre de chacun des mots de cette phrase : mcsuaptesbuf c’est déjà plus compliqué à deviner, mais comme moi je connais la phrase utilisée, ce n’est pas un problème. Par contre, ça manque un peu de symboles et de chiffres pour que ça devienne vraiment compliqué à forcer. Mettons deux ou trois lettres en majuscules, les noms par exemple, cela nous donne mCsuAptesBuF
C’est en deux vers, séparons-les donc, avec un slash par exemple : mCsuAp/tesBuF
On encadre le premier vers avec des points d’exclamation, et le second avec des points d’interrogation par exemple et on obtient : !mCsuAp!/?tesBuF?
C’est facile à retenir et pourtant c’est déjà bien compliqué. Voilà, c’est ça une pass phrase, et cette fois, ne la donnez pas à tout le monde…
En parlant de bonne habitude et de mot de passe.
Si vous avez un routeur récent, durant l’installation on vous a demandé de renseigner un nom d’utilisateur et un mot de passe, si votre mot de passe est votre date de naissance, ou votre prénom, même punition que pour le mot de passe WiFi, il faut protéger l’interface d’administration de votre routeur ou de votre box. Refaites donc une pass phrase et changez ce mot de passe.
Par contre, si votre routeur ou votre box est plus ancien, il est fort possible que cette interface d’administration soit uniquement protégée par des identifiants génériques du type « admin » et « admin », oui, à l’époque on était moins regardant… Il est alors INDISPENSABLE que vous changiez ce nom d’utilisateur et ce mot de passe pour quelque chose de plus consistant. Quand une attaque est menée sur votre réseau, elle est le plus souvent automatique, réalisée par un bot, et bien entendu, ce qui est testé en premier ce sont ces identifiants génériques.
Là, déjà en changeant le mot de passe de l’interface en ligne et celui de votre WiFi, vous commencez déjà à ne pas être trop mal protégé.
Le chiffrement de votre mot de passe
C’est une très bonne chose d’avoir changé le mot de passe de votre réseau WiFi, mais si vous possédez un routeur ou une box un peu ancienne, il est possible que le système de chiffrement de cette clé de sécurité soit totalement dépassé…
Dans le pire des cas, vous n’avez pas de chiffrement, on dit alors que votre WiFi est ouvert, et comme ce nom l’indique, aucun mot de passe n’est nécessaire pour s’y connecter. Bon j’ose espérer que ce n’est pas votre cas, de toute façon, si vous venez de changer votre mot de passe, c’est bien que ce mot de passe existe !
Le second cas le plus grave, c’est si votre système de chiffrement utilise toujours le protocole WEP. C’est un vieux protocole de sécurité du mot de passe de votre WiFi qui peut, dans de bonnes conditions être cassé en quelques minutes. C’est-à-dire que, même avec un mot de passe un peu complexe, une personne garée devant chez vous pourrait s’introduire sur votre réseau WiFi en 20 ou 30 minutes, une heure si vraiment vous avez de la chance.
Il est donc très important de vérifier le protocole de chiffrement de votre clé réseau et de le changer si besoin. Si possible, choisissez « WPA2-Personal » ou si votre routeur est très récent le « WPA3 ».
Si vous avez changé votre mot de passe réseau, votre mot de passe de l’interface d’administration de votre routeur et enfin la méthode de chiffrement, vous commencez déjà à être assez bien à l’abris, mais cela peut parfois ne pas être suffisant.
Le problème humain
Comme nous l’avons vu avec la diffusion volontaire de votre mot de passe réseau. La faiblesse de votre sécurité vient souvent de l’utilisateur lui-même. Prenons un exemple simple que l’on voit très souvent… vous suivez mes conseils et vous changez le mot de passe de votre réseau WiFi par quelque chose de bien compliqué, comme par exemple la pass phrase que nous avons créé ensemble : !mCsuAp!/?tesBuF? et vous la notez sur un post-it que vous collez fièrement sur votre écran… ne rigolez pas, on voit ça très souvent.
Mais souvent, il y a une autre bêtise qu’il peut être facile de commettre, ouvrir n’importe quel fichier, ou cliquer sur n’importe quel lien. C’est le principe du cheval de Troie. Si l’attaquant n’arrive pas à passer vos défenses (tout ce que nous venons de mettre en place), il peut se débrouiller pour que vous le faciez renter directement chez vous. Pour ce faire, la personne mal intentionnée va vous envoyer un fichier que vous aurez envie d’ouvrir. Mais, caché dans ce fichier il y aura un programme malveillant. Un programme qui pourra, par exemple, envoyer à cet attaquant tout ce que vous tapez sur votre clavier, ou bien carrément se servir dans vos fichiers. Donc, même avec un réseau difficile à pénétrer, il faut rester prudent. Et c’est là que peut intervenir un bon antivirus.
L’antivirus
Ça va être le job de l’antivirus, combler vos failles. Vous pouvez tout à fait cliquer par inadvertance sur un lien qui semble légitime et vous retrouver dans la panade par exemple, c’est là que l’antivirus doit se déclencher et vous avertir du risque, voir même vous empêcher de courir ce risque.
Mon but n’est pas de vous vendre un antivirus en particulier, je ne suis pas un camelot, ni même d’ailleurs de vous en vendre un tout court. Dans l’immense majorité des cas, un antivirus gratuit est suffisant. Ce qui va vraiment faire la différence entre un antivirus gratuit, comme par exemple celui qui est intégré à Windows et un payant, ce vont être les fonctions annexes. Avec un antivirus payant, vous aurez le droit à un VPN, un gestionnaire de mots de passe et tout ce que vous voulez d’autres, c’est la foire aux gadgets. Mais gardez bien à l’esprit que toutes ces fonctionnalités ne sont pas forcément utiles et qu’elles alourdissent donc parfois inutilement votre système d’exploitation.
Le VPN
Là, on pousse encore un peu plus loin la sécurité de votre réseau. Un VPN va permettre de dissimuler votre adresse IP réelle, et donc par là même de vous protéger des attaques automatiques menées par des bots, ou bien d’une attaque ciblée réalisée par un pirate.
Le principe d’un VPN est de faire transiter vos données par un serveur tiers. C’est-à-dire, que l’adresse IP qui apparaitra en ligne ne sera plus la vôtre, mais celle du serveur VPN auquel vous êtes connecté. Donc, de fait, toute attaque venant de l’extérieur de votre réseau devient caduque car l’attaquant n’essaiera pas de vous attaquer vous, mais le serveur VPN auquel vous êtes connecté.
Conclusion
Ces mesures peuvent peut-être faire sourire les moins paranoïaques, mais ce sont pourtant bel et bien des mesures extrêmement importantes que vous devriez mettre en place. Le temps où un pirate physique essayait de percer votre réseau pour vous dérober des données précises est un peu dépassé. A moins que vous ne travailliez pour notre gouvernement, pour une puissance étrangère, ou pour une entreprise hébergeant de lourds secrets commerciaux, il y a peu de chance qu’un individu réel essaie de vous voulez quoi que ce soit. Il faut que ça soit rentable…
Non maintenant, la technique est tout autre, et vous allez comprendre pourquoi il est important de mettre en place ces différentes briques de cyber sécurité. N’importe quel ado avec un peu de connaissances informatiques peut se rendre sur le deep web et acheter pour quelques euros un pack clé en main de hacking.
Avec ce pack, il va pouvoir réaliser de manière automatique des tentatives d’intrusion. Si vous avez un routeur avec encore les identifiants par défaut, vous ne tiendrez pas longtemps.
Une autre technique consiste à acheter des listes de couple email/mot de passe qui ont déjà été compromis. Cette technique se base sur le fait que beaucoup d’utilisateurs utilisent toujours le même mot de passe.
Imaginons que votre forum de modélisme, peu sécurisé, se fasse pirater. Il y a alors de fortes chances que les identifiants dont vous vous servez pour accéder à ce forum soient les mêmes que ceux de votre compte Netflix, ou bien que ceux de vos autres comptes en ligne. Il suffit donc à la personne qui a acheté ces listes, de tester ces couples email/mot de passe sur différents services en ligne, de manière automatique grâce à un logiciel spécifique.
Maintenant que vous avez quelques notions pour protéger votre réseau WiFi, c’est peut-être une bonne idée d’appliquer ce que nous avons appris pour obtenir un bon mot de passe sur les services en ligne que vous utilisez.
