06 novembre 2017

Sans fil et sans filet

TL;DR : Si j'ai un conseil à donner aux professions libérales et aux indépendants, c'est de couper le réseau wifi de leur cabinet professionnel rapidement.

C'est toujours un peu casse-gueule pour moi de faire un billet sur la sécurité informatique. Alors je vais commencer par une citation :
"La sécurité est un échec car personne, quel que soit son niveau de compétences et l’énergie investie dans l’administration de ses systèmes, ne peut prétendre être invulnérable."
Newsoft La preuve que la sécurité est un échec
Même les meilleurs se font pirater. Croire être en sécurité derrière ses barrières informatiques est une illusion.

Une fois qu'on a bien compris cela, il faut minimiser l'impact d'un piratage (qui aura lieu un jour) : faire des sauvegardes, réfléchir aux conséquences d'un piratage, faire de la veille, définir un niveau de sécurité et investir suffisamment, etc. Il faut limiter autant que faire se peut l'impact d'un piratage et la surface d'attaque.

La sécurité informatique est une discipline complexe de l'informatique, car elle nécessite de connaître et comprendre un très grand nombre de mécanismes dans la plupart des branches de l'informatique. En tant qu'informaticien "généraliste", je suis toujours stupéfait par le niveau des conférences sur la sécurité auxquelles j'assiste (c'est une manière détournée de dire que je suis nul).

Alors, quand j'ai appris que les réseaux wifi sécurisés en WPA2 (meilleure sécurisation disponible au moment de l'écriture de ce billet) étaient compromis par la technique de "Key reinstallation attacks" (KRACK), j'ai tout de suite éteint toutes les bornes wifi de la maison, par précaution.

Et bien sur, je n'ai eu de cesse depuis de chercher à les rallumer. Parce que le sans fil, c'est quand même pratique...

J'ai fait un petit audit interne du réseau familial : l'étage des enfants est uniquement en wifi (pas de prises RJ45), tous nos téléphones sont souvent connectés au wifi (mauvaise couverture 3G/4G, sauf au grenier) et nos vieilles tablettes ne fonctionnent qu'en wifi. Tous les ordinateurs fixes sur rez-de-chaussée sont en filaire (bureau pro de mon épouse, mon bureau d'expertise, NAS, serveur de sauvegarde, PS4, Xbox, Zotac, Raspbery Pi, etc.)

Tout ce petit monde formait jusqu'à présent un seul réseau (wifi et filaire). Je sais, c'était une erreur. Une erreur que j'ai essayé de réparer.

Une fois le wifi éteint, j'ai tiré des câbles dans les cloisons de l'étage pour que chaque pièce puisse disposer d'un câble RJ45 haut débit. Un petit switch dans le plafond, relié à l'ancien branchement RJ45 de la borne wifi de l'étage, et hop tout le monde était de nouveau branché (travail en cours, POC en place).

Le réseau familial et le réseau professionnel de la maison sont maintenant séparés par un routeur (par le premier routeur que j'avais sous la main : j'ai utilisé les ports WAN/LAN d'une ancienne borne wifi dont le wifi est désactivé). La logique d'accès est la suivante : réseau pro -> réseau familial -> accès internet. Les NAS, imprimantes et autres ressources communes sont sur le réseau familial pour être accessibles à tous.

Comme j'ai la chance d'avoir un abonnement téléphonique professionnel qui inclut une carte SIM supplémentaire avec DATA, j'avais prévu de m'en servir d'accès de secours à internet, "au cas où". J'ai plutôt fait l'achat d'un routeur wifi 4G, et allumé un réseau wifi indépendant de la box du FAI de mon réseau filaire.

J'ai donc maintenant les deux réseaux filaires sur mon FAI principal, et un réseau wifi (indépendant des réseaux filaires) sur mon FAI de secours.

J'ai demandé aux enfants un usage "raisonnable" du wifi pour éviter d'atteindre le niveau de consommation à partir duquel le débit est bridé sur ma carte SIM de secours (donc si possible, pas de streaming vidéo sur le wifi).

Pour résumé, si vous avez une activité professionnelle "sensible" et que vous voulez quand même du wifi, je vous conseille d'investir dans un deuxième abonnement internet, pour créer un réseau séparé, dédié au wifi. Si le prix vous fait grincer des dents, dites vous que ça vous sauvera la vie quand votre FAI principal vous laissera en panne pendant un mois...

Sinon, sans fil = sans filet. Surtout si vous acceptez d'y connecter des appareils android anciens.

Enfin, c'est vous qui voyez...

PS: Ceux qui cachent leur SSID en pensant être protégés, je vous laisse regarder du côté d'airodump et scapy...

16 commentaires:

  1. Sinon une autre option est d'utiliser des VLAN... mais toutes les box des FAI ne le proposent pas. Ceci étant tout bon routeur du commerce le fait sans problème ! Par contre à configurer c'est pas niveau trivial malheureusement

    RépondreSupprimer
    Réponses
    1. Un bon routeur qui propose des VLAN, ça coûte un peu... Et puis il reste ensuite à faire le routage inter-VLAN. Il faut être sur de soi.

      Supprimer
    2. Tu peux utiliser PFsense pour cela, ça peut s'installer sur un équipement peu onéreux et permet de faire des règles très lisible.
      C'est plutôt bien documenté.

      Supprimer
    3. J'essaye d'avoir du matériel peu gourmand en énergie pour ce genre d'activité (car il reste allumé en permanence). J'avais repéré un routeur matériel pfsense à 150 euros, mais Mme Zythom a mis le holà...

      Supprimer
    4. les routeurs MikroTik sont pas mauvais du tout sur la gestion des vlans.les premiers modéles tournent à moins de 100€, me semble t il. Ils ont également un point d'accès LTE qui fonctionne bien.

      Supprimer
  2. Et le filtrage par MAC address et l'utilisation d'IP statiques sur les appareils ? C'est pénible à mettre en place mais ça paraît un minimum sécuritaire non ?

    RépondreSupprimer
    Réponses
    1. Il est très facile de cloner une adresse MAC et de prendre une adresse IP fixe autorisée, donc sécurité très faible à mon sens... (désolé)

      Supprimer
    2. Ou peut être monter un vpn en local qui aboutit sur un serveur en filaire ou prendre une offre chez un fai associatif comme FDN.

      Supprimer
    3. C'est ce que j'ai mis en place en 1er: OpenVPN sur mon NAS Synology. Mais j'ai trouvé cette solution trop complexe pour l'ensemble des tablettes et portables... Sans compter les portables des copain(e)s des enfants.

      Supprimer
  3. Bonsoir Zythom, merci pour votre article (un tout petit peu trop technique pour le partager avec tous mes amis, mais très intéressant pour les gens qui se sentent concernés).

    Suis tout à fait d'accord sur votre analyse du filtrage par adresse MAC : il est malheureusement inutile (tout en étant contraignant, le comble)

    Par contre je serais très intéressé par votre avis sur les points d'accès wifi qui proposent du multi-SSID (justement en prétendant proposer un réseau "isolé", qui ne peut qu'accéder à Internet, mais pas dialoguer avec le reste du réseau domestique). Sur le papier, ça a l'air intéressant (je pourrais alors mettre sur un Wifi isolé tout ce qui n'a pas reçu de patch, et ne laisser l'accès au réseau interne qu'aux équipements patchés), mais je n'ai pas réussi à savoir si au final ces différents SSID ne partageait pas, d'une manière ou d'une autre, la même clé (ce qui serait bien sûr inutile contre une vulnérabilité type krach).

    On trouve cette fonctionnalité d'"isolation SSID" par exemple chez TP-Link (TL-WA801ND). Si vous avez un avis, je suis très preneur


    Merci, et bonne soirée

    Grégory

    RépondreSupprimer
    Réponses
    1. J'ai repéré également cette solution, mais je n'ai pas pu la tester. J'ai quand même un doute sur l’étanchéité (ce n'est qu'un a priori).

      Supprimer
  4. >Pour résumé, si vous avez une activité professionnelle "sensible" et que vous voulez quand même du wifi, je vous conseille d'investir dans un deuxième abonnement internet, pour créer un réseau séparé, dédié au wifi.

    Si on veut quand même du Wifi, le fait que ce soit un réseau dédié ne changera rien. La faille KRACK sera là si le routeur a une configuration permet l'exploitation de cette faille...

    La redondance d'une connexion (avoir une solution de secours / alternative) pour ne pas se retrouver sans connexion, d'accord.

    Mais là, l'article me semble mélanger la problématique de la faille KRACK, le passage à du filaire, mais faut quand même du wifi donc on fait un wifi autre...

    RépondreSupprimer
    Réponses
    1. Si un pirate entre dans le réseau, autant qu'il soit isolé dans un réseau "bac à sable", non ? En tout cas, qu'il n'ait pas accès aux données des autres réseaux.

      Le mélange des problématiques du billet vient du fait de vouloir un réseau pro et un réseau perso, avec le confort du sans fil (et le sourire de la crémière ;-).

      Supprimer
  5. Au début du Wifi, j'avais un réseau non chiffré, mais qui pointait sur un serveur VPN et non directement sur mon LAN/Internet. Sans abandonner le WPA pour autant (qui améliore quand-même beaucoup la stabilité des connexions), je pense revenir vers cette solution. Même si cela ajoute de la complexité, patcher OpenVPN et Raspbian reste beaucoup plus simple que de changer / mettre à jour le matériel.

    RépondreSupprimer
    Réponses
    1. Voir ma réponse ci-dessus : c'est efficace, mais pas très friendly...

      Supprimer
  6. Pour ce réseau Wifi séparé, il n'y a donc pas d'accès aux équipements communs (NAS, imprimante) et il ne sert purement qu'à de l'accès internet ?

    C'est là où ça coincerait un peu chez moi : le wifi permet aux tablettes/tél d'accéder à distance à certaines ressources partagées (sur le NAS) et est utilisée par ces mêmes appareils pour commander d'autres machines (media center typiquement). Bon, ok, j'ai aussi une télécommande infrarouge pour le media center, mais il faut allumer la TV pour l'utiliser...

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.