Sécurité WiFi et contrôle d'accès sans fil
Définition
La sécurité WiFi couvre l'ensemble des mécanismes de chiffrement, d'authentification et de contrôle d'accès utilisés pour protéger les réseaux sans fil contre les écoutes, les accès non autorisés et les attaques spécifiques au médium radio (rogue AP, evil twin, deauthentication). Les standards actuels sont WPA2 (802.11i) et WPA3 (802.11i amélioré).
Contexte
Le WiFi est un vecteur d'attaque privilégié car le signal radio dépasse les murs physiques du bâtiment. Un réseau WiFi mal sécurisé expose l'organisation à l'interception de données, à l'accès non autorisé et à des attaques MITM. La certification CCST couvre les protocoles de sécurité WiFi et les bonnes pratiques de déploiement.
Détails techniques
Évolution des protocoles de sécurité WiFi
| Protocole |
Année |
Chiffrement |
Authentification |
Sécurité |
| WEP |
1999 |
RC4 (IV 24 bits) |
Clé partagée statique |
Cassé — ne jamais utiliser |
| WPA |
2003 |
TKIP (RC4 amélioré) |
PSK ou 802.1X |
Vulnérable — déprécié |
| WPA2 |
2004 |
AES-CCMP |
PSK ou 802.1X |
Standard actuel minimal |
| WPA3 |
2018 |
AES-GCMP-256 |
SAE (remplace PSK) ou 802.1X |
Recommandé |
WPA2 — modes d'authentification
| Mode |
Usage |
Détail |
| WPA2-Personal (PSK) |
Petits réseaux, domicile |
Clé pré-partagée (passphrase) commune à tous les utilisateurs |
| WPA2-Enterprise (802.1X) |
Entreprise |
Chaque utilisateur s'authentifie individuellement via un serveur RADIUS (EAP) |
WPA3 — améliorations
| Fonctionnalité |
Description |
| SAE (Simultaneous Authentication of Equals) |
Remplace le 4-way handshake PSK par un échange Dragonfly résistant aux attaques par dictionnaire offline |
| Forward secrecy |
Même si la clé est compromise plus tard, les sessions passées restent protégées |
| PMF (Protected Management Frames) |
Obligatoire — protège les trames de gestion (deauth, disassoc) contre le spoofing |
| 192-bit security mode |
Mode entreprise avec chiffrement GCMP-256 et HMAC-SHA-384 |
802.1X et EAP — architecture d'authentification
Client WiFi (Supplicant)
│
│ EAPoL (EAP over LAN)
▼
Point d'accès (Authenticator)
│
│ RADIUS (UDP 1812/1813)
▼
Serveur RADIUS (Authentication Server)
│
│ Vérification des identifiants
▼
Base d'identités (Active Directory, LDAP)
Variantes EAP courantes :
| Méthode EAP |
Description |
| EAP-TLS |
Certificat client + serveur — le plus sécurisé |
| PEAP |
Tunnel TLS, puis identifiant/mot de passe (MSCHAPv2) — le plus déployé en entreprise |
| EAP-TTLS |
Similaire à PEAP, plus flexible côté méthode interne |
| EAP-FAST |
Propriétaire Cisco, alternative rapide sans certificat client |
Menaces spécifiques au WiFi
| Menace |
Description |
Contre-mesure |
| Rogue AP |
Point d'accès non autorisé connecté au réseau filaire |
WIDS/WIPS, 802.1X sur le filaire, scans réguliers |
| Evil twin |
AP malveillant imitant le SSID légitime |
WPA3-Enterprise, formation utilisateurs, WIPS |
| Deauthentication attack |
Envoi de trames deauth forgées pour déconnecter les clients |
PMF (obligatoire en WPA3) |
| Eavesdropping |
Écoute passive du trafic WiFi |
WPA2/WPA3 + VPN pour le trafic sensible |
| KRACK (Key Reinstallation AtaCK) |
Exploitation du 4-way handshake WPA2 |
Patch des clients et APs, migration vers WPA3 |
Bonnes pratiques de déploiement WiFi sécurisé
| Pratique |
Détail |
| WPA3-Enterprise si possible |
Sinon WPA2-Enterprise au minimum |
| SSID séparé pour les invités |
VLAN dédié, ACL restrictives, portail captif |
| Ne pas diffuser le SSID du réseau admin |
Masquer le SSID n'est pas une sécurité, mais réduit l'exposition |
| Utiliser 802.1X + RADIUS |
Authentification individuelle, traçabilité |
| Activer PMF |
Protection contre les attaques deauth |
| Segmenter le trafic WiFi |
VLAN invités ≠ VLAN corporate ≠ VLAN IoT |
| Mettre à jour les firmwares AP |
Corriger les vulnérabilités connues |
Exemple concret
Scénario : une entreprise de 150 employés déploie un réseau WiFi sécurisé avec 3 SSID.
- SSID "Corp-WiFi" (WPA3-Enterprise) : authentification 802.1X via RADIUS/Active Directory (PEAP-MSCHAPv2). Les employés s'authentifient avec leurs identifiants AD. VLAN 10.
- SSID "Guest-WiFi" (WPA2-Personal) : portail captif avec acceptation des CGU, isolation client (AP isolation), VLAN 99 avec accès Internet uniquement.
- SSID "IoT-Sensors" (WPA2-Personal, clé forte) : VLAN 40 dédié, ACL qui limite le trafic au broker MQTT interne uniquement.
- PMF activé sur tous les SSID pour bloquer les attaques deauthentication.
- WIPS intégré au contrôleur WiFi (Cisco WLC) : détection automatique des rogue APs et evil twins avec alertes.
