Sécurité sans fil et bonnes pratiques
Définition
La sécurité sans fil protège les réseaux Wi-Fi contre les accès non autorisés, l'écoute et les attaques. Elle combine le chiffrement des communications (WPA2/WPA3), l'authentification des clients et la configuration sécurisée des points d'accès.
| Protocole |
Chiffrement |
Authentification |
Recommandation |
| WEP |
RC4 (cassé) |
Clé partagée |
Ne jamais utiliser |
| WPA |
TKIP (faible) |
PSK ou RADIUS |
Obsolète |
| WPA2-Personal |
AES-CCMP |
PSK (Pre-Shared Key) |
Minimum acceptable |
| WPA2-Enterprise |
AES-CCMP |
802.1X / RADIUS |
Entreprise |
| WPA3-Personal |
SAE |
Mot de passe (forward secrecy) |
Recommandé |
| WPA3-Enterprise |
AES-256-GCMP |
802.1X / RADIUS |
Entreprise recommandé |
Contexte
CompTIA A+ teste la compréhension des protocoles de sécurité Wi-Fi, les types d'attaques sans fil, la configuration sécurisée d'un AP et les bonnes pratiques. Le technicien doit savoir choisir le bon protocole et sécuriser un réseau SOHO.
Détails techniques
WPA2-Personal vs Enterprise
| Critère |
WPA2-Personal (PSK) |
WPA2-Enterprise (802.1X) |
| Authentification |
Mot de passe partagé |
Identifiants individuels (RADIUS) |
| Complexité |
Simple à configurer |
Nécessite un serveur RADIUS |
| Sécurité |
Bonne (si mot de passe fort) |
Très bonne (authentification individuelle) |
| Révocation |
Changer le PSK pour tous |
Désactiver un seul compte |
| Usage |
Domicile, petit bureau |
Entreprise, école |
Architecture WPA2-Enterprise
Client Wi-Fi Point d'accès Serveur RADIUS
│ │ │
│── Demande de connexion ────→ │ │
│ │── Relaye vers RADIUS ──→│
│ │ │
│←── Demande d'identifiants ── │←── Challenge ──────────│
│ │ │
│── Identifiants (EAP) ──────→ │── Relaye ─────────────→│
│ │ │
│←── Autorisation accordée ─── │←── Accept ─────────────│
│ │ │
│ 🔐 Connexion chiffrée │ │
Attaques sans fil
| Attaque |
Description |
Prévention |
| Evil Twin |
Faux AP imitant un réseau légitime |
Vérifier le BSSID, utiliser VPN |
| Deauthentication |
Force la déconnexion pour capturer le handshake |
WPA3, 802.11w (PMF) |
| War driving |
Scanner les réseaux Wi-Fi en déplacement |
Sécurité solide (WPA2/3) |
| Rogue AP |
AP non autorisé connecté au réseau |
WIDS/WIPS, audits réguliers |
| Cracking PSK |
Capture du handshake + brute force |
Mot de passe très long (15+) |
| KRACK |
Exploit WPA2 (réinstallation de clé) |
Patches, WPA3 |
| Bluetooth attack |
Bluejacking, Bluesnarfing |
Désactiver BT quand non utilisé |
Configuration sécurisée d'un AP (checklist)
| Paramètre |
Configuration recommandée |
| SSID |
Ne pas utiliser le nom par défaut |
| Mot de passe admin |
Changer le mot de passe par défaut immédiatement |
| Sécurité Wi-Fi |
WPA3-Personal ou WPA2 (AES) |
| Mot de passe Wi-Fi |
15+ caractères, passphrase |
| Firmware |
Mettre à jour régulièrement |
| WPS (Wi-Fi Protected Setup) |
Désactiver (vulnérable au brute force PIN) |
| UPnP |
Désactiver (risque de port forwarding automatique) |
| Réseau invité |
SSID séparé, isolé du LAN |
| Interface admin à distance |
Désactiver (admin uniquement en local) |
| DHCP |
Plage restreinte au nombre d'appareils attendus |
| MAC filtering |
Sécurité très faible seule (spoofing facile) |
WPA3 améliorations
| Amélioration |
Description |
| SAE (Dragonfly) |
Remplace le PSK, résistant au cracking hors-ligne |
| Forward secrecy |
Même si le mot de passe est compromis, les sessions passées restent protégées |
| PMF obligatoire |
Protected Management Frames (contre les deauth attacks) |
| Enhanced Open (OWE) |
Chiffrement même sur les réseaux ouverts (sans mot de passe) |
Outils d'audit Wi-Fi
| Outil |
Fonction |
| WiFi Analyzer |
Scanner les canaux, puissance du signal |
| Wireshark |
Capturer et analyser les trames Wi-Fi |
| Acrylic Wi-Fi |
Audit de sécurité, détection d'AP non autorisés |
| NetSpot |
Cartographie de couverture (heatmap) |
Exemple concret
Un technicien audite le Wi-Fi d'une clinique médicale. Il constate que le réseau utilise WPA2-Personal avec un PSK de 8 caractères ("clinic18"). Il recommande : passer à WPA2-Enterprise avec un serveur RADIUS (NPS sur Windows Server), désactiver WPS, mettre à jour le firmware de l'AP, créer un réseau invité isolé pour les patients, et appliquer un mot de passe admin fort sur l'AP. La sécurité est ainsi conforme aux exigences de protection des données de santé.
