Mise en place d’une politique d’accès à un réseau sans fil avec l’authentification basée sur la norme 802.1x

2.1.3.3. La supervision radio

Il peut également être intéressant d'installer des sondes WiFi ou d'exploiter les fonctions de supervision radio offertes par certains AP, pour détecter les AP non sécurisés. La supervision radio peut permettre de détecter des AP non sécurisés, voire même certains types d'attaques WiFi, comme par exemple le spoofing d'adresse MAC ou certaines attaques DoS. Bien entendu, ce n'est qu'une mesure palliative, et non préventive : elle ne peut pas être utilisée seule. Un réseau WiFi bien sécurisé est aussi un réseau bien supervisé.

2.1.3.4. Masquer le SSID

Puisque toute requête d'authentification doit contenir le bon SSID, on voit qu'un premier niveau de sécurité pour un réseau WiFi consiste à configurer les points d'accès pour qu'ils ne diffusent pas leur SSID. Si quelqu'un ne connaît pas le SSID du réseau, il ne parviendra pas à s'y associer.

Un passant équipé d'un matériel WiFi classique ne saura pas qu'un réseau sans fil se trouve à proximité ou en tout cas ne saura pas s'y associer facilement. Toutefois, il ne s'agit que d'une protection très faible, car il suffit de sniffer les ondes radio au moment où un utilisateur légitime se connecte : le SSID se trouve alors en clair dans sa requête d'association.

¹⁷Yannick T., et Marcel K., Op.cit., .p. 49.

Page | 25

En outre, chaque utilisateur légitime devra saisir manuellement le SSID du réseau sur son ordinateur. Bref, cette mesure apporte plus d'inconvénients que d'intérêts.

2.1.3.5. Le filtrage par adresse MAC

Bien que cela ne soit pas officiellement dans la norme 802.11, rien n'empêche à un AP de vérifier si l'adresse MAC de la station qui cherche à s'authentifier se trouve bien dans une liste d'adresses MAC autorisées. En effet, l'adresse MAC d'une station est présente dans tous les paquets qu'elle émet, et donc en particulier dans la requête d'authentification. On pourra, par exemple, n'autoriser que les adresses MAC des machines de l'entreprise. Ce type d'authentification peut être employé en complément d'un autre type d'authentification (WEP, WPA, WPA2...).

De nombreux AP disposent de cette fonction de filtrage par adresse MAC. Les adresses autorisées sont souvent stockées dans chaque AP, ce qui signifie qu'il faut modifier tous les AP lorsque l'on souhaite ajouter ou retirer une adresse MAC. Le filtrage par adresse MAC a deux inconvénients majeurs¹⁸:

? Il est assez lourd à mettre en oeuvre pour une moyenne ou grosse entreprise car il faut conserver la liste des adresses MAC de tous les équipements susceptibles de se connecter au réseau sans fil ;

? Plus grave encore, il est assez simple pour un pirate de sniffer le réseau, de noter les adresses MAC d'utilisateurs légitimes, puis de « spoofer » (imiter) une adresse MAC légitime. Bref, cela ne sert qu'à arrêter les petits pirates et les simples curieux.

Avec ces deux inconvénients, on peut affirmer que le filtrage par adresse MAC ne vaut pas vraiment la peine d'être mis en oeuvre.