Les réseaux sans fil (wireless ou Wifi) avec cryptage WEP (protocole chargé du chiffrement) se banalisent, mais sont considérés comme insuffisamment sécurisés. Toute personne se trouvant dans le rayon d’émission (et même au-delà grâce à des dispositifs amplifiants) est susceptible de communiquer sur le réseau en tant qu’utilisateur valide. Leurs déploiements imposent une protection complémentaire comme le filtrage d’adresse MAC (unique pour chaque carte réseau) et des protocoles de sécurité supplémentaires tels que IPSec, SSL ou SSH.

Généralement, les points d’accès possèdent un serveur DHCP [1] qui permet à n’importe quel poste client d’obtenir un accès sur ce dernier. Le rôle d’un serveur DHCP est de fournir à l’ordinateur client tous les paramètres nécessaires pour communiquer sur le réseau (adresse IP, nom de la passerelle pour se connecter à internet, les serveurs de résolution des noms de domaine, etc.). Ce service est souvent activé par défaut sur les points d’accès. Ainsi toute personne passant à portée radio de votre point d’accès pourra se faire attribuer une IP sur ce dernier et donc utiliser votre accés.

On a rajouté un certain nombre de protections supplémentaires comme le filtrage d’adresse MAC (unique pour chaque carte réseau) et le cryptage WEP.

  La clef WEP (Wired Equivalent Privacy) de 64/128 bits basée sur l’algorithme RC4 assez peu sûr, devrait se changer régulièrement. Lors de chaque transmission entre les postes du réseau, les données échangées se cryptent toujours de la même manière avec la même clef. Si un pirate, voulant se connecter sur votre réseau, écoute les transmissions de vos postes, il pourra avec certains outils logiciels recalculer cette clef WEP. Une norme supérieure d’encodage des données est en train d’être mise en place pour remédier à ce problème. A noter que l’activation du WEP ralentit le débit d’information en raison du temps de cryptage - décryptage...

  Le filtrage par adresses MAC est une fonctionnalité de sécurité que l’on trouve sur certains point d’accès Wifi qui permet d’exclure ou de ne tolérer que certaines adresses Mac dans son réseau. L’adresse MAC (Mac address) est l’adresse physique (et donc unique) permettant d’identifier "physiquement" une carte réseau. Cet identifiant unique est constituée de 48 bits et n’est pas liée directement à l’adresse IP. [2] Le protocole 802.11b n’encrypte pas les trames où apparaissent ces adresses MAC. Un logiciel "sniffer" permet de visualiser les adresses MAC des clients. Il est possible, moyennant certains logiciels de modifier de manière artificielle son adresse Mac et donc de faire croire que l’on est quelqu’un d’autre.

  Le SSID (Service Set Identifier) (identifiant réseau Wifi) est une chaîne de caractères alphanumériques identifiant votre réseau sans fil, déclaré ou masqué par le PC routeur. Pour faire partie de ce réseau sans fil, votre clef WIFI (et vos autres postes clients WIFI 802.11b) doivent utiliser le même SSID. Or chaque constructeur de matériel Wifi propose un SSID par défaut. Par exemple Apple propose "Airport". Il a donc une relation entre les SSID par défaut et les trois premiers octets des adresses MAC des cartes qui identifient le constructeur (00:30:65 pour Apple). De plus, certains OS comme Windows XP intègre une gestion du Wi-Fi qui permet lors de l’activation de la carte et/ou au démarrage d’interroger les points d’accès et de s’y connecter directement. Il faut donc désactiver le broadcast du SSID au niveau du point d’accès ou (si la fonction n’est pas disponible) augmenter le Beacon Interval qui est la fréquence a laquelle le point d’accès transmets le SSID pour annoncer son existence.

Voici quelques conseils pour sécuriser un peu son réseau sans fil :

On peut faire mieux, mais cela demande quelques connaissances :