On l’a tous déjà vu : vous arrivez dans un nouveau poste, ou vous visitez un bureau pour un rendez-vous commercial, et vous constatez que le mot de passe Wi‑Fi partagé est écrit sur tous les tableaux blancs. Même si ce n’est pas écrit partout, il est probablement facile à deviner : essayez le nom de l’entreprise avec 123 à la fin, ou les E remplacés par des 3.
Même pour les entreprises qui ont des mots de passe Wi‑Fi difficiles à deviner, il y a peu de chances que le mot de passe ait été changé la dernière fois que quelqu’un a quitté l’entreprise. Après tout, c’est un véritable frein à la productivité.
Ce n’est évidemment pas une bonne hygiène des mots de passe ; un mot de passe partagé (et potentiellement facile à deviner) qui est rarement changé n’est guère sécurisé.
Mais est-ce vraiment important ?
La réponse, comme pour à peu près tout, est « ça dépend ». Il existe des situations où un réseau sans fil compromis représente une véritable menace pour le système de production, et d’autres où, grâce à une conception soignée, le réseau de bureau n’a besoin d’aucun mot de passe.
Cependant, pour la plupart des entreprises, la sécurité du réseau est essentielle, et des mots de passe non sécurisés peuvent créer une vulnérabilité majeure.
Quel est le problème avec un mot de passe Wi‑Fi partagé ?
Un mot de passe Wi‑Fi partagé comporte plusieurs risques majeurs. Le fait d’avoir un mot de passe partagé augmente la probabilité qu’un attaquant le découvre et accède à votre réseau local d’entreprise.
Même si moins d’entreprises conservent des ressources confidentielles sur leur LAN d’entreprise, votre bureau reste un lieu où se concentrent les employés, qui peuvent avoir assoupli les paramètres de partage de fichiers ou de pare-feu sur leurs ordinateurs portables. Certaines entreprises conservent un stockage local en réseau (NAS) pour les sauvegardes. Même si les hackers ne peuvent pas accéder aux ressources confidentielles, un attaquant pourra tout de même imprimer « pwn3d » sur l’imprimante de votre bureau jusqu’à ce qu’elle n’ait plus de papier.
Dans le cas le plus probable, l’attaquant peut tirer parti du niveau d’accès élevé accordé en faisant transiter du trafic via l’adresse IP publique de votre bureau. De nombreuses entreprises mettent en liste blanche l’accès aux serveurs et ressources de production en fonction de l’adresse IP du bureau, ou exemptent le multi-factor authentication du trafic provenant des adresses IP du bureau. Dans ces cas-là, un attaquant a un moyen d’accéder à vos données sensibles depuis votre parking, et vous ne vous en rendrez probablement même pas compte.
L’accès SSH sur liste blanche depuis votre bureau vers vos serveurs présente un risque relativement faible, mais l’une des pires failles est une interface web « admin » de votre service de production mise sur liste blanche pour le bureau. Les interfaces web d’administration figurent généralement tout en bas de la liste des priorités pour les correctifs de sécurité, puisqu’elles sont « uniquement destinées à un usage interne ». Mais une interface d’administration exécutant du code avec des vulnérabilités connues constitue une cible facile pour compromettre l’ensemble de votre base de données de production.
Un ancien employé rancunier peut présenter un autre risque. Les entreprises sont particulièrement vulnérables ici, car un tel employé aurait une connaissance précise de votre entreprise et de votre architecture. Ils peuvent toujours accéder à votre réseau sans même entrer dans le bâtiment et utiliser ces informations pour attaquer un point faible connu.
Quand un mot de passe partagé ou l’absence de mot de passe est-il acceptable ?
Un réseau sans fil sans mot de passe peut être utile pour les réseaux invités. Les réseaux invités ne doivent pas utiliser la même adresse IP publique que celle utilisée par vos réseaux employés, et ces réseaux devraient probablement être soumis à des limites strictes de bande passante. Les données ne seront pas chiffrées, mais comme une grande partie du trafic passe par SSL, ce n’est plus une préoccupation aussi importante qu’auparavant.
Pour les bureaux, un mot de passe partagé est acceptable si vous le changez chaque fois qu’un employé quitte l’entreprise. Par précaution, il est recommandé de n’avoir aucun appareil local et de ne mettre l’adresse IP sur liste blanche nulle part. Toute personne accédant aux ressources de production devrait devoir utiliser ses identifiants d’employé (n’oubliez pas l’authentification multifacteur !) et/ou utiliser un VPN pour y accéder.
Comment abandonner un mot de passe sans fil partagé ?
L’étape suivante en matière de sécurité sans fil consiste à passer à un système de connexion qui demande un nom d’utilisateur et un mot de passe.
Tous les principaux systèmes d’exploitation intègrent déjà cette prise en charge. Cela signifie que lorsque votre ordinateur essaie de se connecter à un réseau à l’aide de WPA2-Enterprise, il ne demandera pas le mot de passe partagé du réseau (que vous avez désormais l’habitude de voir), mais affichera plutôt une boîte de dialogue demandant le nom d’utilisateur et le mot de passe uniques de l’employé. En arrière-plan, votre point d’accès communique ce nom et ce mot de passe à un serveur RADIUS, qui renverra une réponse « oui » si le nom et le mot de passe sont valides, ou « non » dans le cas contraire.
Ainsi, les organisations peuvent protéger leurs réseaux et bloquer les utilisateurs non autorisés, tandis que les employés peuvent se connecter et accéder plus facilement que jamais.
Cela nécessite un serveur RADIUS. Si vous n’en avez pas, il existe des offres RADIUS fournies dans le cloud (comme Foxpass) qui peuvent valider les noms d’utilisateur et les mots de passe par rapport à des bases de données internes ou à des sources externes (comme des comptes Google Apps).
Si vous recherchez un accès réseau sécurisé et une sécurité renforcée, Foxpass est la solution idéale, avec son service cloud RADIUS et son contrôle d’accès pour les entreprises de toutes tailles. Foxpass propose un essai gratuit de 30 jours et un processus de configuration ultra simple, il n’y a donc aucune raison de ne pas bénéficier de cette protection dès aujourd’hui. Nous sommes également gratuits pour les organisations comptant moins de 10 utilisateurs !
Wi-Fi est une marque déposée de Wi-Fi Alliance®
