WEBVTT 00:00.540 --> 00:02.490 Formateur : Dans cette leçon, nous allons parler 00:02.490 --> 00:04.710 de la façon de sécuriser vos réseaux sans fil contre 00:04.710 --> 00:06.900 certaines des menaces qui pèsent sur eux. 00:06.900 --> 00:09.930 Les réseaux sans fil nous offrent beaucoup de confort, mais ils comportent 00:09.930 --> 00:13.050 aussi de nombreux risques pour la sécurité car, contrairement à un 00:13.050 --> 00:15.720 réseau filaire, tant que je me trouve dans la zone de couverture 00:15.720 --> 00:18.600 du signal sans fil, je peux m'y connecter à l'aide de mon smartphone, 00:18.600 --> 00:21.780 de ma tablette ou de mon ordinateur portable. 00:21.780 --> 00:24.180 Pour protéger votre réseau, vous devez vraiment vous 00:24.180 --> 00:26.250 assurer de savoir à quoi vos appareils se connectent 00:26.250 --> 00:28.260 et, une fois qu'ils sont connectés, vous devez 00:28.260 --> 00:31.470 vous assurer que les données envoyées sont cryptées. 00:31.470 --> 00:33.420 La première chose à faire est de s'assurer 00:33.420 --> 00:36.240 que tout ce que nous transmettons l'est de manière privée afin 00:36.240 --> 00:38.280 d'accroître la sécurité de nos réseaux. 00:38.280 --> 00:39.360 L'un des moyens utilisés 00:39.360 --> 00:41.700 est ce que l'on appelle une clé pré-partagée. 00:41.700 --> 00:44.040 Une clé prépartagée signifie que les deux points d'extrémité, 00:44.040 --> 00:46.529 à savoir votre point d'accès et votre client sur votre ordinateur 00:46.529 --> 00:49.590 portable ou votre smartphone, disposent de la même clé de cryptage. 00:49.590 --> 00:52.230 Si j'utilise un mot de passe d'un côté et le même mot de passe 00:52.230 --> 00:55.080 de l'autre et qu'ils correspondent, cela revient à utiliser 00:55.080 --> 00:58.200 la même clé prépartagée pour créer ce tunnel de cryptage. 00:58.200 --> 00:59.460 L'utilisation d'une clé pré-partagée 00:59.460 --> 01:01.350 pose toutefois quelques problèmes. 01:01.350 --> 01:04.710 Tout d'abord, l'évolutivité devient un problème majeur pour nous. 01:04.710 --> 01:07.530 Supposons que j'aie un bureau avec 50 utilisateurs différents, 01:07.530 --> 01:09.690 qu'ils soient tous connectés au réseau sans fil 01:09.690 --> 01:12.150 et qu'ils utilisent tous la même clé prépartagée. 01:12.150 --> 01:14.160 Mais disons que demain, je vais au travail 01:14.160 --> 01:15.990 et que je licencie l'un des employés. 01:15.990 --> 01:18.210 Or, cet employé connaît la clé prépartagée, alors devinez 01:18.210 --> 01:19.650 ce que nous devons faire ? 01:19.650 --> 01:21.480 Nous devons changer la clé prépartagée et 01:21.480 --> 01:23.850 parce que je dois changer cette clé prépartagée, les 50 01:23.850 --> 01:26.550 autres employés doivent maintenant être informés de la nouvelle 01:26.550 --> 01:28.950 clé afin que nous puissions tous la changer. 01:28.950 --> 01:31.710 C'est comme changer la clé de la porte d'entrée de votre maison. 01:31.710 --> 01:32.940 Si vous avez 10 membres de la famille, 01:32.940 --> 01:35.400 vous devez maintenant faire 10 copies de cette clé. 01:35.400 --> 01:37.410 Étant donné que tous vos clients utilisent le même 01:37.410 --> 01:39.630 mot de passe et la même clé, il est très difficile pour 01:39.630 --> 01:42.120 nous de modifier et de gérer correctement les clés. 01:42.120 --> 01:43.470 C'est l'une des principales raisons pour 01:43.470 --> 01:46.590 lesquelles nous n'utilisons pas de clés pré-partagées dans les grands environnements. 01:46.590 --> 01:49.350 Mais si vous êtes dans un petit bureau ou dans un environnement de bureau à 01:49.350 --> 01:51.930 domicile comme votre maison ou un petit bureau de 10 employés ou moins, 01:51.930 --> 01:54.660 vous pouvez aller de l'avant et utiliser une clé pré-partagée parce qu'il 01:54.660 --> 01:57.030 est vraiment facile de configurer les réseaux de cette façon parce 01:57.030 --> 01:59.070 que vous n'avez que quelques appareils. 01:59.070 --> 02:00.720 En ce qui concerne la sécurité 02:00.720 --> 02:04.110 sans fil, il existe trois méthodes principales. 02:04.110 --> 02:08.250 Le premier est le WEP, suivi du WPA et du WPA2. 02:08.250 --> 02:09.570 Lorsque nous parlons de WEP, nous parlons de 02:09.570 --> 02:11.850 Wired Equivalent Privacy (confidentialité équivalente au câblage). 02:11.850 --> 02:13.680 Il s'agit de la sécurité sans fil originale 02:13.680 --> 02:15.240 qui a été inventée dès la première 02:15.240 --> 02:18.840 version du wifi avec 802. 11. 02:18.840 --> 02:21.600 Désormais, elle affirme être aussi sûre que les réseaux câblés, d'où le nom de "wired 02:21.600 --> 02:24.240 equivalent privacy" (confidentialité équivalente aux réseaux câblés). Mais la vérité est qu'il n'est pas sûr 02:24.240 --> 02:26.580 et que, de nos jours, vous ne devriez 02:26.580 --> 02:29.550 jamais utiliser le protocole WEP car il 02:29.550 --> 02:32.070 n'est pas du tout sûr. 02:32.070 --> 02:35.250 Le fonctionnement du WEP repose sur l'utilisation d'une clé pré-partagée. 02:35.250 --> 02:38.880 Tout le monde a la même clé et il s'agit d'une clé statique de 40 bits 02:38.880 --> 02:41.370 qui est très petite et facile à forcer ou à deviner 02:41.370 --> 02:44.130 à l'aide d'un ordinateur puissant. 02:44.130 --> 02:46.410 Au fil du temps, pour rendre le WEP plus 02:46.410 --> 02:49.470 sûr, la clé est passée de 40 à 64 bits, puis à 128 bits, 02:49.470 --> 02:52.560 ce qui a permis de résoudre le problème de la longueur 02:52.560 --> 02:54.628 de la clé, mais pas un autre problème 02:54.628 --> 02:58.440 connu sous le nom de vecteur d'initialisation. 02:58.440 --> 02:59.850 Le WEP utilise un vecteur 02:59.850 --> 03:02.820 d'initialisation de 24 bits, c'est-à-dire une 03:02.820 --> 03:05.400 série de 24 uns et zéros, que l'on appellera 03:05.400 --> 03:08.040 vecteur d'initialisation. 03:08.040 --> 03:10.590 Il est envoyé en texte clair et si vous capturez suffisamment 03:10.590 --> 03:12.540 de ces vecteurs d'initialisation, vous 03:12.540 --> 03:15.750 pouvez casser la clé de cryptage et deviner à rebours la clé pré-partagée 03:15.750 --> 03:18.960 que vous avez utilisée pour votre mot de passe WEP. 03:18.960 --> 03:21.642 En fait, en utilisant Aircrack NG, vous pouvez le faire en deux 03:21.642 --> 03:24.990 ou trois minutes avec la plupart des ordinateurs portables modernes. 03:24.990 --> 03:28.020 Nous allons maintenant parler du WPA. 03:28.020 --> 03:31.590 Le WPA (Wifi Protected Access) a remplacé le WEP en raison 03:31.590 --> 03:33.150 de la faiblesse de ce vecteur 03:33.150 --> 03:35.850 d'initialisation de 24 bits. 03:35.850 --> 03:37.920 Pour remédier à ce problème, ils ont introduit 03:37.920 --> 03:41.280 le protocole TKIP (Temporal Key Integrity Protocol). 03:41.280 --> 03:44.790 Le protocole TKIP remplace ce vecteur d'initialisation 03:44.790 --> 03:47.610 de 24 bits par un nouveau vecteur de 48 bits. 03:47.610 --> 03:49.260 Cela a permis de doubler la puissance 03:49.260 --> 03:50.850 de l'appareil, mais cela reste assez 03:50.850 --> 03:53.280 faible au regard de l'informatique moderne. 03:53.280 --> 03:54.870 Ils ont également ajouté un 03:54.870 --> 03:57.420 nouveau type de cryptage appelé RC4, ou Rivest 03:57.420 --> 04:00.870 Cipher 4, qui est plutôt bon, mais qui est considéré comme faible 04:00.870 --> 04:03.630 par rapport aux normes actuelles. 04:03.630 --> 04:06.690 Le WPA visait également à assurer l'intégrité de vos appareils en veillant 04:06.690 --> 04:09.090 à ce que personne ne puisse mener une attaque de type "man 04:09.090 --> 04:11.820 in the middle" et modifier les informations. 04:11.820 --> 04:14.760 Pour ce faire, ils ont utilisé ce que l'on appelle le MIC, le contrôle 04:14.760 --> 04:16.980 d'intégrité des messages, qui est une forme de hachage 04:16.980 --> 04:19.050 des données avant qu'elles ne soient envoyées, 04:19.050 --> 04:21.300 ce qui permet de vérifier qu'elles n'ont pas été modifiées 04:21.300 --> 04:24.090 au cours de leur transit sur le réseau. 04:24.090 --> 04:26.460 Le WPA a également constaté qu'il y avait une faille dans 04:26.460 --> 04:28.320 cette clé pré-partagée et qu'il était possible 04:28.320 --> 04:30.990 d'envoyer de nouvelles clés très rapidement, c'est pourquoi 04:30.990 --> 04:34.290 il a ajouté ce que l'on appelle le mode entreprise au WPA. 04:34.290 --> 04:36.270 Avec le mode entreprise, un utilisateur 04:36.270 --> 04:38.820 peut s'authentifier avant d'échanger des clés et 04:38.820 --> 04:40.500 il peut alors créer temporairement 04:40.500 --> 04:43.680 de nouvelles clés entre le client et le point d'accès. 04:43.680 --> 04:46.740 Cela a permis de résoudre le problème d'évolutivité de la clé pré-partagée, 04:46.740 --> 04:49.650 mais en fin de compte, le WPA est toujours considéré comme faible 04:49.650 --> 04:51.450 par rapport aux normes actuelles et est 04:51.450 --> 04:54.300 remplacé par une version plus moderne connue sous le nom de WPA2 04:54.300 --> 04:56.850 ou Wifi Protected Access 2. 04:56.850 --> 04:59.160 La norme actuelle est le WPA2, créé dans 04:59.160 --> 05:02.460 le cadre de la norme 802. 11i. 05:02.460 --> 05:04.770 Il a d'abord été mis en œuvre, c'était le 05:04.770 --> 05:07.620 sans fil G, puis le sans fil N et le sans fil AC. 05:07.620 --> 05:09.390 Elle nécessite une authentification et un 05:09.390 --> 05:11.970 cryptage renforcés ainsi que des contrôles d'intégrité. 05:11.970 --> 05:15.300 Le contrôle de l'intégrité est effectué à l'aide du CCMP. 05:15.300 --> 05:17.550 CCMP signifie Counter Mode with Cipher Blockchaining Message 05:17.550 --> 05:19.080 Authentication Code Protocol (protocole 05:19.080 --> 05:20.910 de code d'authentification de message à contre-mode 05:20.910 --> 05:22.817 avec chiffrement), un terme que vous n'aurez pas 05:22.817 --> 05:25.560 à mémoriser pour l'examen ni à comprendre. 05:25.560 --> 05:28.890 Ce qu'il faut retenir, c'est qu'à chaque fois que vous voyez 05:28.890 --> 05:33.210 CCMP, vous devez penser que cela fait partie de la sécurité WPA2. 05:33.210 --> 05:34.890 La deuxième chose qu'ils ont faite, 05:34.890 --> 05:37.680 c'est qu'ils ont remplacé l'ancien mécanisme de cryptage 05:37.680 --> 05:40.350 RC4 par le VES Cipher 4 par le nouveau mécanisme connu 05:40.350 --> 05:43.410 sous le nom d'Advanced Encryption Standard (AES). 05:43.410 --> 05:47.047 Aujourd'hui, AES utilise une clé de 128 bits et certains modèles 05:47.047 --> 05:50.700 plus récents peuvent même utiliser une clé de 256 bits ou plus. 05:50.700 --> 05:52.995 Vous bénéficiez ainsi d'une sécurité et d'une confidentialité 05:52.995 --> 05:56.280 accrues pour les données qui transitent par ce réseau sans fil. 05:56.280 --> 05:58.410 Au moment de cet enregistrement, l'AES 05:58.410 --> 06:01.890 n'a toujours pas été cassé et le WPA2, l'algorithme lui-même, 06:01.890 --> 06:03.990 n'a pas été cassé ; c'est donc une bonne 06:03.990 --> 06:05.400 chose à utiliser si vous 06:05.400 --> 06:07.950 avez un mot de passe long et fort. 06:07.950 --> 06:09.810 Actuellement, la seule façon de pirater ces réseaux 06:09.810 --> 06:12.720 est d'utiliser des attaques par mot de passe, ce qui signifie qu'ils essaient 06:12.720 --> 06:14.640 de deviner les mots de passe en devinant toutes 06:14.640 --> 06:16.500 les options possibles à l'aide d'une attaque 06:16.500 --> 06:19.350 par force brute ou d'une attaque par dictionnaire. 06:19.350 --> 06:20.700 Par conséquent, si vous voulez protéger 06:20.700 --> 06:24.210 vos réseaux, assurez-vous d'utiliser un bon mot de passe, long et fort. 06:24.210 --> 06:27.390 Le WPA2 prend également en charge deux modes différents en fonction du 06:27.390 --> 06:29.370 réseau sur lequel vous allez l'utiliser. 06:29.370 --> 06:32.070 Si vous l'utilisez dans un environnement domestique ou dans un petit 06:32.070 --> 06:33.900 bureau, vous utiliserez une clé prépartagée où 06:33.900 --> 06:35.520 tout le monde aura le même mot de passe. 06:35.520 --> 06:37.800 C'est ce qu'on appelle le mode personnel. 06:37.800 --> 06:40.260 L'autre possibilité est de l'utiliser dans un 06:40.260 --> 06:42.030 grand environnement en mode entreprise, 06:42.030 --> 06:43.500 où chaque utilisateur reçoit 06:43.500 --> 06:46.560 un nom d'utilisateur et un mot de passe qui lui sont propres 06:46.560 --> 06:48.990 et utilise un serveur d'authentification central 06:48.990 --> 06:52.170 en utilisant le WPA2 natif ou en transférant cette tâche à un serveur 06:52.170 --> 06:55.320 801. 1x. 06:55.320 --> 06:56.360 Pour l'examen, je veux que 06:56.360 --> 06:59.040 vous vous souveniez de quatre choses sur la sécurité sans fil et si vous 06:59.040 --> 07:00.120 vous souvenez des quatre éléments 07:00.120 --> 07:02.340 de ce tableau, vous aurez de bons résultats. 07:02.340 --> 07:04.590 Tout d'abord, chaque fois que vous voyez le mot "ouvert" 07:04.590 --> 07:06.270 en référence à un réseau sans fil, cela 07:06.270 --> 07:10.440 signifie qu'il n'y a pas de sécurité, pas de protection, pas de mot de passe. 07:10.440 --> 07:11.820 Si vous entendez WEP, je veux 07:11.820 --> 07:14.580 que vous l'associiez aux vecteurs d'initialisation. 07:14.580 --> 07:15.990 C'est la faille du WEP et c'est ce 07:15.990 --> 07:17.880 que l'on vous expliquera lors de l'examen. 07:17.880 --> 07:19.235 Le WEP est faible, le WEP est mauvais. 07:19.235 --> 07:22.140 Le WEP utilise des vecteurs d'initialisation. 07:22.140 --> 07:23.995 Si vous voyez WPA, je veux que vous 07:23.995 --> 07:27.227 pensiez à TKIP et RC4 parce que TKIP a été utilisé pour remplacer 07:27.227 --> 07:29.520 les vecteurs d'initialisation et RC4 était 07:29.520 --> 07:31.680 sa forme de cryptage. 07:31.680 --> 07:35.070 Encore une fois, le WPA est considéré comme faible, ne l'utilisez pas. 07:35.070 --> 07:37.920 Ensuite, si vous voyez WPA2, vous devez 07:37.920 --> 07:41.250 penser aux acronymes CCMP et AES. 07:41.250 --> 07:43.470 Le CCMP est un protocole d'intégrité et l'AES 07:43.470 --> 07:46.350 est le mécanisme de cryptage que nous utilisons. 07:46.350 --> 07:48.720 C'est la clé qui vous permettra de répondre aux questions sur les communications 07:48.720 --> 07:50.760 sans fil pour assurer la sécurité le jour de l'examen. 07:50.760 --> 07:53.760 Ensuite, parlons un peu du filtrage des adresses MAC. 07:53.760 --> 07:56.457 Nous pouvons configurer nos points d'accès avec une liste de contrôle 07:56.457 --> 07:58.470 d'accès (ACL) qui sera en mesure d'examiner ces 07:58.470 --> 08:01.020 adresses et d'autoriser ou de refuser certaines adresses MAC 08:01.020 --> 08:02.700 à se connecter au réseau. 08:02.700 --> 08:05.340 Par exemple, si mon iPhone essaie de se connecter au réseau 08:05.340 --> 08:08.010 et qu'il n'est pas autorisé ou qu'il figure sur la liste Deny, 08:08.010 --> 08:09.720 il ne pourra pas établir la poignée de main 08:09.720 --> 08:11.460 et ne pourra pas communiquer. 08:11.460 --> 08:13.230 Le problème du filtrage Mac réside toujours 08:13.230 --> 08:15.150 dans le fait qu'il est très facile de changer 08:15.150 --> 08:17.520 son adresse MAC et de l'usurper. 08:17.520 --> 08:19.500 Les utilisateurs avertis peuvent changer l'adresse 08:19.500 --> 08:21.960 de leur Mac très rapidement à l'aide d'outils disponibles 08:21.960 --> 08:24.630 gratuitement, ce qui prend environ cinq secondes. 08:24.630 --> 08:26.100 Cette mesure permettra d'arrêter certaines 08:26.100 --> 08:29.190 personnes, mais elle n'est pas infaillible et elle n'arrêtera pas tout le monde. 08:29.190 --> 08:30.660 Si vous souhaitez changer votre 08:30.660 --> 08:33.420 adresse Mac et que vous utilisez des outils tels que Mac Address 08:33.420 --> 08:36.210 Changer pour Windows, Mac Daddy X pour OSX et les systèmes 08:36.210 --> 08:37.890 MAC, ou Mac changer pour Linux, ce sont 08:37.890 --> 08:40.560 tous des outils très faciles à utiliser. 08:40.560 --> 08:42.411 Les adresses Mac ne seront pas une source 08:42.411 --> 08:46.500 de grande protection pour vous, mais selon l'examen, il s'agit d'une protection que 08:46.500 --> 08:48.840 vous pouvez utiliser pour faire partie de votre stratégie 08:48.840 --> 08:50.940 de défense et de profondeur. 08:50.940 --> 08:53.100 Ainsi, dans le monde réel, ne vous inquiétez 08:53.100 --> 08:55.230 pas trop du filtrage Mac, mais pour l'examen, 08:55.230 --> 08:57.450 il s'agit d'une bonne mesure de sécurité. 08:57.450 --> 09:00.300 Ensuite, nous avons désactivé la diffusion de votre SSID, 09:00.300 --> 09:02.550 ce qui est considéré comme une aide mineure à la 09:02.550 --> 09:04.410 sécurité pour protéger vos réseaux. 09:04.410 --> 09:06.930 Selon l'examen, tout comme le filtrage MAC, il s'agit 09:06.930 --> 09:08.730 d'une bonne chose à faire. 09:08.730 --> 09:10.260 Dans le monde réel, il ne faut 09:10.260 --> 09:13.200 pas beaucoup de temps pour trouver un SSID caché. 09:13.200 --> 09:15.390 Qu'est-ce qu'un SSID ? 09:15.390 --> 09:17.850 Il s'agit de l'identifiant du jeu de serveurs 09:17.850 --> 09:20.520 et c'est le nom de votre réseau sans fil. 09:20.520 --> 09:22.260 Par exemple, si vous allez chez Starbucks, 09:22.260 --> 09:24.390 ils ont un serveur appelé "Starbucks Guest" ou 09:24.390 --> 09:27.360 si vous allez chez moi, j'ai un serveur appelé "Dion". De cette façon, 09:27.360 --> 09:29.160 vous pouvez voir que le serveur sort et dit 09:29.160 --> 09:31.920 : "Hé, Dion est là, dois-je me connecter à lui ? Et si vous cherchez un réseau, vous voyez toute 09:31.920 --> 09:33.120 la liste des noms qui 09:33.120 --> 09:35.700 vous entourent, n'est-ce pas ? 09:35.700 --> 09:38.670 Si vous désactivez la diffusion de l'ID de l'ensemble de serveurs, 09:38.670 --> 09:40.230 celui-ci ne sera pas diffusé et n'apparaîtra 09:40.230 --> 09:42.630 pas dans les réseaux disponibles. 09:42.630 --> 09:44.670 De cette façon, l'utilisateur doit taper manuellement 09:44.670 --> 09:46.350 le nom pour se connecter à votre réseau et 09:46.350 --> 09:48.210 il doit donc savoir qu'il existe. 09:48.210 --> 09:49.920 Le problème, c'est qu'en utilisant 09:49.920 --> 09:52.680 des techniques de pénétration sans fil, il est très facile 09:52.680 --> 09:55.080 de les trouver et de s'y connecter. 09:55.080 --> 09:57.240 Si tout ce que vous faites est de désactiver votre 09:57.240 --> 09:58.740 diffusion, ce n'est pas très sûr. 09:58.740 --> 10:01.320 Mais si vous combinez cela avec le filtrage MAC et un bon 10:01.320 --> 10:03.240 mot de passe long et fort, vous commencez 10:03.240 --> 10:04.830 à renforcer la sécurité et vous obtenez 10:04.830 --> 10:06.903 une meilleure position de sécurité.