samedi 30 septembre 2017

4 choses très simples pour sécuriser votre BOX FAI et votre Wifi

Encore une annonce de faille (bouton WPS des box FAI) largement relayée sur le Net et les réseaux sociaux, ces derniers jours. On notera que cette faille avait déjà été dévoilée il y a plusieurs années (si si, plus de six ans si ma mémoire est bonne, vous apprécierez davantage ainsi les réponses de certains opérateurs). Bref, cela servira de rappel sur quelques points de base, que je joins ci-dessous. Cette image est extraite d'un Xmind sur la sécurité que nous réalisons pour nos clients à YourSmartHomeDesign
Ces fonctions sont disponibles sur l'interface d'administration de la box de votre fournisseur d'accès, soit sur un serveur dédié, soit à une adresse spécifique de votre réseau local (cf. la "mini" doc livrée avec votre box ou sur leur forum).
Il n'y a rien de sorcier. En recherchant avec les mots clefs ci-dessous et votre type de box, vous trouverez aisément le mode opératoire.
  1. supprimer l'usage du bouton WPS.
  2. changer le nom du compte (en général admin par défaut) et définir un mot de passe.
  3. supprimer le hotspot
  4. choisir WAP2 en mode de cryptage
Si à ce niveau, vous définissez un nom de compte et un mot de passe, peu aisés à trouver, avec ces quatre points, votre box et votre Wifi sont bien protégés. Les inconvénients sont essentiellement si vos amis veulent accéder à votre wifi, il faudra que vous saisissiez sur leur outil (PC, smartphone, tablette, ...) les informations les autorisant (ici mot de passe ou clé suivant les box, le bouton WPS ayant été neutralisé).
  1. Ne pas diffuser le SSID (identifiant de votre réseau Wifi).
  2. Désactiver votre wifi pendant certaines tranches horaires
  3. Mettre en place un filtrage MAC sur votre Wifi
A ce stade, les tentatives d'intrusion ne seront plus l'oeuvre d'un robot (si tel avait été le cas), nécessiteront une grande attention, des manipulations particulières et de la patience à votre pirate. Les inconvénients sont essentiellement si vos amis veulent accéder à votre wifi, il faudra que vous saisissiez sur leur outil (PC, smartphone, tablette, ...) les informations les autorisant (Désactiver le filtrage MAC, saisir le SSID, le mot de passe, et soit inscrire l'adresse MAC de ce nouvel outil, soit, préférable, attendre que vos amis partent avant de réactiver le filtrage MAC).
Dans l'image jointe, vous voyez d'autres alinéas (vides). Allez un, deux de plus, désactiver la réponse de votre box aux "Ping" et consulter de temps en temps la supervision de votre réseau local (cela vous mettra la puce à l'oreille de toute activité "anormale" de votre box FAI s'il y avait un pirate).
Le reste des protections sont pour des architectures plus complexes, que l'on trouve très rarement chez un particulier, des pratiques à éviter ou des bridages des usages, des applicatifs, de ports, etc ... et elles concernent surtout les éléments de votre réseau local, particulièrement si ceux-ci sont des objets connectés à des serveurs tiers.
Dernier conseil (au cas où vous pensez qu'il y a un pirate qui vous observe), changer de temps en temps, les noms ci-dessus désignés (SSID, compte administrateur, mot de passe). Bon là, pas mal d'inconvénients si votre réseau Wifi comporte beaucoup d'éléments.
Il resterait à nos fournisseurs de box FAI de permettre des accès limités au compte d'administration à partir de périphériques pré-identifiés avec double identification, de mettre en place des anti force brute (il existe des tentatives partielles chez certains opérateurs) et de livrer des logiciels, comment dire, sans anomalie, ... bon, j'arrête là car il y aurait tant de choses simples à faire pour s'assurer d'un minium de robustesse.