Protégez votre vie numérique
Page 2 sur 8: Sécuriser son réseau
Sécuriser son réseau
Avec l'avènement des appareils mobiles et autres objets connectés, chaque foyer possède désormais un véritable petit réseau qui est autant sujet aux problèmes de sécurité que les entreprises. Du wi-Fi au partage des fichiers, il s'agit d'avoir maintenant les bons réflexes face à de potentielles difficultés.
Lorsque l'on parle de sécurité réseau, le premier terme qui nous vient à l'esprit est sans doute le Firewall ou pare-feu. Cet outil, qu'il soit intégré au système d'exploitation, dans un routeur ou sous la forme d'une application, permet de protéger un système d'intrusion de l'extérieur; mais aussi évite les fuites internes vers l'extérieur. Chaque routeur ou box permettant l'accès lnternet à un réseau lnternet possède forcément un pare-feu intégré : par défaut, il interdira toutes entrées provenant d'lnternet vers l'intérieur du réseau domestique et laissera passer tout le trafic initié depuis l'intérieur du LAN. Si ce fonctionnement est satisfaisant pour 95% de la population, il faut savoir que l'utilisation d'une application nécessitant l'accès depuis lnternet comme un serveur de jeu en ligne hébergé chez soi ou la console d'administration d'une application devra faire l'objet d'une configuration spécifique qui dépendra du port d'écoute de ladite application. Si un serveur de jeu situé sur un PC dont l'lP est 192.168.1.65 et utilise le port 14500, il faudra spécifier au routeur ou la box d'ouvrir le 14500 sur l'lP publique accessible depuis lnternet et de rediriger tout le trafic vers l'lP interne située sur le PC du lAN. Pour brouiller les pistes, nous vous conseillons de ne pas utiliser les ports par défaut des applications. Par exemple, un site web HTTP fonctionne par défaut sur le port 80 qui est sujet à beaucoup d'attaques automatiques. En positionnant par exemple le port externe sur 15085, le serveur web interne ne sera pas sujet à ces attaques et sera potentiellement plus en sécurité.
Si Ie Firewall des boxes est souvent transparent pour les utilisateurs, il n'en va pas de même avec celui de Windows, qui n'est pas spécialement intuitif à configurer. Dans un premier temps, il va devoir être nécessaire de savoir comment l'activer ou le désactiver simplement. Depuis le Panneau de configuration / Système et sécurité / Pare-feu Windows Defender; il suffit de se rendre dans la section Activer ou désactiver le Pare-feu Windows Defender. Pratique pour agir rapidement en cas de problèmes. Que faire quand une application ne semble pas accéder à lnternet ou au réseau ? Un bon réflexe est de jeter un oeil sur les paramètres avancés du Pare-feu, et notamment dans les Règles de trafic sortant et entrant. Chaque application réseau tournant sous Windows digne de ce nom se retrouve dans ces deux listes qui autorisent ou interdisent son trafic réseau. En cas de problèmes, nous vous conseillons dans un premier temps de désactiver totalement le firewall. Si le problème n'est plus présent, il faudra alors modifier la ou les règles associées à l'application, ou supprimer tout simplement les lignes incriminées jusqu'à aller à la réinstallation du logiciel.
Wi-Fi, le mauvais génie
Même si l'invention du Wi-Fi a permis sans conteste une démocratisation des appareils mobiles, il est toutefois associé avec les failles de sécurité les plus importantes dans le monde du réseau, de par la qualité médiocre de ses protocoles, mais aussi par son caractère intrinsèque : vu qu'il n'est pas possible d'empêcher la propagation des signaux électromagnétiques sans utiliser de matériau spécifique, ceux-ci traversent allègrement les murs et peuvent être donc être captés par n'importe qui. ll est certes possible de rendre invisible un réseau Wifi en ne diffusant pas son nom, mais cette défense est inefficace, car il sera détecté par le plus simple analyseur de trames sans fils. ll est aussi possible de n'autoriser que certains appareils à se connecter en spécifiant l'adresse MAC de ceux-ci dans le routeur sans-fil. Une adresse MAC étant unique, la solution pourrait sembler idéale quoique peu pratique, mais il existe malheureusement des outils pour « spoofer » u.. adresse, c'est-à-dire usurper l'identité d'un appareil sur un réseau. Pour résoudre ces problèmes de sécurité, l'organisme IEEE responsable de la mise en place des protocoles réseau a mis au point au fil des années la norme 802.1X qui regroupe de nombreux mécanismes d'authentification et de sécurité. C'est ainsi qu'en 1999 naît le protocole WEP (Wireless Equivalent Piracy) qui fut vite déclaré obsolète en 2004 car peu fiable et sujet à de nombreuses failles de sécurité qui permettaient de découvrir en quelques secondes le mot de passe de protection. Autant dire qu'il est aujourd'hui impératif de changer tous appareils n'étant compatibles qu'avec ce protocole qui est à bannir. Successeur du WEP, le WPA (Wi-Fi Protected Access) puis le WPA2 fonctionnent sur le même principe : rentrer un code pour accéder et encrypter les données entre l'appareil et le point d'accès. Malheureusement, de nombreuses failles ont été récemment trouvées ces dernières années, et notamment l'une rendant le mot de passe sensible à l'attaque de type « Brute Force » qui se contente d'utiliser des combinaisons de caractères jusqu'à ce que le bon code soit trouvé. Ratifié en 2018, le protocole WPA3 tarde à prendre la relève malgré les caractéristiques alléchantes sur le papier, avec notamment un chiffrement unique pour chaque utilisateur et même si le point d'accès est ouvert. En attendant, comment sécuriser sa connexion Wifi de la meilleure manière sans verser dans l'extrême ? Il faudra obligatoirement choisir le protocole WPA2 et surtout une clef dont la longueur de caractère sera au moins supérieure à dix caractères de différents types : majuscules, minuscules, chiffres et caractères spéciaux. Nul besoin de faire compliqué : il suffit de prendre par exemple la phrase "LecodeWifidelamaisonestlepointcardinalnord45 !" et le tour est joué ! Aussi, il faudra penser à désactiver tous les mécanismes de facilitation d'authentification de type WPS (Wi-Fi Protected Setup) permettant par exemple de s'authentifier avec un simple code PIN. En effet, ces protocoles sont de plus en plus souvent sujets à des failles de vulnérabilités.
Les applications, le nerf de la guerre
Un autre aspect de la sécurité réseau à ne pas négliger provient tout simplement des applications en elles-mêmes : on a beau avoir un réseau verrouillé et bien paramétré, si un logiciel ne se comporte pas correctement ce dernier n'y pourra rien. Dans un premier temps, il est conseillé de ne pas sortir des sentiers battus en n'utilisant que les applications les plus connues et si possible opensources, l'accès au code permettant de déceler rapidement d'éventuels problèmes de conception de communication réseau. Enfin, il faudra toujours privilégier les communications SSL, TLS ou SSH, qui sont des protocoles d'encryption connus et reconnus et qui ont l'avantage de chiffrer les données entre les applications.
Enfin, pour les réseaux locaux un peu plus évolués et notamment en entreprise, une attention particulière devra être effectuée sur la sécurité des partages réseau sous Windows. En effet, il est tellement plus facile de partager un dossier avec les droits d'accès totaux pour tout le monde ! Pourtant, il suffira d'un petit malin qui arrivera à se brancher sur le réseau filaire ou Wi-Fi pour qu'il accède à toutes les données partagées ! Ces paramétrages ont toujours été compliqués sous Windows, y compris dans sa dernière mouture. Pour vérifier tous les lecteurs partagés sur un PC, il suffit de se rendre dans « Gestion de l'ordinateur » à partir du menu Démarrer, Dossiers partagés, et Partages. Ici, une liste de tous les partages est alors disponible, y compris les partages système à ne surtout pas modifier reconnaissables par le caractère $ à la fin du nom de partage. A l'aide du bouton droit de la souris, on peut alors désactiver simplement le partage ou accéder aux propriétés et sur l'onglet Autorisations du partage gérer finement les utilisateurs et leurs droits.