06 novembre 2017

Sans fil et sans filet

TL;DR : Si j'ai un conseil à donner aux professions libérales et aux indépendants, c'est de couper le réseau wifi de leur cabinet professionnel rapidement.

C'est toujours un peu casse-gueule pour moi de faire un billet sur la sécurité informatique. Alors je vais commencer par une citation :
"La sécurité est un échec car personne, quel que soit son niveau de compétences et l’énergie investie dans l’administration de ses systèmes, ne peut prétendre être invulnérable."
Newsoft La preuve que la sécurité est un échec
Même les meilleurs se font pirater. Croire être en sécurité derrière ses barrières informatiques est une illusion.

Une fois qu'on a bien compris cela, il faut minimiser l'impact d'un piratage (qui aura lieu un jour) : faire des sauvegardes, réfléchir aux conséquences d'un piratage, faire de la veille, définir un niveau de sécurité et investir suffisamment, etc. Il faut limiter autant que faire se peut l'impact d'un piratage et la surface d'attaque.

La sécurité informatique est une discipline complexe de l'informatique, car elle nécessite de connaître et comprendre un très grand nombre de mécanismes dans la plupart des branches de l'informatique. En tant qu'informaticien "généraliste", je suis toujours stupéfait par le niveau des conférences sur la sécurité auxquelles j'assiste (c'est une manière détournée de dire que je suis nul).

Alors, quand j'ai appris que les réseaux wifi sécurisés en WPA2 (meilleure sécurisation disponible au moment de l'écriture de ce billet) étaient compromis par la technique de "Key reinstallation attacks" (KRACK), j'ai tout de suite éteint toutes les bornes wifi de la maison, par précaution.

Et bien sur, je n'ai eu de cesse depuis de chercher à les rallumer. Parce que le sans fil, c'est quand même pratique...

J'ai fait un petit audit interne du réseau familial : l'étage des enfants est uniquement en wifi (pas de prises RJ45), tous nos téléphones sont souvent connectés au wifi (mauvaise couverture 3G/4G, sauf au grenier) et nos vieilles tablettes ne fonctionnent qu'en wifi. Tous les ordinateurs fixes sur rez-de-chaussée sont en filaire (bureau pro de mon épouse, mon bureau d'expertise, NAS, serveur de sauvegarde, PS4, Xbox, Zotac, Raspbery Pi, etc.)

Tout ce petit monde formait jusqu'à présent un seul réseau (wifi et filaire). Je sais, c'était une erreur. Une erreur que j'ai essayé de réparer.

Une fois le wifi éteint, j'ai tiré des câbles dans les cloisons de l'étage pour que chaque pièce puisse disposer d'un câble RJ45 haut débit. Un petit switch dans le plafond, relié à l'ancien branchement RJ45 de la borne wifi de l'étage, et hop tout le monde était de nouveau branché (travail en cours, POC en place).

Le réseau familial et le réseau professionnel de la maison sont maintenant séparés par un routeur (par le premier routeur que j'avais sous la main : j'ai utilisé les ports WAN/LAN d'une ancienne borne wifi dont le wifi est désactivé). La logique d'accès est la suivante : réseau pro -> réseau familial -> accès internet. Les NAS, imprimantes et autres ressources communes sont sur le réseau familial pour être accessibles à tous.

Comme j'ai la chance d'avoir un abonnement téléphonique professionnel qui inclut une carte SIM supplémentaire avec DATA, j'avais prévu de m'en servir d'accès de secours à internet, "au cas où". J'ai plutôt fait l'achat d'un routeur wifi 4G, et allumé un réseau wifi indépendant de la box du FAI de mon réseau filaire.

J'ai donc maintenant les deux réseaux filaires sur mon FAI principal, et un réseau wifi (indépendant des réseaux filaires) sur mon FAI de secours.

J'ai demandé aux enfants un usage "raisonnable" du wifi pour éviter d'atteindre le niveau de consommation à partir duquel le débit est bridé sur ma carte SIM de secours (donc si possible, pas de streaming vidéo sur le wifi).

Pour résumé, si vous avez une activité professionnelle "sensible" et que vous voulez quand même du wifi, je vous conseille d'investir dans un deuxième abonnement internet, pour créer un réseau séparé, dédié au wifi. Si le prix vous fait grincer des dents, dites vous que ça vous sauvera la vie quand votre FAI principal vous laissera en panne pendant un mois...

Sinon, sans fil = sans filet. Surtout si vous acceptez d'y connecter des appareils android anciens.

Enfin, c'est vous qui voyez...

PS: Ceux qui cachent leur SSID en pensant être protégés, je vous laisse regarder du côté d'airodump et scapy...