Sécurité et réseau WI-FI personnel.

Ils sont liés principalement au rayonnement de votre borne WI-FI.

Un ordinateur portable à proximité de chez vous peut donc utiliser votre connexion. Et certains ne se privent pas de le faire dans les villes en général et dressent des cartes de « réseaux ouverts ».

Il vous faut donc commencer par rendre votre réseau le plus discret possible et le moins ouvert possible, en ne laissant que vos ordinateurs accéder pleinement à ce dernier. Même s’il est vrai que ce simple partage, très proche de piratage l’orthographe, ne vous coûtera rien financièrement parlant, il rend cependant vos PC vulnérables et peut vous squatter cette bande passante que nous cherchons tous à optimiser. Voici donc un panel de ressources pour vous protéger et éviter le squat.

J’entends par là au sein de votre appartement ou habitation. Bien sûr les risques sont moindres à la campagne qu’à Paris ou Périgueux, mais ce n’est pas vraiment de cela qu’il s’agit.

Tout dépendra bien sûr de l’implantation de votre prise téléphonique par rapport à vos ouvertures et à la proximité de la rue.

En cas de choix, on se raccordera sur la prise la plus éloignée de la zone publique. Si possible on adaptera la puissance de l’antenne pour limiter le flux vers l’extérieur. Il existe également des antennes directionnelles, si cela peut convenir à vos besoins.

Par défaut, en configuration d’usine, le mot de passe pour accéder à l’interface de votre borne est ou inexistant, ou password, ou j’ai vu adslolitec par exemple.

Il est évident qu’une fois de plus il faut en changer, en prenant garde toutefois de ne pas en choisir un trop compliqué que l’on risque d’oublier.

Ceci est d’autant plus important si vous êtes obligé de laisser activée la fonction d’administration à distance, donc par internet.

En cas de piratage avéré, il vous suffit de faire un reset de l’unité pour retrouver la configuration d’usine.

Voici un exemple de fenêtre :

Le service DHCP, (Dynamic Host Configuration Protocol) est un service qui activé dans votre équipement, permet d’attribuer automatiquement une adresse IP (Internet Protocol) à chaque ordinateur relié au réseau sous forme d’un numéro du style : 192.168.0.12, ou bien 10.0.0.12 ou bien 172.16.0.12.

Généralement, seul la dernière série de chiffre nous intéresse, ici 12, le numéro 1 est attribué par défaut à la passerelle, voire pour d’autre le 255.

Ensuite le DHCP va attribuer les adresses libres dans l’ordre ou il va les trouver.

Dans le cas de la passerelle en 1, la première libre est évidemment la 2, et dans le second cas, 255, c’est le 1.

Tout cela pour comprendre qu’un pirate va commencer par tâter ces numéros pour s’inviter sur votre réseau.

Quelle parade à cela ? Tout simplement désactiver le DHCP et attribuer des adresses fixes à chacun de vos appareils faisant appel au routeur, modem-routeur, livebox, freebox et autres.

Exemple : passerelle 192.168.33.33. Il est en effet souvent possible de changer également la troisième série de chiffre, mais jamais les deux premières séries 192.168 ou 10.0 ou 172.16.

PC n° 1 : 192.168.33.151

PC n° 2 : 192.168.33.153

Pourquoi je laisse la 152 libre ? Ne soyez pas impatient.

Il nous reste à lier chaque adresse à l’adresse MAC (Média Access Control), attribuée à chaque carte réseau et qui est unique dans le monde.

Elle se présente sous la forme d’une série de six fois deux signes, lettre ou chiffre, séparés par des :

Exemple :   07 :1G :54 :jE :0o :kQ

Cela vous donne une idée du nombre de compositions possibles.

Reprenons. La passerelle s’attribue son propre n°, mais dans notre exemple reprenons

PC n° 1 : 192.168.33.151  0k :2k :et :p5 :77 :00

PC n° 2: 192.168.33.153  gb :7d :ov :22 :3a :HD

Notre ami le pirate commence à se faire des cheveux. Cependant il faut savoir que l’adresse MAC est accessible à la « vue » au moment de la connexion, mais si elle est copiée, encore faut-il qu’elle soit associée à la bonne IP et que cette dernière ne soit pas déjà utilisée par le PC « légal ».

Le nom du réseau, appelé SSID (Service Set Identifier) est une nouvelle arme  de protection.

Il suffit de changer le nom qui lui est attribué par défaut, le nom que vous lui donnerez n’aura pas vraiment une grande importance, mais notre importun saura qu’il n’a pas affaire à un quidam quelconque.

Tous les points d’accès ont la possibilité de masquer ce SSID.

Encore une fois, rappelons que cet obstacle n’est pas incontournable par un pirate qui devra être de plus en plus averti.

Il en existe deux principaux et le plus perfectionné qui n’est pas encore généralisé.

WEP  Wireless Equivalent Privacy

WPA Wifi Protected Access

WPA2 appelé aussi la norme 802.11i qui découle du précédent.

Le WEP s’est avéré plutôt vulnérable malgré des clés de 256 bits.

La version dynamique améliore un peu les choses car la clé est changée régulièrement.

Possibilité de faire générer ces clés par un « Wep key generator » (voir avec Google) Le WPA ou le WPA2 exigent un mot de passe unique pour tous les appareils raccordés au réseau et pour la passerelle, c’est le mode à clé partagée. Cette clé doit être composée d’une suite de 22 caractères, lettre ou chiffre et ponctuation possibles. Cette méthode s’avère un peu plus sûre.

Tous ces niveaux de sécurité ne sont pas infaillibles, mais l’accumulation construit une solution face aux squatteurs et aux pirates.

Sur certains appareils vous pouvez de plus activer  l’envoi de messages d’alerte sur votre messagerie,  concernant les scans de votre installation et les tentatives de DOS. Mais ceci est normalement contrôlé par le firewall.

Il en ressort qu’il faut laisser le minimum de ports ouverts, avis aux amateurs de P2P asinien par exemple.

La loi prévoit pour l’accès et le maintien frauduleux dans tout ou partie d’un système automatisé de transfert de données, deux ans d’emprisonnement et 30 000 € d’amende.

En principe……