[Sondage] Votre sécurité Wifi

Voilà, je surveille la sécurité wifi depuis un petit bout de temps et j’ai acheté récemment du matos (une clef USB).

J’ai vite fait balayé mon immeuble (le driver de la carte le fait tout seul) et j’ai trouvé 10 réseaux wifi. 7 avec le broadcast SSID bloqué et 1 en WPA.

J’ai eu quelques formations sécurité sur le wifi et voici ce que j’en ai retenu :

1 - Désactiver le broadcast SSID ne sert à rien, c’est un peu comme enlever son nom sur la sonnette de l’immeuble, ça emmerde juste ceux qui viennent vous voir. Je m’explique : le ssid est un paramètre obligatoire pour le fonctionnement d’un réseau wifi, il doit être partagé de tous. Ce paramètre circule en clair sur le réseau (quelque soit le cryptage en place) lors des phases de connection et de reconnection. Un pirate a juste à attendre la bonne trame (au besoin la provoquer en envoyant un faux paquet de déconnection). En gros, ça protège contre tata nicole et certains équipements merdent si le SSID n’est pas diffusé.

2 - Filtrer les adresses MAC. Encore une lubie d’apprentie sécuritaires. L’adresse MAC circule en clair et dans chaque trame, il suffit d’attendre que le PC ne soit plus utilisé pour piquer l’adresse MAC en question (pour modifier son adresse MAC, aller dans les propriétés de la carte réseaux, toutes en sont capables). Donc a part être méga-geek et laisser tous ses équipements wifi allumé 24/24, c’est pas très utile…

3 - Le cryptage WEP est vérolé dans sa conception et une méthode (avec le source en perl) est paru il y a quelques jours pour trouver la clef avec juste quelques trames (contre beaucoup avant). Ce cryptage est vraiment devenu inutile.

4 - Le cryptage WPA(2) n’a pas pour le moment été cassé sauf en force brute, ce qui signifie qu’il faut bien choisir sa clef (genre “cafzone52est52un52site52super52genial”, ça devrait occuper le logiciel de crack un bout de temps). Malheureusement, il y a encore des équipements (récents) qui ne supportent pas ce cryptage

Alors que faire ? J’en sais rien, à chacun de trouver sa bonne formule. Le plus simple quand c’est possible est de n’utiliser que le WPA. sinon filtrage MAC+WEP et serrage de fesses (surtout dans un immeuble plein de djeun’s).

Pour ma part, comme vous l’avez compris, j’utilise juste le WPA avec un mot de passe dictable et facile à retenir. Le but étant de faciliter la connexion de mes amis lorsqu’ils me rendent visite. Il y a également un syslog pour repérer les anomalies.

Et vous que faites vous. Comment sécurisez vous votre wifi. Que pensez vous des différentes mesures possibles.

EDIT : sainul on peut pas voter à son propre sondage !

Ne pas etre aussi parano? B)

Pour moi c’est pas de SSID + Filtrage MAC + WPA.
J’ai pas mis de WPA2 car il faut installer un patch sur Windows (et c’est pas encore necessaire).
Sinon t’as plutôt bien resumé les différents problèmes relatifs au Wi-Fi.

Il faut aussi noter que la tendance est de s’attaquer directement aux pilotes des cartes Wi-Fi. Les pirates ne sont même plus obligés de se connecter au réseau et passent donc à travers toutes les potections mises en place.
Un exemple en vidéo ici.

j’ai voté…que je protégeait pas mon réseau voilà c’est dis.
Au début j’avais mis un cryptage WAP mais j’avais pas mal de souci avec ma connexion. Ce n’avait peut être aucun rapport mais quand j’ai reussi à la faire fonctionner correctement j’avais desactiver le WAP pour des tests et ne l’ai jamais remis depuis.
J’habite une maison sur un large terrain aussi ca aide à ne pas être parano B)

Moi j’ai une simple clé WEP de protection sur le réseau et sitout. Mais bon habitant dans une grande maison + jardin j’ai pas forcément besoin de protection comme si j’habitais un petit studio à Paname B)

Je vais vous mettre ce que je disais à mes clients, à l’époque ou je vendais du matos et de l’internet :

Imaginez le temps que ca représente de s’introduire sur un réseau wifi, puis regarder s’il y a des trucs partagés, le cas échéant s’introduire dans les machines, le tout pour récupérer les photos de tata nicole à la plage ? Ca vaut pas le coup. Sans compter le fait qu’il faille attendre que les machines soient allumées et connectées au réseau, être à proximité, etc…

De mon côté c’est clé WEP et filtrage d’adresse mac de base, comme sur toute les livebox. Mais bon vu la portée assez réduite du Wi-Fi chez moi, je pense que j’aurais pas trop de mal à repérer le piratin qui viendra faire du camping dans mon jardin…

ceinture et bretelle pour moi :
filtrage mac pas de ssid et wpa en plus.

Bussiere

La livebox fait du WPA donc WPA pour moi. Ce ne sont pas les deux réseaux wifi qui se battent en duel dans mon immeuble qui vont spécialement attirer les pirates, mais mieux vaut filtrer un minimum l’affaire.

Pas de filtrage, suis à la campagne. Je vois le SSID du voisin qui doit pas filtrer non plus… Les répertoires partagés ne contiennent rien d’important… Puis, même si il y avait qqchose d’important, bonne chance pour trouver la bonne info discrètement (pas de carte bancaire sur le DD, etc).

Edit: puis le gars qui pénètre sur le réseau pour utiliser le nainternet, grand bien lui fasse…

Tiens ça me fait penser à FON tout ça. Quelqu’un a essayer?

Ce qui est genant c’est pas que le pirate puisse avoir acces a tes dossiers partagés mais qu’il puisse utiliser ta connection internet pour faire ce qu’il désire: pirater la NSA, télécharger des mp3, installer un serveur FTP avec des photos pédophiles, etc …

J’ai un peu peur quand je vois les resultats du sondage quand même B)
On est sur un forum de geek quand même, on est sensé être sensibilisé a ce genre de risques.
Mettre du WPA ca coûte 20 sec de config et ca réduit les risques de 99%.

[quote=“rolyat, post:10, topic: 30639”]Pas de filtrage, suis à la campagne. Je vois le SSID du voisin qui doit pas filtrer non plus… Les répertoires partagés ne contiennent rien d’important… Puis, même si il y avait qqchose d’important, bonne chance pour trouver la bonne info discrètement (pas de carte bancaire sur le DD, etc).

Edit: puis le gars qui pénètre sur le réseau pour utiliser le nainternet, grand bien lui fasse…

Tiens ça me fait penser à FON tout ça. Quelqu’un a essayer?[/quote]
Juste mode parano on apres que le pere (gendarme) d’une amie ai chopé un type qui dl des trucs vraiment dégueux depuis sa bagnole en piratant les wifis.
C’est ta connection tu en es responsable.

Bussiere

SSID Broadcast activé, filtrage mac activé, pas de cryptage (mysterieusement, impossible de se connecter avec du wpa).
Et comme mon réseau compte 3 ordis, la taille du réseau est limité à 3.

Après j’habite un coin assez “low-tech” donc bon…

Edit : Quoi que quand je pense qu’effectivement que je réessaira le wpa quand j’aurais ma nouvelle carte.

Bussière : Tu as beau en être responsable, vu le nombre de connection non-protégées, ca m’étonnerait que les peines à ce sujet soient importantes…

J’ai une Freebox V5 donc les possibilités sont assez limités B)

Donc cryptage WEP et c’est tout pour le moment, mais je compte faire plus sécurisé car j’habite dans un immeuble en région parisienne.

J’en profite pour poser une question : ça existe des logiciels qui permettent de savoir qui est connecté sur mon réseau Wifi, indépendamment du matos ?

Pour ma part, ma connexion wifi n’est allumée que lorsque je l’utilise.
Meme si j’oublie de la couper, elle se coupe automatiquement lorsque je reboot mon PC (au minimum tous les soirs donc) car c’est une carte PCI Wifi qui sert d’AP et qui lors du boot se fout par defaut en mode “carte cliente” et non en mode AP
Lorsque le wifi est allumé, je suis généralement devant le PC car je ne me sers du Wifi que pour la NDS et j’ai donc sur mon 2eme ecran l’utilitaire qui me dit qui est connecté (en toute logique uniquement ma NDS)

La config proprement dite : filtrage MAC, Hidden SSID, Wep

Pourquoi pas de Wap ? La NDS ne le gère pas … ouais, la loose

[quote=“Kel_Thalas, post:13, topic: 30639”]SSID Broadcast activé, filtrage mac activé, pas de cryptage (mysterieusement, impossible de se connecter avec du wpa).
Et comme mon réseau compte 3 ordis, la taille du réseau est limité à 3.

Après j’habite un coin assez “low-tech” donc bon…

Edit : Quoi que quand je pense qu’effectivement que je réessaira le wpa quand j’aurais ma nouvelle carte.

Bussière : Tu as beau en être responsable, vu le nombre de connection non-protégées, ca m’étonnerait que les peines à ce sujet soient importantes…[/quote]
Tout dépend du juge et des flics.
Surtout que cette affaire s’est déroulé en belgique, ou ils sont un peu dur sur ce sujet.
Donc j’ose meme pas imaginer ce que ca aurait pu donner, vu que ca crispe pas mal dans ce pays sur ce point là.

Bussiere

[quote=“pr7, post:11, topic: 30639”]J’ai un peu peur quand je vois les resultats du sondage quand même B)
On est sur un forum de geek quand même, on est sensé être sensibilisé a ce genre de risques.
Mettre du WPA ca coûte 20 sec de config et ca réduit les risques de 99%.[/quote]
Et il y en a qui en ont consciement rien a fairede mettre du WPA. Si tout fonctionnait comme ca pourquoi pas mais la, en ce moment, moi mon WEP me va tres bien B) Deja y a deux reseaux 100% ouverts a portee d’antenne de la maison et ma DS et autre ils connaissent pas le WPA. Vu ce que j’ai a protéger a la maison, vu l’environnement et tout, ca à pas besoin d’etre Fort Knox… Et meme si ils veulent utiliser ma connec, du moment que j’y vois rien, grand bien leur fasse. J’ai juste besoin que ca soit suffisament chiant par rapport aux voisins…

Edit: je devrais ajouter:
bon la portée du routeur WiFi est assez limitée (en gros, même dans la propriété où je suis j’ai parfois du mal à avoir la connexion (maison de 100m2 et surface extérieure équivalente, en plus).
Le voisinage, je connais tout le monde depuis hum… 35ans environ… Ils sont plus proches des 55/65 ans (on vous a parlé du vieillissement de la population B)) que des 25/30 ans.

Certes il est possible qu’un jour quelqu’un de malintentionné passe dehors… Mais, c’est le genre de trucs qu’on repère facilement, c’est un petit village et je sors mon chien 4 fois par jour. De plus quelqu’un dans une voiture devant chez nous, il est impossible de le manquer (et y’a le chien aussi). Derrière chez nous, il y a une propriété équivalente.

Sinon par moment, de façon aléatoire (histoire d’embêter et de dissuader) je mets un filtrage MAC. Quasiment tous les PC utilisent le RJ45, seul un vieux portable utilise le WiFi. Tout les PC ont une IP fixe dans une zone donnée, et le DHCP est coupé.

Editage: clarification.

Editage2: ah oui, c’est un sujet très intéressant, ze voulais préciser tout de même.

Personnelement, vivant a la campagne relativement profonde, et dans une maison en mur de 50cm, le wifi est completement ouvert, sans aucun cryptage, ca facilite beaucoup les choses lors de lans avec potes ou lors du depannage du pc de la cousine.

SSID diffusé, Filtrage MAC et aucun cryptage.

Je rajoute une combo de protections ultimes :
Un immeuble de 1930 avec des plafonds en béton pouvant resister à une bombe atomique et des habitants vieux de 70 ans en moyenne.

Perso, je pense que si un mec veut faire mumuse sur ma connexion, rien ne l’empechera, exactement comme des cambrioleurs qui veulent rentrer chez quelqu’un. C’est juste une question de temps, et dans le cas du wifi, le voisin a tout son temps lui …