Le Wi-Fi est une technologie sans fil qui permet de connecter des dispositifs, comme des portables et des téléphones intelligents, à Internet. Les utilisatrices et utilisateurs peuvent accéder au Wi-Fi au moyen de réseaux organisationnels ou publics. Technologie essentielle aux activités de votre entreprise, le Wi-Fi peut également créer des vulnérabilités susceptibles d’être exploitées par les auteures et auteurs de menace. Votre organisation doit prendre des mesures de sécurité liées au Wi-Fi afin de protéger ses réseaux, ses systèmes et ses informations.
Comment les auteures et auteurs de menace tirent-ils avantage du Wi-Fi?
Les auteures et auteurs de menace peuvent utiliser les réseaux Wi-Fi pour accéder à vos systèmes et à vos dispositifs, et les endommager. Ils peuvent également utiliser ces réseaux pour voler de l’information sensible. Les réseaux Wi-Fi publics sont particulièrement vulnérables, puisqu’ils ne demandent généralement pas aux utilisatrices et utilisateurs de s’authentifier au moment de s’y connecter, et ils font souvent appel à des protocoles de chiffrement faciles à pirater. Si possible, évitez de mener vos activités organisationnelles sur des réseaux publics, puisque les auteures et auteurs de menace qui s’introduisent sur un tel réseau peuvent accéder aux appareils non sécurisés sur ce même réseau. Ils peuvent employer les méthodes suivantes pour tirer avantage du réseau Wi-Fi :
Mystification
Dans un cas de mystification, une ou un auteur de menace crée un réseau frauduleux qui prend l’apparence d’un réseau légitime. Il peut, par exemple, créer un réseau portant le même nom que le réseau d’un aéroport, d’une bibliothèque ou d’un café afin de tromper les utilisatrices et utilisateurs et de les inciter à s’y connecter. Si vos employées et employés en télétravail se connectent à l’un de ces réseaux trafiqués, ils risquent qu’une ou un auteur de menace intercepte les données personnelles et organisationnelles sensibles, et infecte leurs dispositifs avec un maliciel.
Attaques de type adversaire au milieu
La technique de type adversaire au milieu (AiTM pour Adversary-in-the-Middle) accompagne souvent la mystification. Lorsqu’une ou un employé tente de se connecter au réseau, l’auteure ou auteur de menace tire avantage des vulnérabilités liées au protocole Wi-Fi pour recueillir les justificatifs d’identité. Une ou un auteur de menace peut se servir de ces justificatifs pour se connecter au réseau d’entreprise légitime. Dans sa position d’adversaire au milieu, l’auteure ou auteur de menace peut recueillir, modifier ou injecter des données dans les flux de communication.
Écoute clandestine
Les auteures et auteurs de menace procèdent à de l’écoute clandestine afin de profiter de Wi-Fi ouverts et non sécurisés afin de recueillir du trafic transmis sur un réseau, souvent à partir d’un point d’accès public. Une telle activité permet à une ou un auteur de menace de surveiller les communications et d’obtenir des renseignements nominatifs ou de l’information sensible.
Brouillage de signaux
Les attaques par brouillage de signaux visant le Wi-Fi inondent de demandes les points d’accès pour bloquer la connexion. Les auteures et auteurs de menace prennent le contrôle d’un point d’accès sans fil existant et perturbent les communications entre les dispositifs, de sorte à compromettre la disponibilité des services de votre organisation. Les réseaux d’entreprise ne devraient pas compter seulement sur le Wi-Fi, car un simple brouillage peut mettre hors service l’ensemble des activités de votre entreprise. Les réseaux câblés qui ne sont pas vulnérables au brouillage sont essentiels afin d’assurer la continuité des activités de votre entreprise.
Point d’accès sans fil indésirable
Un point d’accès sans fil indésirable est souvent installé par une ou un employé qui cherche à obtenir un accès plus flexible aux réseaux d’entreprise. Étant donné qu’ils ne sont pas sanctionnés ou gérés par l’entreprise, ces points d’accès peuvent être configurés de façon non sécurisée de sorte à permettre à des parties tierces non autorisées d’accéder au réseau d’entreprise.
Comment protéger votre organisation
L’utilisation du Wi-Fi dans votre organisation ou dans des lieux publics soulève d’importantes préoccupations. Il convient donc de prendre les mesures suivantes pour protéger vos réseaux, vos systèmes et votre information.
Configurer un réseau invité
Un réseau invité est un point d’accès distinct à votre routeur sans fil. Il permet aux appareils d’accéder à Internet sans donner accès à votre réseau principal. Envisagez de connecter les dispositifs de l’Internet des objets (IdO) à un réseau invité pour diminuer le risque qu’un maliciel infecte votre réseau principal. Pour qu’un réseau invité soit sécurisé, le trafic qui y passe doit être séparé du trafic d’entreprise normal. Envisagez d’obtenir un abonnement Internet distinct pour votre accès invité et vos dispositifs de l’IdO au lieu de simplement séparer votre réseau d’entreprise. Dans le cas des dispositifs de l’IdO qui doivent avoir un accès direct au réseau d’entreprise, comme les imprimantes et les terminaux de point de vente, il est judicieux de séparer le réseau afin d’en assurer la sécurité et d’optimiser le flux de données.
Chiffrer vos données
L’utilisation de technologies de chiffrement pour coder les données sans fil de votre organisation empêche quiconque pourrait avoir accès à votre réseau de voir les données. Même si elle n’est pas infaillible, la norme WPA3 (pour Wi-Fi Protected Access) est à l’heure actuelle la méthode de chiffrement la plus robuste pour protéger les informations transmises entre les routeurs sans fil et les dispositifs sans fil. Il est conseillé d’utiliser de l’équipement qui prend en charge cette norme, car les anciens protocoles pourraient exposer votre réseau à l’exploitation.
Utiliser une phrase de passe
Changez les mots de passe par défaut sur le réseau, ainsi que ceux du compte d’administrateur. Assurez-vous que les employées et employés accèdent au Wi-Fi au moyen de justificatifs individuels et uniques à l’utilisatrice ou utilisateur et qu’ils utilisent des mots de passe complexes. Utilisez une phrase ou un mot de passe unique et complexe, tout en évitant les mots du dictionnaire ou les autres mots de passe faciles à deviner. Une phrase de passe est une phrase que vous avez mémorisée et qui se compose d’une suite de mots divers, avec ou sans espaces. Votre phrase de passe devrait compter au moins quatre mots et 15 caractères.
Utilisez l’authentification multifacteur
L’authentification multifacteur (AMF) devrait être utilisée si possible. L’AMF réduit la capacité des auteures et auteurs de menace d’accéder à votre réseau, même s’ils ont deviné votre mot de passe ou s’ils ont volé vos justificatifs d’identité. Lorsque l’AMF est activée, les utilisatrices et utilisateurs doivent fournir au moins deux facteurs d’authentification différents pour déverrouiller un compte ou s’y connecter.
Ayez recours à des outils de sécurité pour protéger votre réseau
Installez un pare-feu sur votre réseau. Un pare-feu surveille le flux de trafic qui transite par votre réseau et filtre le trafic que l’on sait malveillant. Vous pouvez définir des règles pour contrôler le volume et le type du trafic autorisé à circuler d’un réseau à l’autre. Envisagez d’investir dans un système de détection d’intrusions sans fil (WIDS pour Wireless Intrusion Detection System) ou un système de prévention d’intrusion sans fil (WIPS pour Wireless Intrusion Prevention System) afin de surveiller les anomalies sur votre réseau.
Utilisez un réseau privé virtuel
L’utilisation d’un réseau privé virtuel (RPV) par les employées et employés en télétravail ou en voyage permet de protéger l’information de votre organisation. Un RPV transmet l’information par l’entremise d’un tunnel chiffré et sécurisé. Si vos employées et employés travaillent à distance et doivent utiliser des réseaux publics ou non sécurisés, le recours à un RPV permettra à ces derniers d’établir une connexion sécurisée qui fait appel à l’authentification et assure une meilleure protection de vos données.
Autres considérations
Assurez-vous que toutes et tous les employés savent comment protéger votre organisation contre les cybermenaces. Offrez-leur de la formation en matière de cybersécurité et encouragez les personnes qui font du télétravail à sécuriser leurs réseaux Wi-Fi domestiques des façons suivantes :
- créer un mot de passe de Wi-Fi fort et le changer souvent;
- modifier les justificatifs de connexion par défaut du routeur;
- activer un pare-feu et le chiffrement Wi-Fi.
Il convient également d’adopter les pratiques exemplaires additionnelles suivantes :
- porter attention à la sécurité physique si une personne travaille dans un espace public ou partagé;
- s’assurer que personne ne peut voir la saisie d’information sensible;
- utiliser le RPV de l’organisation pour se connecter au réseau d’entreprise;
- mettre à jour régulièrement les applications et les systèmes d’exploitation;
- éviter d’utiliser la fonction « Mémoriser mes informations » lorsque l’on se connecte à ses comptes et toujours fermer la session lorsque l’on a terminé;
- supprimer les réseaux enregistrés auxquels il y a déjà eu une connexion et dont on n’a plus besoin;
- désactiver les fonctions de connexion automatique sur les dispositifs mobiles pour éviter de se connecter automatiquement à des réseaux non sécurisés;
- désactiver le Wi-Fi et les connexions Bluetooth lorsque l’on ne les utilise pas;
- mettre à jour régulièrement les logiciels et les micrologiciels sur les dispositifs de l’IdO et les routeurs si possible.
Pour en savoir plus
- Réseau Wi-Fi invité (ITSAP.80.023)
- Conseils de cybersécurité pour le télétravail (ITSAP.10.116)
- Sécurité des appareils lors des déplacements et du télétravail à l’étranger (ITSAP.00.188)
- Sauvegarder et récupérer vos données (ITSAP.40.002)
- Utiliser le chiffrement pour assurer la sécurité des données sensibles (ITSAP.40.016)
- Les réseaux privés virtuels (ITSAP.80.101)
- Sécurisez vos comptes et vos appareils avec une authentification multifacteur (ITSAP.30.030)
- Pratiques exemplaires de création de phrases de passe et de mots de passe (ITSAP.30.032)