PSK ? authentification par MAC ? Pas suffisant pour la sécurité du Wi-Fi
Démarrez avec l'accès à distance et la téléassistance de Splashtop
Essai gratuitPartager
Peut-être pensez-vous que votre Wi-Fi est suffisamment sûr parce que vous êtes déjà sensibilisé à la sécurité. Vous lisez les actualités. Vous avez instauré une formation obligatoire à la sécurité. Vous avez adopté de nombreux processus et outils pour sécuriser votre établissement, notamment des logiciels anti-malware et des mesures anti-phishing étendues. Tout cela est très important.
Cependant, la sécurité de votre réseau et des données auxquelles il mène dépend de la manière dont on y accède et des personnes autorisées à le faire, ainsi que de l’exclusion de celles qui ne devraient pas l’être. Certaines méthodes largement adoptées pour y parvenir sont loin d’être suffisantes.
La sécurité de l’accès Wi-Fi pourrait être la faille béante dans la sécurité de votre réseau.
Les PSK menacent votre sécurité Wi-Fi
Si vous utilisez ou autorisez des mots de passe Wi-Fi partagés (également connus sous le nom de clés pré-partagées ou PSK) et que vous changez ces mots de passe tous les trimestres ou semestres, la sécurité de votre accès Wi-Fi est faible. Même si votre mot de passe partagé est complexe, il reste public. Il peut être transmis à n’importe qui.
Un mot de passe Wi-Fi partagé peut également être conservé par des personnes qui ne devraient plus avoir accès à votre réseau, y compris celles qui partent en mauvais termes. En 2022, Beyond Identity a constaté que les menaces posées par d’anciens employés avaient augmenté de 83 %. Il y a une bonne raison à cela : il est trop facile pour les personnes qui quittent une organisation de conserver l’accès aux mots de passe Wi-Fi partagés.
Les mots de passe compromis, faibles ou volés sont le principal moyen utilisé par les criminels pour pénétrer dans les réseaux - plus de 80 %, selon Beyond Identity. Les mots de passe Wi-Fi partagés mettent votre réseau en danger.
L’authentification avec des adresses MAC est tout aussi mauvaise, voire pire.
L’utilisation d’adresses MAC pour l’authentification peut sembler préférable à l’utilisation de mots de passe partagés, car elles sont uniques à chaque appareil. Mais à certains égards, les adresses MAC sont encore pires.
U.S. Cybersecurity, un service qui aide les entreprises à gérer tous les aspects de la sécurité de leur réseau, affirme que la principale erreur commise par les organisations en ce qui concerne les adresses MAC est de s’y fier pour l’authentification. Avec ce type de système, chaque adresse MAC est envoyée en texte clair sur le réseau, ce qui facilite les intrusions.
Avec l’adresse MAC en texte clair, il est facile pour un pirate de la capturer. Une fois qu’il dispose de l’adresse MAC d’un appareil, il peut utiliser un outil facilement disponible tel que MAC Changer pour modifier celle de son propre appareil afin de la faire correspondre à celle de l’appareil approuvé par votre réseau. Déguisé en utilisateur autorisé, le criminel qui se livre à cette usurpation d’adresse MAC s’infiltre dans votre réseau et peut accéder à davantage d’informations d’identification et aux serveurs qui hébergent les données les plus sensibles de votre établissement.
L’authentification basée sur l’adresse MAC ne sécurise pas votre Wi-Fi.
Avec l’une ou l’autre méthode, vous êtes en danger.
L’authentification Wi-Fi avec PSK et l’authentification avec des adresses MAC présentent toutes deux des défauts majeurs. Aucune des deux méthodes d’authentification ne vous permet d’associer les appareils à un utilisateur ou d’évaluer la posture de sécurité d’un appareil.
Si votre organisation utilise des PSK ou des adresses MAC pour authentifier son réseau Wi-Fi, les cybercriminels peuvent l’attaquer. Les cyberattaques affectent chaque partie de la communauté liée à une entreprise ou à un établissement scolaire. Une brèche dans le réseau d’une école affecte toutes les personnes concernées : élèves, enseignants, personnel administratif, employés et parents.
Le coût d’une cyberattaque est énorme. Elle est susceptible de coûter des millions de dollars à votre organisation et de saper la confiance de l’ensemble de la communauté qui interagit avec elle.
Que dois-je faire ?
Vous devez cesser d’utiliser des mots de passe Wi-Fi partagés ou des adresses MAC comme méthode d’authentification.
Au minimum, vous avez besoin de noms d’utilisateur et de mots de passe Wi-Fi sécurisés et uniques pour chaque utilisateur qui utilise votre réseau. Ces informations d’identification doivent être stockées en toute sécurité dans votre système de gestion des identités, tel que Microsoft Azure AD (Entra ID). Vous éliminez ainsi les identifiants Wi-Fi partagés et les identifiants en texte clair.
Une approche d’authentification sans mot de passe (zero trust) constitue un moyen encore plus sûr de protéger un réseau. Vous tirez parti de l’infrastructure à clé publique (PKI) et du protocole EAP-TLS pour émettre des certificats pour chaque appareil et chaque utilisateur. Rien n’est partagé et aucun mot de passe n’est nécessaire. La validation est rapide, facile et sûre.
RADIUS est la base
Le protocole RADIUS est la norme du secteur en matière de contrôle d’accès. Il fournit aux utilisateurs et aux appareils un accès sécurisé et authentifié au Wi-Fi et aux réseaux connectés. Le personnel informatique peut attribuer différents accès à privilèges pour différents rôles. Les personnes n’ont accès qu’aux informations auxquelles elles sont censées avoir accès.
RADIUS est considéré comme un protocole AAA car il fournit l’authentification, l’autorisation et la comptabilité pour l’accès Wi-Fi. AAA signifie que les informations d’identification sont authentifiées et que seuls les utilisateurs valides sont autorisés à utiliser le réseau. Cela permet de sécuriser l’accès au réseau. Le protocole AAA permet également de comptabiliser avec précision le moment où chaque utilisateur et chaque appareil accède au réseau et le quitte.
Vous avez besoin d’une comptabilité claire non seulement pour le personnel informatique, mais aussi pour respecter les directives établies par les organismes de réglementation auxquels les entreprises et les établissements d’enseignement doivent rendre des comptes. Un protocole AAA répond à ces trois aspects de la sécurisation et du suivi de l’accès Wi-Fi.
Foxpass Cloud RADIUS : une solution à la fois simple et sécurisée.
Splashtop - nommé fournisseur de sécurité de l’année dans le cadre des SDC IT Awards 2023 - dispose d’un moyen éprouvé, clair, simple et économique de sécuriser l’accès Wi-Fi : Foxpass Cloud RADIUS. Foxpass Cloud RADIUS de Splashtop est une solution RADIUS qui peut sécuriser l’accès à votre Wi-Fi sans créer de fardeau pour le service informatique, votre budget ou vos utilisateurs.
Foxpass Cloud RADIUS se connecte directement à votre infrastructure de gestion des appareils mobiles, comme Intune ou Jamf, pour une configuration efficace des certificats. En outre, Foxpass Cloud RADIUS se synchronise facilement avec Google, Okta et Microsoft Entra ID pour permettre un onboarding facile des utilisateurs et un offboarding automatique lorsque ceux-ci quittent votre organisation.
Foxpass Cloud RADIUS est également entièrement compatible en tant que solution complémentaire à Microsoft Cloud PKI, qui est conçue explicitement pour sécuriser l’accès aux réseaux Wi-Fi et aux VPN et qui est disponible dans le cadre de la suite Microsoft Intune.
Foxpass Cloud RADIUS est à la fois évolutif et résistant aux pannes, avec des serveurs couvrant plusieurs centres de données et sans point de défaillance isolé. Vous recevez des journaux d’activité clairs et détaillés qui vous donnent la comptabilité dont vous avez besoin pour gérer le contrôle d’accès à votre réseau et vous conformer aux normes réglementaires. Et comme Foxpass Cloud RADIUS prend en charge plusieurs SSID, vous pouvez maintenir vos différents réseaux, tels que ceux des étudiants et du personnel scolaire, distincts et sécurisés.
Foxpass Cloud RADIUS sécurise le Wi-Fi d’une manière qui est facile pour tous vos utilisateurs et pour le service informatique, en diminuant la charge de travail de ce dernier plutôt qu’en l’augmentant. Avec Foxpass Cloud RADIUS, vous pouvez protéger vos données et votre personnel contre les attaques, d’une manière simple et directe.
Splashtop est un leader dans les solutions d’accès à distance qui simplifient le travail et l’apprentissage depuis n’importe où dans le monde. Splashtop a acquis Foxpass en 2023 pour intégrer sa solution RADIUS performante et simple d’utilisation, sur laquelle des milliers d’utilisateurs se sont déjà appuyés, aux offres de Splashtop pour l’éducation et les entreprises.
Obtenez plus d’informations sur Foxpass Cloud RADIUS, ou commencez un essai gratuit dès maintenant !
