L’erreur est humaine… mais épargnez votre réseau sans fil

Comment les entreprises qui ont déployé des réseaux sans fil peuvent-elles se protéger contre les failles humaines risquant de les exposer à la fuite d’informations confidentielles ou l’introduction d’un virus ?

Si le droit à l'erreur est un usage, force est de constater que de telles erreurs pèsent sur l'activité quotidienne d'une entreprise. Les hackers, virus et autres vers existent pour vous le rappeler, et parfois même certains collaborateurs malveillants assurent cette piqûre de rappel.

La litanie des menaces prêtes à fondre sur votre entreprise fait la part belle aux attaques malveillantes. Pourtant les erreurs humaines mettent également vos données d'entreprise en péril, qu'il s'agisse de la perte d'un ordinateur portable hébergeant des données clients, du simple oubli de détruire un document classé confidentiel, ou d'une passerelle vers votre coeur de réseau, établie fortuitement lorsque le Wi-Fi apparaît au sein de votre entreprise.

 

Ces erreurs, typiquement qualifiées d'humaines, ont généralement deux origines: les erreurs "exogènes" d'une part, causées par un facteur externe, et celle dites "endogènes", qui résultent de l'erreur de jugement d'un individu.

 

Dans la sphère des infrastructures informatiques, l'erreur humaine est généralement plus délétère aux données d'entreprise qu'à l'intégrité physique des personnes. Mais cette menace pour l'entreprise doit néanmoins être jugulée pour en maîtriser l'occurrence au travers d'un plan d'actions pertinent. Pour certaines entreprises en émoi face aux risques du sans fil, le plan d'actions est simple (trop simple?) et se résume à une règle : bannir le sans fil.

 

L'idée que le sans fil soit préjudiciable au périmètre traditionnel des réseaux filaires nourrit les inquiétudes des entreprises et n'est pas totalement infondée face à ces risques d'erreur toujours plus nombreux.

Un réseau filaire traditionnel d'entreprise n'est accessible qu'aux collaborateurs physiquement présents au sein du réseau d'entreprise tandis que les utilisateurs distants y accèdent par un tunnel sécurisé, généralement via un Réseau Privé Virtuel et un Pare-feu.

Les réseaux sans fil, en revanche, étendent le périmètre du réseau d'entreprise au-delà du périmètre cible (un étage par exemple), pour se rendre disponible dans un hall d'accueil, un parking, un étage adjacent ou encore, bien plus souvent que nous pourrions l'imaginer, au sein de bureaux occupés par d'autres entreprises.

 

En décrétant unilatéralement l'interdiction du Wi-Fi, une Direction informatique ne pourra brider le désir des collaborateurs de bénéficier des nombreux avantages de cette technologie. Ce conflit d'intérêt donne lieu à des problématiques particulièrement épineuses pour certaines entreprises, avec comme facteur endogène le défaut de connaissance ou les erreurs de jugement des employés.

En effet, Le Wi-Fi s'est imposé au sein des espaces résidentiels et apporte au grand public tous les avantages de la mobilité. Le souhait d'un salarié de bénéficier de la flexibilité du Wi-Fi au bureau se justifie ainsi entièrement et cette réalité de terrain l'incite à passer outre les politiques du 100% filaire dictées par les directions IT.

À première vue, la connexion d'un point d'accès à une prise Ethernet du réseau filaire ne semble pas imprudente en matière de sécurité. À l'usage, cet acte est une erreur d'un collaborateur peu sensibilisé aux dangers des points d'accès « pirates », ces passerelles susceptibles d'acheminer via le réseau local des données d'entreprise vers une zone extérieure, qu'il s'agisse d'un parking ou des bureaux d'une entreprise tiers. 

 

Autre erreur classique de la part des collaborateurs: la configuration de leur PC professionnel pour une utilisation chez eux, alors que ce même portable se connectera à nouveau au réseau d'entreprise. Les équipes de sécurité ont du souci à se faire puisque la majorité des routeurs sans fil personnels utilisent des identifiants SSID simples et génériques de type "Linksys", "D-link" ou "maison".

Les hackers, de leur côté, se réjouiront: ils se positionneront simplement à l'extérieur d'une entreprise et lanceront un scan pour identifier les PC portables qui souhaitent se connecter à leur réseau sans fil personnel. Puis de configurer leurs points d'accès pirate pour usurper le réseau personnel et accéder à l'interface sans fil des PC. Espérons que ces derniers seront dotés d'un pare-feu efficace qui neutralisera toute installation d'un logiciel malveillant.

Mais quid si la passerelle client est ouverte par négligence? Le pirate dispose alors d'un accès au réseau d'entreprise via la connexion filaire du PC portable, comme dans le cas d'un point d'accès pirate.

 

Ces cas précis ne relèvent pas de l'acte volontairement malveillant de la part de l'utilisateur. Mais assurément, ce type d'erreur endogène est une menace pour le réseau d'entreprise.

 

La nature humaine étant ce qu'elle est, la simple promulgation d'une directive unilatérale bannissant le sans fil ne garantit donc en rien son interdiction. Chaque collaborateur est susceptible de créer son propre réseau sans fil au coeur du réseau d'entreprise, sans évaluer précisément le danger d'une telle initiative.

Ces erreurs et les risques qu'elles entraînent peuvent néanmoins être maîtrisés par des actions dédiées, l'application de règles de sécurité pertinentes et le déploiement d'une infrastructure de sécurité dédiée. Les réseaux sans fil, qu'ils soient sous-jacents aux services de données ou non, doivent être capables d'identifier les principaux actes qui fragilisent le réseau et facilitent les intrusions.

 

Dans la réalité, seule une faible proportion des accès indésirables et fortuits est la cible d'attaques, mais lorsque l'attaque aboutit, les dommages sont particulièrement importants. C'est le cas notamment des attaques par interception, dites de Man in the Middle, source potentielle de lourds dommages financiers ou de pertes de données.

 

Cette attaque utilise la propension des individus à baisser leur garde lorsqu'un événement attendu se produit. Prenons le cas d'un hot spot Wi-Fi au sein d'un aéroport: un utilisateur sans fil s'attend à détecter un identifiant réseau (SSID) lié à un opérateur connu et reconnu.

Ce gage de confiance l'incitera plus facilement à utiliser sa carte de crédit pour régler sa connexion Wi-Fi. L'utilisateur pense ainsi se connecter à un service Wi-Fi légitime, alors que le risque d'un réseau malveillant est latent, un réseau dont l'identifiant SSID serait celui du service légitime... à une lettre près!

 

Une telle manoeuvre met en évidence les risques de détournement des données d'une carte de paiement. Les réseaux d'entreprise sont également victimes de ce type d'attaques et le risque de détournement de données d'authentification est particulièrement élevé en l'absence de tout VPN. Man in the Middle est bien une attaque, mais elle tire pleinement avantage d'erreurs humaines.

 

Dans le monde du sans fil d'entreprise, il est temps de mettre la sécurité sur l'agenda des priorités, pour dresser une ligne de défense contre les attaques et se prémunir contre les erreurs humaines qui permettent aux hackers d'accéder directement au réseau.