Sécurité et réseaux sans fils ne font pas bon ménage

On prête à l’intelligence économique en général trois volets :

  1. Renseignement (collecte d’informations en somme, veille diront d’autres)
  2. Sécurité (des biens, des personnes, des savoirs et des savoir-faire)
  3. Influence (quoiqu’en dise Monsieur Pinatel).

Le volant de la sécurité est quelque fois un peu laissé à l’abandon, qu’il s’agisse de la sensibilisation / formation des personnels à la protection de l’information (ne pas parler fort dans le train ou l’avion, essayer de ne jamais dire plus que nécessaire) ou de la protection informatique.

La multiplication des réseaux sans fil et la démocratisation du Wi-Fi (Hot Spots Neuf, Hôtels, Séminaires / Conférences, Aéroports, Paris Sans Fil et même entreprise) n’est pas d’ailleurs sans poser des problèmes et principalement dans les PME non munies d’une DSI stalinienne bienveillante et protectrice.

Lors du Defcon 2007, Robert Graham s’est amusé à démontrer que le Wi-Fi c’est pratique mais que côté sécurité informatique ce n’est pas l’extase pour peu que l’on ne prenne pas quelques précautions type SSL ou VPN. Ainsi ce dernier s’est amusé à "snifer" le réseau de Defcon 2007 et à récupérer des cookies transitant lors d’authentification à des services webs pour tout simplement se connecter à la plce des utilisateurs. On devine la suite. Le tout, bien évidemment, avec des connaissances informatiques dignes de celles de ma mère (et je vous jure que c’est peu de choses…)

Pour eux que cela intéresse vous pourrez trouver les logiciels qui vous permettront de reproduire la manipulation ici ou ici.

Bien évidemment inutile de vous préciser de vous référer à la législation en vigueur de l’endroit où vous faites vos essais afin de savoir ce que vous avez le droit de faire.

Enfin on pourra consulter d’autres articles particulièrement intéressants sur l’univers des failles informatiques qui nous entoure…

Par exemple comment "retrouver" votre mot de passe Windows grâce à un simple CD Ophcrack (bon ça ne fonctionne pas à tous les coups et bien évidemment c’est là qu’il est intéressant d’avoir un mot de passe complexe ne signifiant rien…) le tout étant basé sur des Rainbow Tables (des tables de correspondance entre hash de mots de passe et mots de passe non cryptés : mode d’emploi)

On pourra consulter aussi une liste de mots de passe par défaut des principaux matériels commercialisés (routeurs et autres). Afin d’éviter qu’un petit malin s’en serve la parade est bien évidemment de changer ces identifiants / mots de passe à l’installation…

Alors quelques recommandations d’usage avant de méditer moi même dessus une fois que j’aurai fini de compter les moutons :

  • Un mot de passe sur le boot de ton disque dur tu mettras! Ca mange pas de pain, et certes on peut le faire sauter en enlevant la pile de votre ordinateur mais au moins ça simplifie pas la tâche…)
  • Un mot de passe à ta session Windows tu attribueras
  • u t’assureras qu’il n’existe pas de compte par défaut sur votre OS, site web ou autre…et si c’est le cas les supprimmer ou les changer
  • Le prénom de tata Huguette comme mot de passe tu oublieras : les prénoms étant systématiquement testés par quasiment toutes les applications de "sécurité" informatique
  • Comme on dit dans l’armée, ton ordinateur portable c’est ta femme à partir de maintenant : tu couches avec, tu bouffes avec, tu fais tout ce que tu as à faire avec! Donc on ne le quitte pas des yeux, on ne s’en sépare jamais à partir du moment où il n’est pas en zone sécurisée!
  • Ton mot de passe sur un post-it à ton écran tu n’accrocheras pas (rigolez pas…)
  • Des connections SSl ou VPN tant que faire se peut tu utiliseras
  • Firewall, antivirus, etc à jour tu mettras
  • A la DSI tu feras confiance. Seulement ton bien elle veut… (ARGGGGHHHHH! Je n’ai pas dit ça, ce n’est pas moi…)

Pour conclure merci au blog toujours intéressant de Ethocom, et au blog de Korben que j’ai outrageusement consulté pour écrire ce petit billet alarmiste. (Korben ton blog est génial si tu m’entends. Je m’abonne illico presto!)

Aucun commentaire pour le moment.

Laisser une réponse