Les consultants en sécurité sont unanimes : comme pour le réseau internet, il est préférable d'intercaler un pare-feu entre le réseau Wi-Fi et le réseau local. Il est, bien sûr, plus simple d'installer un point d'accès sur une prise Ethernet du réseau interne. Mais cela s'avère très dangereux, car le réseau Wi-Fi devient alors une extension du réseau local, ouverte au premier venu (la prise Ethernet sur le trottoir). Raccorder le point d'accès à une patte du pare-feu requiert néanmoins des paramétrages un peu plus lourds si les collaborateurs doivent accéder fréquemment à des ressources internes. L'installation peut donc revenir bien plus cher et s'avérer plus contraignante pour les utilisateurs s'il faut, par exemple, installer des réseaux privés virtuels (VPN). Mais c'est le prix à payer pour conserver son environnement étanche.

Même si l'on a installé un pare-feu, il vaut mieux éviter que son réseau Wi-Fi « bave » sur la rue ou sur le bâtiment d'en face. La disposition physique des bornes est donc importante. Pour limiter les propagations en dehors de la pièce, le Clusif conseille de choisir des antennes à rayonnement directif et de placer les points d'accès en hauteur, dans un coin. Attention tout de même aux phénomènes de propagation inattendus par les fenêtres ou les gaines de ventilation. Au final, on n'est jamais sûr de rien. Seul un spécialiste pourra réellement vérifier le rayonnement. Ce qui n'empêche pas de mettre le maximum d'atouts de son côté en limitant, par exemple, la puissance d'émission des points d'accès. Enfin, préférer un modèle administrable en local, par port série, ou, à défaut, via le pare-feu. C'est plus contraignant, mais cela évite les mauvaises surprises.

Première chose à faire: activer le cryptage WEP. « Oui, il a des défauts; oui, on peut le casser. Mais c'est mieux que rien. On a beau savoir que l'on est " cambriolable ", on ferme quand même à clé », insiste Alexandre Fernandez, consultant chez HSC. Lors de ses audits sécurité, il est d'ailleurs stupéfait devant le nombre d'installations où le trafic Wi-Fi s'effectue en clair. « Il faut bien comprendre que c'est souvent tout le trafic du réseau local qui est ainsi véhiculé en clair. » En attendant mieux, il faut donc utiliser le WEP, de préférence en 128 bits ­ penser à mettre à jour le logiciel système des cartes qui ne gèrent que le mode 40 bits. Noter que la clé elle-même doit être choisie comme un mot de passe. Un conseil qui s'applique aussi au nom du réseau (SSID). Car choisir le nom de la société ou du service, c'est diffuser des renseignements précieux à l'extérieur. Evidemment, il est préférable de changer régulièrement de clé WEP. Mais, en pratique, peu le font, la diffusion des clés restant problématique si l'on souhaite éviter une solution propriétaire. Les entreprises déjà équipées en solutions d'authentification à clés publiques ­ Radius, 802.1x, etc. ­ seront les plus avantagées. Car, si elles sont efficaces, ces solutions sont aussi celles qui nécessitent l'expertise la plus importante.

Si l'on n'a aucune confiance dans la sécurité physique ou dans celle de la liaison, il est possible de se concentrer sur les niveaux supérieurs ­ VPN, SSL, etc. Cela revient, là encore, à considérer le trafic sans fil comme du trafic non sécurisé, au même titre qu'internet. On impose alors ses propres normes d'authentification sur une architecture peu fiable. « Mais tout dépend de l'application, estime Alexandre Fernandez. Pourquoi faire de l'IPSec quand le SSL ou le SSH suffisent. » Au final, il vaut toujours mieux cumuler les solutions à la fois physiques, logiques et architecturales. Car c'est à chaque fois un obstacle supplémentaire à franchir pour celui qui attaque. Cela n'empêche pas d'affecter une personne à la surveillance des comportements hostiles.

WPA comporte deux innovations majeures : 802.1x/EAP (Extensible Authentication Protocol) pour l'authentification, et TKIP (Temporal Key Integrity Protocol) pour le cryptage. Les clés sont désormais uniques pour chaque client et dynamiques : le pirate aura donc moins de temps pour les casser. Cependant, on garde l'algorithme de cryptage RC4. Les autres apports de WPA sont la vérification de l'intégrité des messages (ce que ne fait pas WEP) et un système empêchant de « rejouer » certaines séquences. Avantage : les appareils actuels pourront être mis à jour en WPA. Pour 802.11i, la nouveauté concerne l'algorithme de cryptage AES (Advanced Encryption Standard), plus puissant que DES et plus léger que 3DES. Réclamant néanmoins une trop forte puissante de calcul, il ne pourra fonctionner sur les cartes et les points d'accès actuels. Devront aussi être pris en compte la communication sécurisée entre points d'accès et la gestion de la déconnexion des utilisateurs.

Gartner recommande à ceux qui ont déjà déployé des réseaux Wi-Fi de mettre à jour leurs équipements en version WPA quand cette norme sera ratifiée (fin 2003). Pour ceux qui sont en phase de prospection, mieux vaut attendre, si possible, les premiers appareils WPA interopérables et, ainsi, s'épargner de coûteuses mises à jour.

Des fournisseurs tels que Cisco promettent dès aujourd'hui une sécurité forte, comme le proposeront, demain, les standards WPA et 802.11i. C'est vrai. Mais opter pour une solution propriétaire, c'est tourner le dos à l'interopérabilité et se lier à un fournisseur sur un marché en plein bouleversement. Sans compter que la politique d'achat de l'entreprise peut évoluer avec le temps, et la relation fournisseur se dégrader. Il est donc préférable d'opter pour des solutions standardisées et, surtout, interopérables.

Certains estiment que le filtrage des adresses Mac est la solution ultime, puisque seuls les adaptateurs réseaux répertoriés peuvent se connecter. C'est faux ! « Singer une adresse Mac est aussi simple que de singer une adresse IP (spoofing). D'autant que l'adresse Mac circule dans les trames » , rappelle Alexandre Fernandez, de HSC. Mieux vaut donc considérer le filtrage d'adresses comme un obstacle supplémentaire. Il est à utiliser combiné avec le WEP.

Avec Windows XP, la gestion des réseaux Wi-Fi est automatique et transparente. Du coup, un utilisateur peut « accrocher » un faux point d'accès, ou même celui du voisin, et réaliser ainsi un pont entre deux réseaux. Mieux vaut donc désactiver la gestion du sans-fil sur les postes raccordés au réseau filaire.

Un serveur DHCP attribue automatiquement une adresse à un poste présent dans le réseau Wi-Fi. Il faudra donc redoubler d'attention lors de son paramétrage, puisqu'il facilite les connexions non autorisées.