La question de la sécurité a longtemps été le principal frein à l'essor de réseau locaux sans fil Wi-Fi en entreprise. Question aujourd'hui en partie résolue par l'apparition de normes de plus en plus étoffées et par des offres produits considérablement renforcées sur cet aspect. Il reste toutefois à chaque entreprise la lourde tâche d'ajuster la sécurité Wi-Fi à ses exigences, un travail d'autant plus complexe que la sécurité d'un réseau sans fil recouvre une multitude d'aspects.

Lorsque les Hospices Civils de Lyon (HCL) ont lancé un appel d'offres l'année dernière pour s'équiper d'un réseau Wi-Fi, le complexe hospitalier voulait rendre mobiles des applications très opérationnelles, comme la saisie des prescriptions des médecins au pied du lit du malade. Les applications médicales faisant transiter des informations sensibles, la sécurité du réseau était primordiale.

À l'université Pierre et Marie Curie (UPMC), le défi principal provient de l'incapacité du service informatique à répertorier l'ensemble des portables des 30 000 étudiants autorisés à se connecter au réseau sans fil. La chaîne de magasins de bricolage Lapeyre, qui a déployé un réseau Wi-Fi fin 2004, souhaitait équiper les salles de réunion de son siège, en suivant les recommandations de sécurité de sa maison mère, Saint-Gobain. « La plus grande salle de réunion accueille jusqu'à une quarantaine de personnes, les autres de six à vingt, précise Patrick Goubin, responsable réseau et télécoms de Lapeyre. Pour l'équipement des magasins, nous n'en sommes qu'au stade de la réflexion, car le besoin du sans-fil ne se fait pas fortement ressentir, pour le moment. »

« Le Wi-Fi n'est pas une technologie figée, ce qui a rendu difficile la sélection des solutions, à la fois pour des raisons de choix technologiques, avec des gammes et des standards en pleine évolution, et pour des raisons de pérennité des investissements, avec certains constructeurs qui se font racheter. Les choses commencent maintenant à se stabiliser », estime Alexandre Baffi, ingénieur réseau à la direction informatique des HCL. D'ailleurs, Amec Spie Communications, qui a gagné l'appel d'offres émis par les Hospices, n'a pas mis en avant l'offre d'un seul constructeur, mais un catalogue de matériels (de Cisco, Nortel, 3Com, Foundr y et HP), puisque le déploiement allait s'étendre sur trois ans. À ce jour, seuls des matériels Cisco ont néanmoins été installés. Les points d'accès en exploitation, au nombre de 350, devraient atteindre 500 fin mai.

Ces matériels sont hiérarchisés selon une architecture WDS (Wireless Domain Services), qui consiste à désigner un maître chapeautant un certain nombre de points d'accès. De son côté, l'UPMC a opté pour une solution Aruba. « Nous souhaitions une architecture centralisée, avec des points d'accès les plus allégés possible et avec un fonctionnement similaire à celui d'un simple convertisseur de média. Avec l'objectif de limiter les problèmes potentiels et de ne pas être obligés, par exemple, de nous connecter à chaque point d'accès suite à une alerte de sécurité », explique Jacky Thibault, directeur technique du CCR (Centre de calcul et de réseau) de l'UPMC. Aujourd'hui, l'université exploite un seul commutateur Aruba 5500, pour des raisons de coût, mais aussi parce que l'utilisation du Wi-Fi est encore limitée. Le contrat de maintenance en assure le remplacement sous quatre heures en cas de problème. « Cependant, nous prévoyons d'en installer un second, selon une architecture redondante avec des fonctions d'équilibrage de charge », précise Jacky Thibault.

Lapeyre a également retenu une solution Aruba, la société jugeant primordial le critère de l'administration centralisée. Que le commutateur sans fil embarque un coupe-feu a constitué un autre atout : « Cela permettra également de sécuriser le réseau filaire là où on ne le fait pas encore, notamment dans l'éventualité où nous équiperions nos magasins. Nous opterions dans ce cas pour une architecture décentralisée avec un commutateurpar magasin, pour le cas où la liaison entre le siège et le magasin serait inter rompue. Ainsi, nous avons paré à toute éventualité concernant la suite du déploiement », indique Patrick Goubin.

Une autre fonction qui commence à se standardiser est la sur veillance de l'environnement radio. « Les points d'accès sur veillent l'environnement radio pour s'assurer qu'il n'existe pas de bornes " sauvages ", ni de communications en mode " ad hoc " entre les postes », indique Jacky Thibault. Le mode ad hoc est également prohibé chez Lapeyre. « Cela constitue potentiellement une entrée dérobée sur le réseau », note Patrick Goubin. Souhaitant surveiller toutes les fréquences, l'UPMC déploie des bornes dédiées à ce seul usage. Il s'agit des mêmes matériels que les points d'accès qui fournissent une connexion aux utilisateurs, mais ils sont paramétrés pour ne faire que de la surveillance. Lorsqu'elles sont ainsi configurées, les bornes couvrent un espace plus impotant. « Nous disposerons ainsi d'environ une borne de surveillance pour trois ou quatre bornes desservant des utilisateurs. Les deux types de bornes sont déployés en même temps. Nous ne voulions surtout pas déployer le réseau d'accès et être ensuite à la merci d'un manque de budget pour le déploiement des bornes dédiées à la sécurité », souligne Jacky Thibault.

Les HCL ont également mis en place une surveillance radio, pilotée par WLSE (Wireless LAN Solution Engine). Pour l'instant, ce sont les bornes desservant les utilisateurs qui effectuent aussi la surveillance. « Le maillage relativement serré des points d'accès fournit une surveillance efficace. WLSE les fait intervenir les uns après les autres. Chaque borne est indisponible pour les utilisateurs pendant trois minutes toutes les huit heures, puis reprend son service. Certains sites se trouvant dans des zones semi-résidentielles, nombre de points d'accès de particuliers sont détectés : ils doivent être identifiés et répertoriés comme non dangereux, afin qu'ils ne déclenchent pas d'alarmes », note Alexandre Baffi.

Au niveau de l'authentification des utilisateurs, la norme IEEE 802.1x associée au protocole EAP (Extensible Authentication Protocol) et ses variantes fait l'unanimité. Chez Lapeyre, cela faisait partie des recommandations de la maison mère Saint-Gobain, au même titre que l'utilisation de jetons RSA et qu'un chiffrement radio avec clés WEP dynamiques (TKIP, Temporal Key Integrity Protocol). « Il est de notoriété publique que LEAP [Lightweight EAP] de Cisco est facile à " casser ". En revanche, PEAP [Protected EAP] de Microsoft et EAP-TTLS sont très proches, mais ce dernier est plus interopérable, et donc à privilégier en entreprise » , indique Jérôme Poggi, consultant chez HSC. Aux Hospices Civils de Lyon, les premiers tests fonctionnels utilisaient LEAP. « Nous sommes partis sur une solution Cisco, car elle seule nous permettait d'utiliser une authentification forte avec le protocole LEAP et la fonction Radius embarquée. Ne disposant pas de serveur Radius, cette fonction nous a permis de déployer une solution avec une authentification forte en attendant l'acquisition d'une solution Radius globale », explique Alexandre Baffi. Côté radio, les HCL ont commencé par du WEP statique, utilisent aujourd'hui du WEP dynamique, et comptent déployer bientôt 802.11i et le chiffrement AES. « Il faut que nous nous coordonnions avec nos collègues chargés des postes de travail sur ce point » , note Alexandre Baffi.

À l'université Pierre et Marie Curie, pas question de gérer des clés de chiffrement des communications radio, compte tenu du nombre d'étudiants équipés de leur propre PC portable. « Il nous fallait une solution qui ne requière aucune intervention sur les postes clients, et qui, en l'absence de chiffrement au niveau de la partie radio, l'assure au niveau des couches supérieures » , indique Jacky Thibault. Le portail captif, assuré par le commutateur Aruba, fournit une solution idéale : dès qu'un utilisateur tente de se connecter au réseau Wi-Fi, il se retrouve sur la page d'accueil, où il doit s'identifier par un login et un mot de passe via une connexion sécurisée HTTPS. L'UPMC a également retenu une seconde option : l'authentification via EAP-TTLS. « Il faut activer la gestion du protocole sur les postes clients, et peu d'étudiants l'utilisent aujourd'hui » , note Jacky Thibault. Le système interroge le serveur LDAP de l'université via Radius, et va puiser dans une base annexe s'il n'y trouve pas l'utilisateur. Cette base annexe comporte des identifiants basés sur des chaînes de caractères aléatoires, destinés aux utilisateurs temporaires, des visiteurs ou des membres d'un congrès, par exemple. Ces accès sont en général limités à une journée.

Aujourd'hui, les HCL utilisent un seul SSID (Service Set Identification) pour l'ensemble du complexe hospitalier, à l'exception de quelques associations qui exploitent son infrastructure réseau. Ces dernières disposent de leur propre SSID et passerelle d'authentification ainsi que d'un accès Internet spécifique. « Pour l'instant nous utilisons au maximum trois SSID sur une même borne. Mais nous avons testé des configurations allant jusqu'à sept ou huit SSID », précise Alexandre Baffi. Le SSID des HCL est « caché » , autrement dit les bornes d'accès ne diffusent pas de trames balises (beacon). « Simple précaution. Éviter de clamer sa présence est un premier élément de prévention des attaques », juge Alexandre Baffi. Pour se connecter à un SSID non diffusé, l'utilisateur, qui ne le verra pas apparaître dans la liste proposée par Windows, devra expressément le saisir, ainsi que les éventuelles clés de chiffrement. « Néanmoins, toute personne s'associant au point d'accès dévoilera son SSID car cette information est envoyée en clair. Des outils publiquement disponibles permettent cette association d'informations. Cacher son SSID est donc un petit avantage permettant de réduire sensiblement les connexions indésirables, mais ne peut être la seule mesure de sécurité mise en place », souligne Jérôme Poggi. Un type de précaution jugé inutile à l'UPMC : « Nous n'avons aucune raison de cacher nos deux SSID, car ils sont bien sécurisés » , estime Jacky Thibault.

Les Hospices Civils de Lyon devront remettre ce principe en cause en raison de futures applications. Par exemple, le transport sanitaire connectera les ambulanciers à une base de données leur indiquant quels transports leur sont affectés. Ce système utilisera un accès GPRS en dehors des hospices, et exploitera le réseau Wi-Fi dans leur enceinte afin de réduire les coûts. « Il se trouve qu'un PDA ne se connecte qu'à un réseau dont le SSID est diffusé. Nous avons testé quatre modèles et rencontré ce problème avec chacun » , indique Alexandre Baffi.