[Recommandations] Masquer un SSID...ou pas

Publié le 24 juillet 2009 par Zanspi

Aujourd'hui, j'inaugure la création d'une série d'articles sur les recommandations d'usage en sécurité.
C'est une sorte de guide des bonnes pratiques à adopter lorsqu'on veut faire de la sécurité. Rentrons donc dans le vif du sujet.

Si vous ne l'avez pas déjà fait, je vous engage à lire l'article sur le SSID cloaking et Windows. En plus d'être intéressant, bien rédigé, etc... (j'aime me passer de la pommade), il a l'avantage de mettre en lumière les problèmes liés au masquage de SSID.

Pour résumer, il est possible sur la plupart des équipements WiFi courants de masquer son SSID (le nom de son point d'accès ou de sa borne ou de sa box). Le résultat est que seul les personnes connaissant ce nom peuvent s'y connecter. Un peu comme si je souhaitais parler à quelqu'un dans une foule d'anonyme et que je ne pouvais reconnaître cette personne qu'en l'appelant.
Je vais peut-être en choquer certains en disant cela mais cettre pratique (le masquage de SSID) est à proscrire. C'est une méthode dangereuse à plusieurs niveaux.

Premièrement
Les usurpateurs
Les plus malins d'entre vous ont senti venir le problème dans l'exemple précédent. Qu'est-ce qui empêche d'autres personnes anonymes de répondre à l'appel de son nom. Après tout, il peut y avoir plusieurs Thomas ou Claire dans un groupe d'"anonymes". Il est facile de se faire passer pour quelqu'un d'autres dans ce cas. Un rogue AP (un faux AP qui est un clone du vrai) peut s'insérer facilement dans ce modèle et attirer vers lui les connexions de clients qui ne savent pas à qui ils ont à faire...

Deuxièmement
Windows et SSID
Oui je vous engage à nouveau à lire l'article :)
C'est tout bête, Windows XP dans sa version service Pack 2 (et supérieur mais on peut le désactiver) diffuse l'ensemble des SSID auxquels votre ordinateur s'est déjà connecté.
Lorsqu'il rencontre un SSID masqué, il envoie des requêtes contenant les SSID connus en espérant que l'un d'eux correspondent. Un peu comme si je prenais mon carnet d'adresse au milieu de la foule et que j'appelais chaque nom et prénom en espérant que quelqu'un répondent. Je vous laisse imaginer la fuite d'informations...

Pour ceux qui veulent éviter ce désastre rendez-vous dans Connexion Rseaux -> Clique droit sur votre réseaux sans-fil -> Propriétés -> Configuration réseaux sans fil -> Supprimer chaque réseau qui apparait dans la liste (ou conservé vos réseaux préférés uniquement).

Troisièmement
Le cloaking n'est utile que dans le cas où personne n'est connecté
Vous avez bien lu et c'est là qu'il y a un vrai problème. Car un point d'accès sans connexion ça ne sert à rien, sauf dans le cas d'une Box où l'on veut laisser son WiFi activé "au cas ou" et encore...
Reprenons l'exemple de la foule. Si j'appelle un certain "Laurent" dans la foule d'anonymes et qu'il me réponde : "oui c'est moi". L'ensemble des personnes présentes saura que cette personne est Laurent. C'est le même cas pour un point d'accès WiFi. Lorsque un client se connecte à un AP, il diffuse son nom dans une requête que n'importe qui peut recevoir. Tous le monde connaîtra le nom de cet AP. Il n'est plus anonyme pour personne.

Un phénomène plus vicieux est que l'on peut "appeler" un AP (envoyer une requête de connexion à l'AP) par un autre nom que le sien. AInsi ce faux nom sera diffusé tout autour de vous et tous le monde croira que le SSID (ou le nom) que vous donnez à cet AP est le bon. Dans ce cas, une tentative de connexion avec le faux nom sera rejeté.

J'espère vous avoir convaincu que masquer son SSID c'est le mal.
Si vous ne l'êtes pas, configurez votre Box pour masquer le SSID.
Prenez un bon vieux Linux (un Ubuntu fera l'affaire) avec kismet.
Maintenant connectez-vous à votre Box et regardez, le SSID apparaît en clair, ça n'a servi à rien ;)