Gérer les risques
Aujourd'hui et demain

Cybersécurité

Wireless Intrusion Prevention System (WIPS) : le point sur leur degré d’efficacité

Selon le cabinet d’expertise parisien NetXP, mieux vaudrait se méfier de ces solutions destinées à protéger les réseaux WiFi. Leurs performances variant selon l’utilisation que l'on en fait, mais aussi selon le degré de sophistication de leurs fonctionnalités.

Attention aux réseaux WiFi ! Nombreux sont les internautes qui font confiance aux connexions WiFi supposées être sécurisées, par exemple dans les banques, les hôtels ou les aéroports. Mais il n’en est rien ! Au contraire, les réseaux WiFi, et particulièrement publics, sont devenus une cible de choix pour les hackers. Pour lutter contre ce danger, des systèmes de défense ont été développés par les éditeurs de solutions de cybersécurité, à l’instar des Wireless Intrusion Prevention System (WIPS). Capables de détecter une attaque sur le réseau, ces systèmes d’écoute radio ont fait leurs preuves. Or, pour le cabinet d’expertise spécialisé en infrastructures techniques du système d’information NetXP, leur efficacité dépend avant tout de l’utilisation que l’on en fait. NetXP nous livre son point de vue sur les avantages et les inconvénients des WIPS.

Des attaques visant le trafic radio
Aujourd’hui, les cyberpirates ont considérablement affûté leurs armes en matière d’attaque des réseaux WiFi. Ils s’attaquent désormais au trafic radio du réseau, afin d’intercepter les caractéristiques physiques des systèmes ou encore d’y envoyer des trames. « Ces attaques radio peuvent aller de l’écoute simple des machines présentes à l’installation de points d’accès illégitimes (Rogue AP) en passant par l’imitation d’un point d’accès ou encore un brouillage radio », précise Madeleine Wouters, consultante sécurité chez NetXP.

Surveiller le trafic radio
D’où l’idée de créer des solutions de défense, basées sur un système radio capable d’écouter le trafic, telles que les WIPS. Ces solutions se composent de trois éléments, à savoir un système radio, un serveur de management chargé de stocker les données ainsi qu’une console de management, qui sert d’interface à l’utilisateur. Parmi les fonctionnalités de ces solutions, et selon leur degré de sophistication, figure la possibilité de reconnaître différentes attaques telles que la détection d’un point d’accès illégitime, que l’on appelle Rogue AP, sur le réseau. Ou la détection de points d’accès de réseaux environnants, tels que ceux d’une entreprise voisine ou d’un réseau de particuliers. « Certaines plateformes donnent également la possibilité de réagir face à une attaque de déni de service ou DoS, c’est-à-dire de pouvoir éventuellement configurer un seuil de tolérance et moduler la réaction à avoir une fois ce seuil dépassé. La plupart des dispositifs permettent aussi de lancer des contre-attaques à ces attaques radio. Elles se concrétisent souvent par l’envoi de trames de désassociation », ajoute Madeleine Wouters.

L’importance de la personnalisation de la configuration
Solution miracle ? Selon le cabinet d’expertise, pas tant que ça ! Tout dépend de l’utilisation que l’on en fait. L’intérêt étant de configurer ces WIPS selon des besoins spécifiques. « Il s’agit d’avoir une réaction rapide à l’attaque, voire immédiate dans le meilleur des cas. La personnalisation peut passer par la mise en place de filtres, permettant alors de mettre en évidence le point d’accès illégitime pour déclencher ensuite une réponse », estime la consultante. Autre solution : automatiser les réactions à un incident en fonction du type d’attaque, au risque de déclencher des fausses alertes.

Les limites de ces solutions
Le cabinet estime qu’il n’existe en fait que peu de solutions WIPS dotées de telles capacités. La plupart (WIPS intégrés ou hybrides) se restreignant à des fonctionnalités plus basiques, telles que le classement manuel des points d’accès détectés comme les points d’accès voisins, ou encore la création de rapports peu exhaustifs. « De plus, la contre-mesure permettant de se protéger contre ces attaques radio utilise une action qui s’apparente à du déni de service ou DoS, par l’envoi de trames de désassociation. Outre l’illégalité de cette réaction (du moins en France), elle peut se révéler inefficace. En effet, certains appareils utilisent l’amendement 802.11w, sorti en 2009, qui protège les appareils de certaines attaques DoS par l’envoi de trames de management et notamment les attaques DoS par trames de désassociation ou de désauthentification ».

Ségolène Kahn

Commentez

Participez à la discussion