Le chiffrement du réseau protège contre un ensemble de menaces différent du chiffrement de la couche application comme TLS.

En particulier, le chiffrement du réseau comme le chiffrement Wifi est principalement conçu pour protéger d'un attaquant local contre la possibilité de surveiller les modèles de réseau ( en enregistrant avec qui vous établissez des connexions et en découvrant quels appareils se trouvent sur le réseau local), en observant / altérant les messages de bas niveau comme ARP / DNS et en protégeant les diffusions réseau des appareils qui ne sont pas censés être sur le réseau, et contre la falsification ou les interférences sélectives.

TLS ne protège pas les paquets TCP / IP de bas niveau, qui fuient des informations comme l'adresse IP de la machine avec laquelle vous vous connectez, et la prise de contact TLS également par conception fuit un certain nombre d'informations sur la connexion comme l'en-tête SNI (Server Name Indication).

L'effet secondaire de devoir faire tout cela est que le matériel Wifi doit déjà avoir suffisamment de code et de puissance de traitement pour gérer le cryptage, donc ça devient plus facile pour simplement crypter tous les paquets wifi plutôt que de déterminer de manière sélective ce qui doit être protégé ou non. Cela vient également avec l'avantage secondaire que la connexion HTTP non sécurisée sera toujours au moins marginalement protégée, même si au moins pour protéger les utilisateurs de l'infrastructure les uns des autres, mais pas du fournisseur de l'infrastructure.

Le chiffrement du réseau est conçu pour protéger le réseau, pas le service. Le chiffrement des applications est conçu pour protéger la connexion au service, mais il ne protège pas le réseau. Ils se complètent, mais ni l'un ni l'autre ne rend l'autre complètement inutile.

Pourquoi n'autorisons-nous pas simplement chaque appareil final?

Nous le faisons. Eh bien, un peu. Le modèle traditionnel de clé pré-partagée (PSK) authentifie les périphériques en ayant accès au PSK. Ce n'est pas la seule façon de faire les choses et votre question mentionne les adresses MAC. Ceci n'est généralement pas sûr, car les périphériques sans fil diffusent nécessairement leur adresse MAC avec chaque paquet qu'ils envoient. Les adresses MAC sont également modifiables, ce qui signifie qu'un attaquant peut simplement cloner l'adresse MAC d'un périphérique autorisé pour contourner les filtres basés sur MAC.

La meilleure approche est les certificats clients, ce qui est fait pour la sécurité WPA2-Enterprise. C'est une bien meilleure approche en termes de sécurité, mais l'inconvénient est que chaque appareil doit la prendre en charge. De nombreux appareils grand public (et même certains appareils professionnels bas de gamme) ne prennent pas en charge WPA2-Enterprise (par exemple, votre Nintendo Switch, votre imprimante sans fil, etc.).

Pourquoi le faisons-nous chiffrer sur une couche inférieure si nous pouvions chiffrer dans une couche supérieure?

Qu'est-ce qui vous fait penser que les couches supérieures sont en quelque sorte préférables? Le chiffrement dans les couches inférieures signifie que même les protocoles qui ne sont pas chiffrés seront toujours «quelque peu» sûrs lorsqu'ils sont utilisés dans un réseau sans fil. Le chiffrement dans une couche supérieure nécessite que chaque application gère elle-même le chiffrement.

De plus, chiffrer les données deux fois ne réduit pas le niveau de sécurité et le chiffrement est devenu tellement optimisé que l'impact sur les performances est négligeable pour tous les appareils sauf les appareils les plus bas de gamme (pensez à l'IoT, etc.).

N'est-ce pas uniquement un théâtre de sécurité?

"Security Theater" est la pratique d'investir dans des contre-mesures destinées à procurer le sentiment d'une sécurité améliorée tout en faisant peu ou rien pour y parvenir.

Un exemple typique est le TSA. De nombreuses mesures qu'ils mettent en place peuvent être contournées ou sont tout simplement ridicules, comme le fait de fouiller les jeunes enfants, les nourrissons ou les personnes âgées. Il y en a d'autres, et en fait Wikipédia a une belle liste de quelques points plus fortement critiqués.

Si vous êtes allé dans un aéroport plus grand récemment, vous aurez certainement des souvenirs vivants des gens faisant la queue, attendant d'être tapotés et qu'on leur dise des raisons ridicules pour lesquelles leur ceinture pourrait être utilisée pour étrangler le pilote ou quelque chose qui lui ressemble. Tout cela représente un coût pour la population, pour les utilisateurs réels de l'aéroport. Rien de tout cela n'ajoute particulièrement de coût à un attaquant, car il pourrait contourner ces mesures avec une relative facilité.

Maintenant que nous avons défini Security Theater, pensez au chiffrement sans fil pendant un moment. Vous devez taper une fois une clé générée aléatoirement, ce qui prendra entre 30 et 60 secondes, en fonction de la longueur de la clé et de la vitesse à laquelle vous pouvez taper. L'avantage est qu'un attaquant devrait capturer une poignée de main et passer ensuite entre 30 secondes et 10 ^ 30 fois la durée de vie de l'univers pour casser la clé. Il s’agit certainement d’un avantage considérable en matière de sécurité et ne constitue donc pas un théâtre de sécurité .

En plus des excellentes réponses déjà publiées, j'ajouterais qu'avoir des gens sur votre WiFi n'est pas seulement une menace pour la confidentialité de vos échanges.

C'est aussi une menace pour vos endpoints, puisque l'attaquant peut désormais accéder à toutes sortes d'appareils qui ne seraient autrement pas exposés de l'extérieur (IoT, imprimantes, ordinateurs eux-mêmes, NAS, serveurs, etc.). Toute vulnérabilité sur ces points de terminaison aboutirait à une brèche, puis un mouvement latéral vous causerait des problèmes.

Vous voulez donc que les gens hors de votre réseau:

1. Pour éviter de renifler - mais vous avez raison de dire que l'utilisation d'un VPN ou similaire vous protégerait de cette menace
2. Et aussi d'éviter les attaques directes d'& contre des choses qui seraient autrement inaccessibles de l'extérieur!

La sécurité Wi-Fi existe depuis bien plus longtemps qu'il n'était standard pour tous les sites Web d'utiliser https. Il y a environ 5 ans et une très grande partie d'Internet n'était pas chiffrée. La sécurité Wi-Fi offrait un avantage très réel et important à cette époque, c'est pourquoi le conseil de ne pas utiliser le café wifi pour des utilisations sensibles était et reste un conseil si répandu.

Même maintenant, il en reste encore beaucoup des protocoles tels que DNS qui ne sont pas cryptés, sauf si vous avez une application qui est récemment passée au DNS via HTTPS. Ces données sont actuellement protégées par la sécurité de votre réseau wifi.

À l'époque (début des années 2000), je devais indiquer à mon université l'adresse MAC de chaque appareil avec lequel je voulais utiliser Internet.

C'est à peu près aussi sûr que l'utilisation de balises de nom pour authentifier les utilisateurs. Votre adresse MAC est diffusée publiquement et les utilisateurs peuvent changer leur adresse Mac pour ce qu'ils veulent.Tout ce qu'un attaquant a à faire est d'écouter le trafic wifi et de copier l'adresse Mac d'un utilisateur légitime.

Si vous avez un accès physique à un réseau, vous pouvez le rendre complètement inutilisable. C'est surtout un problème pour les réseaux sans fil, car vous n'avez aucun moyen de limiter l'accès physique; cela devient également un peu un problème dans l'hébergement moderne de "cloud privé" - il suffit de compromettre une machine pour compromettre l'ensemble du réseau.

La méthode la plus simple serait l'inondation ou l'usurpation d'ARP. Continuez simplement à envoyer des requêtes ARP et de fausses réponses aux requêtes ARP. Une seule machine peut rendre l'ensemble du réseau inutilisable, en utilisant les protocoles de très bas niveau sans pratiquement aucune protection. Le seul moyen d'éviter cela est de le gérer à un niveau encore plus bas - le protocole Wi-fi (particulier) lui-même. L'usurpation d'ARP en particulier est particulièrement amusante, car il est assez difficile de vider le cache ARP, et comme de nombreux routeurs Wi-Fi n'autorisent la configuration que via le réseau, il peut être difficile de réparer l'accès.

Cela dit, je ne suis au courant d'aucun cas où cela a été réellement utilisé dans une véritable attaque DOS sur un réseau Wi-Fi. C'est plus la chose que vous feriez à un voisin ennuyeux qu'une attaque sérieuse.

Ugh ... Il y a tellement d'arêtes, et le problème est que si vous devez obtenir 500 choses correctement pour être [plus ou moins] en sécurité, vous n'avez besoin que de vous tromper, et d'être dangereux. J'ose dire qu'il est même impossible d'énumérer toutes les choses dont il faut être conscient.
Certes, il y a certaines choses qui sont plus importantes pour Joe Average que d'autres, mais aucune d'entre elles n'est un véritable «théâtre de la sécurité», et on ne peut pas vraiment le dire qu'il y a des choses qui n'ont pas d'importance.

La plupart des protocoles réseau ne sont que du texte en clair, mais certains font du cryptage (une liaison satellite ou 4G / 5G en seraient des exemples). Cela empêche un perdant aléatoire d'effectuer les attaques de reniflage les plus élémentaires, mais c'est quelque peu limité et cela ne fonctionne qu'entre deux nœuds (par exemple votre "box internet" (modem fibre / câble / routeur DSL, peu importe) et le satellite du fournisseur, la station de base , DSLAM ou "n'importe quelle boîte"). Cependant, il fournit une petite couche de sécurité de «secours», qui n'est pas si mauvaise, au cas où le paragraphe suivant ne serait pas correct.

Pourquoi est-ce que je dis vraiment pas si mal? Eh bien, bien que nous pensions prudemment en termes de "tout Internet et tout le monde dessus est malveillant" , en réalité ce n'est pas tellement le cas. Lire / intercepter votre trafic au niveau du FAI ou de l'IPX est quelque chose que le criminel moyen, et même le criminel sérieusement expérimenté, sont normalement totalement incapables de faire, et c'est quelque chose qui "n'arrive pas". _{(Oui, je connais des organisations gouvernementales qui font cette chose systématiquement et régulièrement à grande échelle, mais c'est au-delà du sujet. Je parle de criminels, pas de criminels légaux. )}
Malheureusement, renifler et falsifier les messages n'est de loin pas tout ce que l'on peut faire.

TLS ("https: //" ou "bouton de navigateur vert") est la seule défense de base qui empêche quelqu'un d'autre qui ne se trouve pas à l'intérieur ou à proximité de votre maison (peut-être à des milliers de kilomètres) de lire vos communications, de les intercepter / de les rediriger et de modifier leur contenu. Il s'agit d'un chiffrement (et d'une authentification) de bout en bout , et c'est la chose la plus importante pour Joe Average. Pourquoi? Eh bien parce que cela m'empêche de lire vos trucs, et de vous tromper en vous faisant croire que je suis votre banque et en me disant votre mot de passe ainsi que les numéros de transaction (que je vais utiliser pour voler votre argent). Vos secrets restent secrets et je ne peux pas prétendre être vous.

Encore une fois, nous voyons qu'il y a plus d'un côté sur la pièce. Le cryptage est bien, mais à lui seul, il ne suffit pas.

L'authentification doit être considérée comme tout aussi importante, et dans certains cas peut-être même plus importante. Parce que, tant que les deux parties peuvent vérifier que les données échangées (par exemple, un ordre bancaire) sont bien authentiques, il est certainement «ennuyeux» si quelqu'un peut les lire, mais loin d'être aussi gênant que si un criminel pouvait faire semblant être vous et faire des transferts en votre nom!

Notez que l'authentification ne fonctionne de manière fiable (à l'exception de la possibilité que quelqu'un subvertisse la chaîne de certificats) si vous lisez réellement ce qui est affiché dans ce badge également. Tout le monde peut activer TLS sur son serveur, et tout le monde obtient un certificat et affiche une bannière verte. Cela ne veut pas dire grand-chose en soi.

Bien que je sois personnellement en désaccord sur le "crypter tout!" idéologie ^[2] , pour tout ce qui compte, c'est-à-dire pour tout ce qui concerne des données personnelles ou des mots de passe, ou des transactions non triviales, TLS est un must have-no-choice mesurer si une vie continue et heureuse est sur votre liste de choses à faire, et pour la plupart des gens, la première chose, la plus importante. Mais c'est loin d'être la seule considération, ou la seule importante.

En fait, parfois TLS n'est pas de bout en bout parce que parfois vous avez des certificats racine installés sur votre ordinateur (souvent le cas avec les équipements "entreprise", et cela arrive avec les écoles) donc il existe un groupe de personnes qui peuvent, avec un intérêt sans doute légitime ( toux ), lire et modifier votre trafic. Non, vous ne remarquerez même pas que cela arrive, vous n'avez aucun moyen de le dire. Donc, c'est une chose à garder à l'esprit et à se méfier lorsque, par exemple, utiliser un ordinateur portable d'entreprise ou être invité à installer des éléments sur votre appareil par l'école de votre enfant (ou autre). Complètement, il est possible de subvertir entièrement le fonctionnement et le but de TLS, et en cours (généralement sans que les utilisateurs en comprennent les implications).

Notez que TLS ne fonctionne pas non plus vraiment comme- destiné à «tout», du moins pas de bout en bout. Par exemple, de nos jours, de nombreux services de messagerie prennent éventuellement en charge TLS. Mais si vous pensez que c'est juste parfait et assez bon, c'est seulement de bout en bout entre vous et votre serveur de messagerie . La "vraie" fin est ailleurs!

Le message est stocké en texte brut sur le serveur, et peut-être (probablement) transmis en texte clair à un autre serveur de messagerie, et vous ne savez pas si l'autre personne qui envoie / reçoit vos e-mails utilise TLS (car il une fonction optionnelle).

Si vous voulez un vrai chiffrement de bout en bout (qui révèle toujours le fait que vous avez envoyé quelque chose à une personne en particulier), vous devez utiliser encore quelque chose de plus, comme PGP / Enigmail / Autocrypt. Ce qui semble plus facile que cela ne l'est parce que malheureusement, le logiciel disponible est presque convivial et presque mature, du moins si, comme la plupart des gens, vous utilisez un ordinateur Windows (par exemple, aucun progrès après 4 heures lors de la création d'une clé ou d'un programme de gestion lancer des affirmations toutes les 5 minutes). Certes, cela fonctionne beaucoup mieux sous Linux, mais malheureusement, pour beaucoup de gens, "Ouais, utilisez simplement Linux" n'est pas une option valable.

La sécurité Wifi elle-même comporte de nombreux aspects. Par exemple, vous pouvez craindre que quelqu'un utilise votre Internet et vole un peu de votre bande passante. Mais ce n'est en fait qu'une petite chose très insignifiante par rapport à l'annulation de votre contrat par votre fournisseur ou à l'obtention d'un cessez-vous-et-desist pour des choses retracées à votre adresse IP (peut-être avez-vous contribué à un DDoS ou travaillez-vous comme relais pour un botnet? ), ou que la police a donné un coup de pied à votre porte parce que quelque chose de très illégal a été hébergé sur votre réseau domestique et distribué sur le Web (pensez aux "trucs darknet" typiques, à la pornographie juvénile, aux armes, peu importe).

C'est aussi un petit problème par rapport au fait qu'une personne utilisant votre Wifi utilise en fait un ordinateur "réseau local". Ce qui, par défaut très intelligent dans certains systèmes d'exploitation, bénéficie d'une grande confiance, y compris la possibilité d'imprimer et de partager des fichiers, ou des paramètres de pare-feu beaucoup plus souples en général.

Un ordinateur local n'a généralement aucun problème à reconfigurer complètement le routeur en utilisant par exemple uPnP non plus. Parce que oui, c'est local, donc c'est digne de confiance , d'accord. Et uPnP est génial, donc nous l'avons activé. Plug and play est déjà super, ma clé USB et ma souris fonctionnent de cette façon. Celui-ci est même universel , ce qui semble encore mieux. Alors laissez-le activé, il a été activé par les paramètres d'usine de toute façon, et Windows exécute même un service pour cela, ils savent ce qu'ils font!

En plus d'être purement et simplement «dérangeant», un ordinateur local a en outre (généralement) la possibilité d'accéder et donc de tester tous les appareils du réseau (y compris les ordinateurs, mais aussi par exemple les imprimantes, les téléviseurs, ou certains réfrigérateurs qui, eux aussi, sont ordinateurs) pour des exploits. Cela inclut des mots de passe par défaut vraiment stupides comme "0000" ou "admin". Croyez-le ou non, de nombreux appareils actuels ont toujours le réglage d'usine, et pour lesquels des logiciels malveillants de détection (par exemple, Mirai) sont facilement disponibles. Tout ce dont vous avez besoin est un pied dans la porte.

Bah. Fumisterie. À quoi sert si quelqu'un parvient à détourner quelques appareils IoT? Cela ne peut faire aucun mal! Eh bien, c'est peut-être ce que vous pensez ...

C'est pourquoi on ne laisse pas un réseau Wifi ouvert. À tout le moins , si vous n’avez pas de meilleure option, vous devriez configurer un mot de passe WPA2 beaucoup plus long / compliqué et désactiver complètement le WPA / WEP (qui, pour une raison que je ne comprends pas, est toujours largement pris en charge et activé?). Mais ça ne s'arrête pas là. Le Wifi (du moins la saveur que vous êtes susceptible de posséder) n'est pas conçu pour les administrateurs de réseau hardcore à plein temps, mais pour les utilisateurs finaux, y compris votre mère de 80 ans. Ce qui signifie qu'il a des fonctionnalités qui le rendent plus banalement utilisable, comme "appuyez sur le bouton ici". Ce qui signifie aussi, malheureusement, qu'il est beaucoup plus vulnérable en général. Certains routeurs Wifi ont une sorte de paramètre "Restreindre aux appareils connus", que je considère comme une bonne idée de toujours activer, sauf pendant les 5 secondes lorsque vous introduisez un nouvel appareil pour la première fois. Cela ne protège pas contre certains exploits, mais cela évite les problèmes d'insécurité de conception les plus stupides, et vous ne pouvez pas faire plus. À un moment donné, la seule chose que vous puissiez faire pour augmenter la sécurité est de ne plus avoir d'ordinateur du tout.

Mais ça ne s'arrête pas là! Et vous pensiez simplement que vous étiez en sécurité.

Par exemple, si vos appareils Wifi prennent en charge PMF, vous voudrez probablement l'activer. Pourquoi, que fait-il?

Supposons que vous ayez un groupe de caméras de sécurité connectées via Wifi, et que je suis un cambrioleur qui n'aime pas les séquences vidéo de ses pauses. Mes droits de personnalité, vous savez. Alors qu'est-ce que je fais? Je peux creuser un trou dans la rue et couper le câble d'alimentation (ou grimper sur un poteau, selon l'endroit où vous habitez). Mais cela se remarque facilement, je ne veux pas être vu, je ne veux pas non plus que les voisins appellent la panne d'électricité. Je peux mettre en place un brouilleur qui tue brutalement la bande 2,4 GHz. Mais ... tout le monde dans le quartier le remarquera immédiatement, et je ne veux pas d'attention . Alors qu'est-ce que je fais?

J'investis 20 $ dans un deauther, qui est un mini-ordinateur de la taille d'une carte de crédit qui écoute les trames sur votre SS (votre "canal WLAN"). Il envoie ensuite, pour chaque appareil vu, un message "Je pars, veuillez me désauthentifier" au point d'accès Wifi étiqueté avec son adresse. Poof, ils partent hors ligne, toutes vos belles caméras, et personne ne l'a même remarqué! Vos voisins ne se plaindront pas non plus que leur WLAN ne fonctionne soudainement pas (en fait, si les canaux se chevauchent, cela pourrait mieux fonctionner). C'est juste vous qui avez été coupé, proprement et silencieusement. L'activation de PMF empêche que cela se produise.

Malheureusement, tous les appareils ne le supportent pas du tout, et sur ceux qui le font, vous devez souvent chercher un peu pour trouver le paramètre (qui est, bien sûr, désactivé par défaut).

Pour revenir à la question initiale:
Dans la mesure où je peux (probablement) désactiver votre vidéosurveillance, complètement et instantanément, sans donner d'indice, en utilisant 20 $ de équipement. Pensez-vous que l'on puisse justifier de dire "La mesure de sécurité X est plus importante que celle-ci." ? D'un autre côté, vu comment je pourrais retirer tout l'argent de votre compte bancaire, pensez-vous que l'on puisse justifier de dire "Celui-ci est plus important que Y." ? Je ne pense pas que l'un puisse dire l'un ou l'autre. Ils sont tous deux également importants, dans des situations différentes.

Pensez-vous qu'il soit justifié de l'appeler "théâtre de la sécurité"? Je ne pense pas. Une mesure est inutile sans l'autre, les criminels (ou les «mauvaises personnes» en général) utiliseront simplement l'opportunité qui leur est donnée.

Ne prêter attention qu'à chaque composant vous donnera un niveau de protection raisonnable, car la probabilité qu'ils trouvent une opportunité ouverte est beaucoup plus faible.

Et oui, bien sûr, même si vous faites attention, vous n'êtes pas en sécurité à 100%, même si vous n'avez jamais rien fait de mal dans votre vie. Parce que, hé, vous pourriez avoir une porte dérobée intégrée à votre routeur sans même le savoir.

^[2] Vraiment, je m'en fiche si quelqu'un peut voir ce que je tape dans Google ( eux étant le problème réel, pas le pirate au hasard!), je ne me soucie pas non plus que quelqu'un puisse voir quelle URL particulière sur un serveur j'ai visité, ou quelles images j'ai regardées. Personne ne veut savoir de toute façon, personne ne s'en soucie, et je m'en fiche s'ils le font. En comparant cela à la consommation d'énergie supplémentaire et au retard supplémentaire, ainsi qu'à l'immense problème de mise en place d'un proxy Web transparent (ce qui était une évidence il y a 10 ans!), C'est une chose que je considère vraiment comme un "théâtre de la sécurité" totalement à la mer. Mais hélas, ce n'est que mon avis, et je suppose que c'est le prix que vous devez payer.

Pour fournir un point de vue contraire, le célèbre cryptographe Bruce Schneier a déjà publié un article expliquant pourquoi il a un réseau wifi ouvert. Cet article a généré un grand nombre de débats (liens à la fin de cet article), certains professionnels de la sécurité soutenant et d'autres opposés. Le principal argument de sécurité de Schneier pour ne pas crypter son propre wifi est qu'il veut utiliser ses appareils mobiles sur d'autres réseaux wifi, mais ne fait pas confiance à ces réseaux, et donc il doit quand même sécuriser les appareils:

"Je suis également insensible à ceux qui disent que je mets mes propres données en péril, car des pirates peuvent se garer devant ma maison, se connecter à mon réseau ouvert et écouter mon trafic Internet ou pénétrer par effraction dans mes ordinateurs. C'est vrai, mais mes ordinateurs sont beaucoup plus à risque lorsque je les utilise sur des réseaux sans fil dans les aéroports, les cafés et autres lieux publics. Si je configure mon ordinateur pour qu'il soit sécurisé quel que soit le réseau sur lequel il est activé, il ne l'est tout simplement pas. Et si mon ordinateur n'est pas sécurisé sur un réseau public, la sécurisation de mon propre réseau ne réduira pas beaucoup mes risques. Oui, la sécurité informatique est difficile. Mais si vos ordinateurs quittent votre domicile, vous devez le résoudre de toute façon. Et toute solution s'appliquera également à vos ordinateurs de bureau. "

Il a également un second argument, qui se résume à l’incapacité d’empêcher que le mot de passe Wi-Fi ne soit divulgué par inadvertance à des tiers une fois qu’il a été partagé:

"les gens se connectent aux réseaux Wi-Fi à partir de leur Les téléphones Android, et en sauvegardant ces mots de passe avec tout le reste dans le cloud de Google, Google amasse une énorme base de données des mots de passe Wi-Fi du monde. Et bien qu'il ne s'agisse pas de tous les mots de passe Wi-Fi dans le monde, c'est presque certainement un grand pourcentage d'entre eux. Laissant de côté les intentions de Google concernant cette base de données, c'est certainement quelque chose que le gouvernement américain pourrait forcer Google à remettre une lettre de sécurité nationale. "

La réponse de Lie Ryan est juste, mais même ces avantages n'existent que si la clé ("mot de passe wifi") est forte et n'est pas largement partagée, auquel cas un attaquant intéressé à surveiller ou à interférer avec vos opérations pourra obtenir l'accès de toute façon. Le but principal des mots de passe wifi est d'empêcher le mooching occasionnel du service - monopolisation de la bande passante, utilisation du service pour des activités criminelles qui pourraient vous être liées à tort, etc.