Depuis des années, les hôtels et cafés proposent déjà une connexion Wi-Fi gratuite à leurs clients.

Aujourd’hui, cette option est en train de devenir une offre de base pour les petits établissements qui souhaitent réaliser des avantages supplémentaires. Selon une étude réalisée en 2013, 80 % des clients estiment qu’ils sont plus enclins à acheter dans un magasin où une connexion Wi-Fi est disponible.

Chaque année, la distinction entre magasin physique et e-commerce devient de plus en plus confuse. Par exemple, Amazon vient d’annoncer cette semaine qu’il a ouvert un nouvel emplacement physique à Seattle, Washington. Pourtant, ce nouveau point de vente physique, dénommé Amazon Go, n’a pas de caisses.

Les consommateurs doivent juste télécharger l’application Amazon Go pour scanner leur Smartphone à l’entrée du magasin. L’application, qui est associée à une carte de crédit, fait office de panier virtuel.

Des capteurs peuvent donc détecter et comptabiliser virtuellement les produits qu’ils ont pris ou reposés. Après cela, ils peuvent sortir directement du magasin, tandis que le paiement se fait automatiquement sur leur compte Amazon.

À noter que la marque prévoit d’ouvrir jusqu’à 2 000 magasins similaires dans tout le pays.

Ainsi, le géant mondial de la vente au détail en ligne est désormais en concurrence avec votre magasin physique. Vous pensez toujours que vous n’avez pas besoin de connexion Wi-Fi invité dans votre magasin pour sortir du lot ?

Toutefois, sachez que la mise en place d’un réseau Wi-Fi dédié aux invités entraîne de nombreux problèmes de sécurité. Non seulement il faut protéger le réseau interne de votre commerce contre les intrus qui peuvent le sonder, mais vous devez aussi protéger vos clients contre les logiciels malveillants classiques, l’infection d’un ordinateur par « drive-by download » et les attaques « homme du milieu » ou HDM.

Pour vous assurer que votre Wi-Fi constitue un avantage supplémentaire pour votre magasin, il faut donc redoubler de vigilance en matière de sécurité réseau.

Vous trouverez ci-dessous une liste de contrôle simple pour garantir une expérience Wi-Fi sécurisée et réussie à vos précieux clients

Que signifie le terme « Drive-by Download » ?

Le « Drive-by Download » est un malware qui s’installe automatiquement sur votre appareil lorsque vous consultez un e-mail ou un site malveillant.

Il n’existe pas encore une traduction française courante de ce terme et cela complexifie sa compréhension. En réalité, le « Drive-by Download » est basé sur l’expression « Drive-by » qui peut être traduite par le fait de passer devant quelque chose en voiture. Mais on peut aussi faire référence au « Drive-by shooting », qui se traduit par « tirer des coups de feu depuis une voiture ».

Un « Drive-by Download » peut être considéré comme le téléchargement soudain, dynamique et en mouvement d’un malware. Pour ce faire, les pirates tirent parti de la présence de logiciels ou de plug-in qui ne sont pas à jour et qui présentent des vulnérabilités.

Pour infecter un maximum d’internautes, les cybercriminels utilisent des kits d’exploitation qu’ils chargent sur des pages web. En d’autres termes, ils piratent des pages web dans le but d’insérer un code de redirection, et pour cela, ils ont recours à plusieurs méthodes comme le malvertising (publicités malveillantes) et les redirections malveillantes lorsqu’un internaute fait des recherches Google.

Pour ce dernier cas, les pirates utilisent des sites bidon avec des mots clés pertinents afin qu’ils puissent être retrouvés facilement sur Google. Lorsque l’internaute clique sur le lien, il charge le kit d’exploitation sur son appareil.

Bien entendu, les pirates peuvent combiner ces deux méthodes, en piratant des sites web tout en proposant des publicités malveillantes.

Mettre en place le Wi-Fi invité est une opération facile

Configurer un réseau WiFi invité est plus facile qu’il n’y paraît. Vous n’avez pas besoin de poser un câble supplémentaire ou de payer votre fournisseur d’accès Internet. Votre routeur Wi-Fi vous permet de mettre en place un réseau supplémentaire pour vos employés, clients, etc.

il vous suffit d’aller dans les paramètres et d’activer l’option Wi-Fi invité. D’abord, vous devez saisir l’adresse IP de votre routeur dans la barre d’adresse URL de votre navigateur. Cette adresse se présente généralement sous la forme de 192.168.0.1 ou 192.168.1.1, mais pas toujours. Elle est souvent indiquée dans le manuel d’utilisation de votre routeur.

Ensuite, lorsqu’une boîte de dialogue s’ouvre, vous devez entrer votre nom d’utilisateur et votre mot de passe en tant qu’administrateur. Si vous n’avez jamais modifié ces deux informations, vous les trouverez dans le contrat de votre fournisseur d’accès Internet, ou bien dans le manuel. Pour plus de sécurité, il est toutefois recommandé de les modifier et d’utiliser un gestionnaire de mots de passe pour ne pas les oublier.

Dans les paramètres du routeur, vous activez l’option « Autoriser l’accès invité » ou « Réseau invité » qui se trouve dans la section Wi-Fi. Si vous utilisez un ancien routeur, il se peut que l’option permettant de mettre en place un réseau invité n’existe pas.

Après avoir coché la case correspondante, vous ajoutez le nom du réseau invité. Ce nom s’appelle SSID dans le panneau de contrôle de certains routeurs. C’est le nom que les utilisateurs finaux verront dans la liste des connexions disponibles.

Sur certains routeurs, l’accès Wi-Fi invité sera automatiquement activé ; mais pour d’autres, vous devrez procéder à des réglages supplémentaires. Dans tous les cas, vous devez toujours vous assurer qu’il est correctement configuré. Il convient de définir un mot de passe pour le nouveau réseau. Ainsi, seules les personnes qui connaissent le mot de passe pourront accéder à votre Wi-Fi.

Vous devez également définir le type de chiffrement pour que les informations transmises via le Wi-Fi ne puissent être interceptées par les pirates informatiques. Parmi les options disponibles, vous pouvez sélectionner WPA2 (WPA2-Personal ou WPA2-PSK). Il s’agit d’un algorithme fiable qui est pris en charge par tous les appareils sans fil modernes.

Assurez-vous de désactiver la case « Autoriser les invités à accéder aux ressources du réseau local ». Certains routeurs n’ont pas ce paramètre, mais s’il existe, décochez-le pour que les utilisateurs ne puissent voir vos fichiers et d’autres informations stockées sur vos serveurs. Certains routeurs peuvent aussi disposer d’une case à cocher « Isoler » qui permet d’isoler le réseau invité de votre réseau local. Si cette option existe, sélectionnez-la. Maintenant, vous pouvez fournir un réseau Wi-Fi invité et sécurisé aux utilisateurs finaux.

La sécurisation du WiFi invité est importante pour les entreprises

Que vous exploitiez un établissement financier, un commerce ou une société de marketing, l’accès Internet Wi-Fi est quelque chose qui est attendu par les clients. Vous devez cependant vous assurer que votre réseau Wi-Fi invité est bien sécurisé pour vous protéger ainsi que vos visiteurs.

Rappelez-vous que, plus la qualité de la connexion sans fil est bonne, meilleure sera la satisfaction des utilisateurs. Pour le personnel, cela se traduit par une productivité accrue et pour les invités, cela signifie une plus grande facilité d’utilisation et d’accès à Internet, ce qui est essentiel dans le monde actuel.

Cependant, l’accès à votre réseau sans fil comporte certains risques. Avec les bonnes compétences, un pirate informatique peut voir tous les périphériques qui y sont connectés, ce qui signifie qu’il peut pirater votre appareil et installer des malwares, des virus, ou même voler des informations personnelles concernant les utilisateurs.

Les personnes qui peuvent se connecter à votre réseau sans fil peuvent être en mesure de faire ce qui suit :

  • Visualiser tous les fichiers sur votre ordinateur ou portable et répandre un virus.
  • Surveiller tous les sites web que vous visitez, copier vos noms d’utilisateur et vos mots de passe et lire tous vos courriels lorsque vous les consultez sur le réseau.
  • Ralentir votre ordinateur ou tout autre périphérique connecté ainsi que la vitesse de la connexion Internet.
  • Envoyer des spams et/ou effectuer des activités illégales en utilisant votre connexion Internet.

Types d’attaques sur les réseaux Wifi

Les attaques ciblant les réseaux sans fil peuvent être menées via différentes méthodes et vous devez vous en soucier. Certaines méthodes consistent à piéger ou duper les utilisateurs, tandis que d’autres utilisent la force brute. D’autres ciblent les entreprises qui ne prennent pas la peine de sécuriser leur réseau.

Plusieurs de ces attaques sont entrelacées les unes avec les autres dans le monde réel. En voici quelques-unes que vous pourriez rencontrer :

Reniflement de paquets (Packet sniffing)

Lorsque l’information est envoyée dans les deux sens sur un réseau dans ce que nous appelons des paquets. Comme le trafic sans fil est envoyé par voie hertzienne, il est très facile à capturer. Beaucoup de trafic (FTP, HTTP, SNMP, etc.) est envoyé en clair, ce qui signifie qu’il n’y a pas de chiffrement et les fichiers peuvent être lus en texte clair par n’importe quel utilisateur, en utilisation un outil comme Wireshark. Cela permet à des pirates de voler des mots de passe ou de profiter des fuites d’informations sensibles assez facilement. Les données chiffrées peuvent également être capturées. Par contre, il est beaucoup plus difficile pour les pirates de déchiffrer les paquets de données chiffrés.

Rogue Access Point

Lorsqu’un point d’accès non autorisé (PA) apparaît sur un réseau, il est considéré comme un « Rogue Access Point ». Celles-ci peuvent provenir d’un employé qui est mal informé ou d’une personne mal intentionnée. Ces PA représentent une vulnérabilité pour le réseau parce qu’ils le laissent ouvert à une variété d’attaques. Les pirates peuvent analyser ces vulnérabilités pour la mener des attaques, capturer de paquets ou lancer des attaques par déni de service.

Vol de mot de passe

Lorsque vous communiquez sur des réseaux sans fil, pensez à la fréquence à laquelle vous vous connectez à un site Web. Vous envoyez des mots de passe sur le réseau, et si le site n’utilise pas les protocoles SSL ou TLS, les mots de passe des utilisateurs sont affichés en texte clair et les pirates informatiques peuvent les lire facilement. Il existe même des moyens de contourner ces méthodes de chiffrement pour voler des mots de passe, à l’exemple de l’attaque appelée Man in the Middle.

L’attaque Man in the Middle

Il est possible pour les pirates de tromper les dispositifs de communication pour qu’ils envoient des donnés vers le dispositif utilisé par l’attaquant. Pour le cas de l’attaque Man in the Middle, ils peuvent enregistrer le trafic pour le visualiser plus tard (comme dans le reniflage de paquets) et même modifier le contenu des fichiers. Différents types de malwares peuvent alors être insérés dans ces paquets. Les contenus des e-mails envoyés via le réseau peuvent également être modifiés et le trafic peut être interrompu, ce qui entraîne le blocage de la communication.

Brouillage du réseau

Il existe plusieurs façons de brouiller un réseau sans fil. Une méthode consiste à inonder un PA avec des trames de désauthentification. Cela a pour effet de submerger le réseau et d’empêcher les transmissions légitimes de passer. Cette attaque est un peu inhabituelle, car le pirate n’a rien aucune raison de le faire.

Pourtant, l’un des rares exemples de la façon dont cela pourrait profiter à quelqu’un est lorsqu’une entreprise souhaite brouiller la connexion Wi-Fi de ses concurrents. C’est tout à fait illégal (comme toutes les attaques susmentionnées), c’est-à-dire que si l’entreprise se faisait prendre, elle ferait face à de graves accusations.

Conduite de guerre

La conduite de guerre vient d’un vieux terme appelé numérotation de guerre, où les gens composaient des numéros de téléphone au hasard à la recherche de modems. La conduite de guerre tente d’utiliser des PA vulnérables pour pouvoir les attaquer. Certains cybercriminels pourraient même faire appel à des drones pour essayer de pirater les PA des étages supérieurs d’un immeuble, par exemple. En effet, une entreprise qui possède plusieurs étages suppose souvent qu’aucune personne tierce n’est à portée pour pirater son réseau sans fil, mais bien évidemment, la créativité des pirates n’a pas de limite.

Attaques WEP/WPA

Les attaques ciblant les routeurs sans fil peuvent constituer un énorme problème. Les anciennes normes de chiffrement sont extrêmement vulnérables, et il est assez facile pour les pirates d’obtenir le code d’accès dans ce cas. Une fois que quelqu’un parvient à s’introduire dans votre réseau sans fil, vous avez perdu une couche importante de sécurité. Les PA et les routeurs cachent votre adresse IP en utilisant la traduction d’adresses réseau (à moins que vous n’utilisiez IPv6). Cela permet de cacher votre adresse IP privée à ceux qui ne font pas partie de votre sous-réseau et aide à empêcher les pirates de vous atteindre directement. Cela peut donc aider à prévenir les attaques, mais ne les arrête pas complètement.

Les spécificités d’un réseau Wi-Fi invité

Voici quelques choses à savoir à propos des réseaux Wi-Fi invité.

Obligations légales : lorsque vous mettez en place un réseau Wi-Fi ouvert au public, vous devez respect un certain nombre d’obligations légales. Elles sont définies par l’ARCEP, le RGPD et la CNIL, notamment en ce qui concerne l’enregistrement et la conservation des identifiants de connexion.

Authentification : sur un réseau Wifi, les utilisateurs sont généralement authentifiés via un portail captif. Ils peuvent donc avoir plusieurs accès différents en fonction de leur profil d’utilisateur. L’authentification se fait de plusieurs façons, telles que connexion par le biais des comptes de réseaux sociaux, la validation de conditions générales d’utilisation, l’authentification par envoi d’un e-mail ou encore la création d’un identifiant avec un mot de passe.

Portail personnalisable et multilingue : le portail captif est en quelque sorte la porte d’entrée d’un utilisateur sur un réseau Wi-Fi. C’est un passage obligatoire et peut constituer un vecteur de communication. A noter que le portail est souvent multilingue pour qu’il s’adapte facilement à la langue des différents utilisateurs.

Sécurisation : le Wi-Fi invité est un environnement spécifique, étant donné que l’utilisateur peut se connecter sur un réseau sans savoir quel est son niveau de sécurité. Les solutions Wi-Fi invité doivent donc assurer un cloisonnement entre les utilisateurs si vous voulez protéger la confidentialité des données.

6 Astuces pour un accès Wi-Fi invité sécurisé

1. Sécurisez tous vos périphériques réseau

Souvent, vous êtes trop occupé à sécuriser vos systèmes numériques. Pourtant, vous oubliez que tout doit commencer par la protection physique des périphériques physiques de votre réseau, des points d’accès sans fil aux routeurs, en passant par les commutateurs, etc.

Tout appareil doté d’un port Ethernet est vulnérable aux intrus, lesquels peuvent facilement brancher leur appareil et modifier vos configurations. Afin d’éviter cela, vos périphériques réseau doivent donc être conservés dans un endroit sûr tel qu’une armoire verrouillée.

Le cas échéant, assurez-vous que les points d’accès sans fil soient dissimulés au-dessus du plafond.

Par mesure de précaution supplémentaire, vous pouvez aussi configurer plusieurs adresses IP sur tous les ports Ethernet de vos appareils.

2. Séparez votre réseau interne du réseau invité

Il importe également de séparer votre réseau d’invités du réseau interne de votre magasin. Ceci empêche les intrus de naviguer et d’accéder à vos actifs réseau et à vos données confidentielles.

Vous pouvez le faire en installant un pare-feu réseau. Pour les grandes organisations qui nécessitent l’utilisation de commutateurs d’entreprise, un VLAN séparé doit être créé pour les points d’accès qui diffusent leur SSID.

Si votre pare-feu possède des fonctions de routage, vous aurez intérêt à router tout le trafic réseau du réseau invité directement vers Internet.

Enfin, vous devriez aussi protéger tous vos serveurs et vos ordinateurs à l’aide d’un pare-feu capable d’arrêter le trafic provenant du réseau invité.

3. Modifier les mots de passe par défaut et les SSID pour tous les périphériques réseau

Cela semble évident, mais sachez que certaines des importantes cyberattaques qui se sont produites ces derniers temps ont exploité ces moyens.

Autant donc modifier tous les mots de passe administrateur par défaut pour tous vos périphériques réseau. Il est également recommandé de changer le nom de votre SSID en un nom que vos clients peuvent facilement distinguer.

4. Soyez diligent dans la mise à jour du firmware de vos périphériques réseau

De nombreuses attaques auraient facilement pu être évitées en mettant à jour des micrologiciels installés dans vos périphériques réseau.

Ces mises à jour peuvent souvent corriger certaines failles qui peuvent être immédiatement exploitées par les cybercriminels, notamment par le biais d’une attaque « zero-day ». Prenez donc le temps de vérifier les mises à jour de tous vos appareils une fois tous les mois.

5. Assurez-vous que vos signaux sans fil sont chiffrés

Effectivement, il est plus facile de mettre en place un accès sans fil ouvert et de permettre au grand public d’accéder à votre réseau. Cependant, comme beaucoup de choses dans la vie, la façon la plus simple ne signifie pas nécessairement que c’est la meilleure façon.

En effet, vos clients peuvent apprécier la facilité d’accès à votre réseau sans fil, mais cela rend également leurs sessions plus vulnérables aux tentatives d’intrusion et de piratage informatiques.

Pour éviter cela, vous pouvez sécuriser votre réseau sans fil à l’aide du chiffrement WPA2. Ensuite, vous affichez fièrement le nom des invités auquel vous avez attribué un mot de passe et un SSID. Ainsi, vos clients peuvent facilement reconnaître les intrus au cas où ils tenteraient d’accéder à votre réseau.

6. Offrir une expérience de navigation sûre

De nos jours, si vous fournissez des services Internet à vos clients, vous devez également fournir un filtrage de contenu.

Bien entendu, vous ne voulez tout de même pas que votre magasin devienne l’endroit où les mineurs se viennent pour accéder facilement à des sites dangereux, indésirables ou réservés aux adultes. Dans la foulée, vous pourrez protéger vos clients des sites susceptibles de diffuser des logiciels malveillants (malwares).

Pour ce faire, vous pouvez vous mettre en place une solution de filtrage web dans le cloud. Celle-ci vous évite l’installation et les configurations d’équipements supplémentaires ainsi que la gestion de leurs mises à jour.

Les avantages de WebTitan Cloud pour Wi-Fi

WebTitan Cloud pour Wi-Fi est une plate-forme multi-utilisateurs. Vous pouvez créer de nouveaux clients et comptes facilement et gérer un nombre illimité d’emplacements à partir d’un seul compte. Vous pouvez également déléguer l’administration au client s’il le souhaite. Ainsi, il peut dicter la politique qu’elle veut, c’est-à-dire définir ce que ses invités peuvent voir. Cela peut être configuré en quelques minutes et est géré à partir d’une interface web intuitive. Pour ce faire, vous n’avez pas besoin d’installer un logiciel local.

Cette solution utilise également des API multiples qui permettent l’intégration avec votre système de facturation, votre système d’approvisionnement automatique ou la surveillance. La possibilité d’uniformiser l’ensemble de ces systèmes rend WebTitan Cloud pour Wi-Fi  très facile à utiliser.

En termes de sécurité, WebTitan Cloud pour Wi-Fi permet à l’administrateur de définir des alertes instantanées qui lui permettent de découvrir en temps réel les personnes qui essaient de voir un contenu particulier. Ils peuvent savoir exactement à quels contenus les clients accèdent via votre réseau Wi-Fi. Par ailleurs, cette solution permet de mettre en place des politiques d’utilisation par emplacement pour empêcher les utilisateurs d’accéder à des contenus indésirables et pour bloquer les sites web malveillants.

Pour finir, sachez que WebTitan Cloud simplifie la gestion de la sécurité de votre connexion Wi-Fi. Cette solution prend en charge toutes les complexités du filtrage de contenu et de la sécurité, tout en offrant à vos clients une interface conviviale, dont l’utilisation ne requiert aucune formation particulière. De plus, elle est facile à gérer et totalement évolutif.

Vous êtes propriétaire d’un hôtel et vous souhaitez en savoir plus sur les avantages offerts par le filtrage Wi-Fi ? Adressez-vous à nos spécialistes ou écrivez-nous à info@titanhq.com pour toutes questions.