Apple

Pourquoi ne pas utiliser le filtrage d’adresses MAC sur votre routeur Wi-Fi

Par Maximus , le 9 juin 2019 - 7 minutes de lecture

routeur sans fil

Le filtrage par adresse MAC vous permet de définir une liste de périphériques et d'autoriser uniquement ces périphériques sur votre réseau Wi-Fi. C’est la théorie, de toute façon. En pratique, cette protection est fastidieuse à mettre en place et facile à violer.

C’est l’une des fonctionnalités du routeur Wi-Fi qui vous donnera un faux sentiment de sécurité. Il suffit d’utiliser le cryptage WPA2. Certaines personnes aiment utiliser le filtrage par adresse MAC, mais ce n’est pas une fonctionnalité de sécurité.

Comment fonctionne le filtrage d'adresses MAC

EN RELATION: Ne pas avoir un faux sentiment de sécurité: 5 façons non sécurisées de sécuriser votre réseau Wi-Fi

Chaque appareil que vous possédez est fourni avec une adresse de contrôle d'accès au support (adresse MAC) unique qui l'identifie sur un réseau. Normalement, un routeur permet à tout périphérique de se connecter, à condition qu'il connaisse la phrase secrète appropriée. Avec le filtrage des adresses MAC, un routeur comparera d’abord l’adresse MAC d’un périphérique à une liste d’adresses MAC approuvées, puis autorisera un périphérique sur le réseau Wi-Fi si son adresse MAC a été spécifiquement approuvée.

Votre routeur vous permet probablement de configurer une liste d'adresses MAC autorisées dans son interface Web, ce qui vous permet de choisir les périphériques pouvant se connecter à votre réseau.

Le filtrage par adresse MAC n'offre aucune sécurité

Jusqu'ici, cela sonne plutôt bien. Mais les adresses MAC peuvent être facilement usurpées dans de nombreux systèmes d'exploitation. Ainsi, tout périphérique peut prétendre posséder l'une de ces adresses MAC autorisées et uniques.

Les adresses MAC sont également faciles à obtenir. Ils sont envoyés par liaison radio avec chaque paquet entrant et sortant du périphérique, l'adresse MAC étant utilisée pour garantir que chaque paquet parvient au bon périphérique.

EN RELATION: Comment un attaquant pourrait-il craquer votre sécurité réseau sans fil?

Tout ce qu’un attaquant doit faire est de surveiller le trafic Wi-Fi pendant une seconde ou deux, d’examiner un paquet pour trouver l’adresse MAC d’un périphérique autorisé, de remplacer l’adresse MAC de leur périphérique par celle MAC autorisée et de se connecter à la place de ce périphérique. Vous pensez peut-être que cela ne sera pas possible parce que le périphérique est déjà connecté, mais une attaque de type “deauth” ou “deassoc” qui déconnecte de force un périphérique d'un réseau Wi-Fi permettra à un attaquant de se reconnecter à sa place.

Nous n'exagérons pas ici. Un attaquant avec un jeu d’outils tel que Kali Linux peut utiliser Wireshark pour écouter un paquet, lancer une commande rapide pour changer leur adresse MAC, utiliser aireplay-ng pour envoyer des paquets de dissociation à ce client, puis se connecter à sa place. L'ensemble de ce processus pourrait facilement prendre moins de 30 secondes. Et c’est juste la méthode manuelle qui implique de faire chaque étape à la main, sans parler des outils automatisés ou des scripts shell qui peuvent accélérer les choses.

Le cryptage WPA2 est suffisant

EN RELATION: Le cryptage WPA2 de votre Wi-Fi peut être piraté: voici comment

À ce stade, vous pensez peut-être que le filtrage d’adresses MAC n’est pas infaillible, mais offre une protection supplémentaire par rapport au simple cryptage. C’est vrai, mais pas vraiment.

Fondamentalement, tant que vous avez une phrase secrète forte avec le cryptage WPA2, ce cryptage sera la chose la plus difficile à résoudre. Si un attaquant parvient à déchiffrer votre chiffrement WPA2, il sera facile pour eux de tromper le filtrage par adresse MAC. Si un attaquant est dérouté par le filtrage des adresses MAC, il ne pourra certainement pas casser votre cryptage en premier lieu.

Pensez-y comme à l’ajout d’un cadenas pour bicyclette à une porte de coffre fort. Tous les voleurs de banque pouvant passer à travers cette porte de coffre bancaire n'auront aucun problème à couper un cadenas. Vous n’avez ajouté aucune sécurité supplémentaire réelle, mais chaque fois qu’un employé de banque a besoin d’accéder au coffre-fort, il doit passer du temps à gérer le blocage du vélo.

C’est fastidieux et fastidieux

EN RELATION: 10 options utiles que vous pouvez configurer dans l’interface Web de votre routeur

Le temps passé à gérer cela est la principale raison pour laquelle vous ne devriez pas vous embêter. Lorsque vous configurez le filtrage des adresses MAC en premier lieu, vous devez obtenir l’adresse MAC de chaque périphérique de votre foyer et l’autoriser dans l’interface Web de votre routeur. Cela prendra un certain temps si vous avez beaucoup de périphériques compatibles Wi-Fi, comme le font la plupart des gens.

Chaque fois que vous recevez un nouvel appareil – ou qu'un invité se présente et doit utiliser votre Wi-Fi sur leurs appareils – vous devrez vous connecter à l'interface Web de votre routeur et ajouter les nouvelles adresses MAC. Ceci s’ajoute au processus de configuration habituel dans lequel vous devez brancher la phrase secrète Wi-Fi sur chaque appareil.

Cela ajoute simplement du travail supplémentaire à votre vie. Cet effort devrait porter ses fruits avec une meilleure sécurité, mais le gain de sécurité minuscule à inexistant que vous obtenez fait que cela ne vaut pas votre temps.

Ceci est une fonctionnalité d'administration de réseau

Le filtrage par adresse MAC, correctement utilisé, est davantage une fonctionnalité d’administration réseau que une fonctionnalité de sécurité. Cela ne vous protégera pas contre les personnes extérieures qui tentent activement de déchiffrer votre cryptage et d'entrer sur votre réseau. Cependant, cela vous permettra de choisir les appareils autorisés en ligne.

Par exemple, si vous avez des enfants, vous pouvez utiliser le filtrage par adresse MAC pour empêcher leur ordinateur portable ou leur smartphone d’accéder au réseau Wi-Fi si vous devez les mettre à la terre et leur retirer l’accès à Internet. Les enfants peuvent contourner ces contrôles parentaux avec des outils simples, mais ils ne le savent pas.

C’est pourquoi de nombreux routeurs possèdent également d’autres fonctionnalités qui dépendent de l’adresse MAC du périphérique. Par exemple, ils peuvent vous permettre d'activer le filtrage Web sur des adresses MAC spécifiques. Vous pouvez également empêcher les périphériques dotés d'adresses MAC spécifiques d'accéder au Web pendant les heures de classe. Ce ne sont pas vraiment des fonctionnalités de sécurité, car elles ne sont pas conçues pour arrêter un attaquant qui sait ce qu’il fait.


Si vous voulez vraiment utiliser le filtrage par adresse MAC pour définir une liste de périphériques et leurs adresses MAC et administrer la liste des périphériques autorisés sur votre réseau, n'hésitez pas. Certaines personnes apprécient réellement ce type de gestion à un certain niveau. Mais le filtrage d’adresses MAC ne renforce pas réellement la sécurité de votre réseau Wi-Fi, vous ne devez donc pas vous sentir obligé de l’utiliser. La plupart des gens ne devraient pas s’embarrasser du filtrage d’adresses MAC et, s’ils le font, ne devraient pas savoir que ce n’est pas vraiment une fonction de sécurité.

Crédit d'image: nseika sur Flickr

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.