Depuis l'avènement du téléphone portable (version GSM) le sans fil est devenu « a way of living » : WiFi à la maison, WiMax pour la couverture des zones blanches, paiement sans contact, réseaux militaires ad hoc...
Les avantages opérationnels sont indiscutables : Infrastructure légère qui permet un déploiement rapide. C'est ce qui a permis l'essor rapide du téléphone en Afrique, en Inde... Et puis une bonne résilience dans certains contextes : si un relai GSM tombe à Paris, le secours par un autre relai est généralement indolore.
Mais quid de la sécurité par essence ou par conception?
Confidentialités : Les ondes étant "audibles" par tous, l'échange peut être intercepté sans avoir à chercher la bonne paire téléphonique dans les égouts parisiens. Pire encore, l'identification peut éventuellement être copiée pour un rejeu ultérieur malveillant.
Disponibilité : Un simple émetteur micro-onde permet de brouiller des transmissions WiFi à un moment opportun. Les cas réels ne manquent pas.
On n'évoque ici les que défauts intrinsèques à la technologie. Mais on peut faire pire.
Dès sa conception, le GSM a fait preuve de quelques précautions induites par un mode de facturation « historique » basé sur l'enregistrement des appels et une identification relativement fiable de l'utilisateur.
Mais l'histoire du WiFi est une tranche de rigolade pure. J'annonce que je suis la borne WiFi de City Group. Ainsi le hacker ne perd pas son temps. Face aux critiques justifiées des experts sécurité, les artisans du WiFi ont inventé le WEP pour "Wired Equivalent Privacy". Cela ne s'invente pas. Puis sont arrivés le WPA et 802.1x. Il était temps.
Les autres techniques sans fil en déploiement, en expérimentation, ou en gestation seront-elles plutôt GSM ou plutôt WiFi ? Pour le savoir vous pouvez soumettre une contribution ou assister aux prochaines journées C&ESAR (ex Journées SSI du Celar) qui auront lieu du 24 au 26 novembre à Rennes : « Sécurité sans fil ... ou sans filet? »
http://www.rennes.supelec.fr/CESAR/
http://www.rennes.supelec.fr/CESAR/CESAR_2009.pdf
Je suis Chief Security Officer pour Orange Business et adore les systèmes de management de la sécurité de l'information et autres boucles PDCA. Mon but est d'obtenir le meilleur cocktaïl d'humains, process et outils pour faire tourner de l'oeil les hackers. Je donnerais ma main droite pour une Déclaration d’Applicabilité de la certification ISO 27 001 avec les bons controles et justificatifs.