Cybersécurité Les réseaux et le matériel informatique Les réseaux

I.

Les réseaux

Relier des ordinateurs, c’est former ce que l’on appelle un réseau. Un réseau est parfois gigantesque, comme Internet, mais un « réseau domestique » est également un réseau.

Un réseau utilise un protocole qui assure la communication entre ordinateurs ou appareils connectés. Ces derniers constituent ce que l’on appelle des « nœuds » (nodes en anglais). Un nœud, c’est donc un appareil physique connecté en mesure de créer, de recevoir ou de transmettre des données sur un réseau. Un nœud a généralement sa propre adresse IP (acronyme anglais d’Internet Protocol) qui identifie la source de l’appareil en question afin d’envoyer et de recevoir des données. Par exemple, dans un réseau domestique, un ordinateur personnel, un mobile, une imprimante ou un routeur Internet sont autant de nœuds du même réseau.

Internet, un réseau

Internet est fondamentalement un « réseau de réseaux ». Il connecte des réseaux individuels – domestiques, gouvernementaux, d’entreprises – et permet d’envoyer des données au travers de différents nœuds connectés au réseau Internet. Des données transitent ainsi dans le monde entier en « un instant ».

Le réseau de réseaux d’Internet assure la connexion entre différents nœuds en vue d’acheminer le trafic de données de l’émetteur jusqu’au serveur cible choisi. Aucune entité ne contrôle tous les nœuds du réseau. C’est pourquoi on parle de réseau distribué. C’est un aspect essentiel qui contribue à préserver l’intégrité d’Internet et des données qui s’y échangent.

Dans l’exemple ci-dessous, chaque point représente un nœud. Chaque nœud est soit un service de routage soit un réseau entier. Le trafic du nœud A au nœud Z passe par Internet via de multiples nœuds déterminés par les informations de routage de ceux-ci. La route n’est pas forcément la même pour chaque paquet de données. Chaque nœud n’a pas besoin de « comprendre » la topologie entière du réseau, mais seulement de connaître le prochain « saut » (« hop » en anglais) sur le chemin de la cible.

Regardons de plus près un réseau et la façon dont il se connecte à Internet et à d’autres nœuds. L’image ci-dessous fait office d’exemple.

Un réseau indiquant une route de connexion entre des nœuds
Un réseau indiquant une route de connexion entre des nœuds

Internet est un « réseau de réseaux ». Votre réseau domestique n’est qu’un réseau au sein du réseau distribué Internet.

Un réseau de réseaux
Un réseau de réseaux

1. Des réseaux universitaires, 2. Des réseaux domestiques, 3. Des réseaux mobiles, 4. Des réseaux d’entreprise, 5. Des opérateurs de réseau

Un réseau domestique (ou local)

Quand vous vous connectez à un réseau chez vous, par l’intermédiaire d’une connexion Wi-Fi ou filaire, vous êtes dans un réseau distinct, lui-même connecté à Internet, généralement par l’intermédiaire d’un routeur domestique. Le routeur vous fournit un accès à Internet. Il repère les appareils situés dans le réseau domestique et ceux qui y sont extérieurs. Il sait également où transmettre le trafic vers des cibles inconnues. Certains routeurs dotent également le réseau domestique d’une protection contre le trafic extérieur. Ces protections dépendent du fabricant et du modèle de routeur, mais aussi de potentiels autres appareils placés entre votre ordinateur et le réseau extérieur. Les fournisseurs d’accès vendent parfois aussi des services de protection réseau.

Gardez à l’esprit que tous les nœuds par lesquels transite votre trafic en dehors de votre réseau domestique peuvent potentiellement surveiller ou espionner vos communications. Dans le chapitre précédent, nous avons étudié l’importance de la sécurisation des communications. Dans ce chapitre, nous allons nous pencher sur les méthodes de sécurisation des réseaux sur lesquels elles transitent.

Zoomons un instant sur votre réseau domestique.

Un réseau domestique
Un réseau domestique

A. Un fournisseur d’accès à Internet, B. Un mobile, C. Un modem Wi-Fi, D. Une télévision connectée, E. Un ordinateur portable

La plupart des réseaux domestiques sont uniquement composés d’un modem ou routeur et d’appareils connectés à celui-ci par connexion sans fil. Le modem peut être un appareil distinct du routeur. Il peut également y être intégré. Dans ce cas, tous les appareils sont connectés au routeur. Beaucoup considèrent que le réseau domestique (ou le réseau local comme on l’appelle parfois) est sécurisé. Cela signifie que la plupart des appareils ne tentent pas de bloquer les connexions au sein du réseau, par exemple pour le partage de fichiers. Le routeur fait transiter les données entre les appareils qui y sont directement connectés sans transférer le trafic sur Internet. Si les données ne sont pas chiffrées, le routeur « voit » toutes les données qui passent. En outre, si votre connexion au routeur n’est pas sécurisée, le trafic sans fil n’est alors peut-être pas chiffré et tous les appareils situés suffisamment près pour capter les ondes radio peuvent l’espionner.

Chiffrer la connexion au réseau local

La première chose à faire, c’est de vous assurer que votre connexion au routeur Wi-Fi est sécurisée. Généralement, le routeur est configuré par défaut de telle sorte que la connexion est chiffrée. Vous devez toutefois garder à l’esprit quelques petites choses :

1) Les mots de passe par défaut de certains appareils sont communément connus. Si l’attaquant(e) identifie le fabricant et le modèle de votre routeur, il/elle peut tenter d’utiliser les identifiants par défaut et ainsi entrer dans votre réseau.

  • Changez toujours le mot de passe par défaut qui vous permet de rejoindre le réseau. Les bonnes pratiques en matière de comptes en ligne (voir chapitre 2.3) valent également pour les mots de passe que vous créez pour votre réseau local – ils ne doivent pas être trop faciles à deviner ou à attaquer par force brute.

2) Par défaut, toutes les personnes connectées à votre réseau local peuvent accéder à l’interface de configuration de votre routeur. Elle est généralement seulement protégée par des noms d’utilisateur et des mots de passe facilement trouvables sur Internet.

  • Modifiez également le mot de passe d’accès à l’interface de configuration du routeur.

3) Le routeur utilise peut-être un chiffrement obsolète et facile à casser. Vous devriez éviter les versions de protocole WEP et WPA. Elles sont dépassées.

  • Les chiffrements WPA2 et WPA3 sont plus sécurisés. Si votre routeur Wi-Fi est compatible, vous devriez passer à WPA3. Vous trouverez ci-dessous des instructions pour vérifier cela en fonction de votre ordinateur.

Note

Contrôler la sécurité Wi-Fi sur un Mac

Cliquez sur l’icône Wi-Fi de la barre d’outils tout en appuyant sur la touche Option (alt). Le protocole utilisé est visible sous l’en-tête sécurité.

Contrôler la sécurité Wi-Fi sous Windows 10

Sous Windows 10, cliquez sur l’icône Connexion Wi-Fi dans la barre de tâches. Cliquez sur Propriétés sous votre connexion Wi-Fi. Cherchez les informations Wi-Fi, puis le type de sécurité.

Notez que la sécurisation de votre réseau local n’est que la première étape sur le chemin de la sécurité réseau. Quand vous chiffrez votre connexion Wi-Fi (p. ex. avec WPA2), le trafic est uniquement chiffré de votre ordinateur au routeur Wi-Fi. Si la connexion de votre réseau local est sécurisée, le contenu du trafic est chiffré jusqu’au routeur, mais ce dernier va ensuite le déchiffrer pour le transmettre. Si le nœud suivant utilise une connexion sécurisée avec le routeur, le trafic est chiffré grâce à une autre clé, puis envoyé au prochain nœud. Toutefois, si le nœud suivant est sur Internet, le trafic n’y est pas forcément chiffré, à moins que vous n’utilisiez un protocole comme SSL ou TLS. Nous allons étudier ces protocoles dans la partie suivante qui portera sur la pile de protocoles.

Limiter l’accès des utilisateurs extérieurs à votre réseau

Si un réseau (p. ex. un réseau domestique) est connecté à un autre réseau (p. ex. Internet), la connexion doit se limiter au strict nécessaire. Si ce n’est pas le cas, tous les services du réseau domestique sont accessibles à n’importe qui sur Internet. Dans un réseau domestique, le modem joue généralement le rôle de filtre. Cette fonctionnalité de filtrage est nommée pare-feu (firewall en anglais). La plupart des systèmes d’exploitation (le logiciel qui fait fonctionner vos appareils) en sont également dotés.

Un pare-feu limite le trafic en fonction de certaines règles. Les deux options les plus simples sont bien sûr de tout laisser passer ou de ne rien laisser passer. Selon le modèle de pare-feu, différentes fonctionnalités sont proposées. Ils peuvent notamment analyser le trafic pour déterminer s’il doit être autorisé à passer ou non.

Les pare-feu sont des dispositifs logiciels ou matériels. Il est d’ailleurs bon d’avoir les deux. Un pare-feu logiciel protège votre ordinateur contre les menaces venant du réseau sur lequel vous vous trouvez. Des virus ou des bogues comme les logiciels malveillants sont susceptibles de corrompre ou de prendre le contrôle de votre machine. Un pare-feu matériel est un bon outil de protection pour votre réseau local contre les menaces venant d’Internet. Un modem est un pare-feu matériel : c’est un appareil physique qui agit comme une frontière de réseau en surveillant tout le trafic entrant et sortant.

La plupart des pare-feu fonctionnent au niveau du paquet (nous allons en apprendre plus sur les paquets dans la partie suivante sur la pile de protocoles). Ils filtrent les paquets en fonction de leur type, de l’adresse et du numéro de port de l’émetteur et du receveur. Certains pare-feu de dernière génération proposent d’autres fonctionnalités : inspection du trafic chiffré, antivirus, détection des intrusions ou inspection des paquets. Certains pare-feu sont équipés d’une fonctionnalité d’inspection d’état.

Le routeur de votre réseau domestique inclut certainement un pare-feu basique qui laisse passer le trafic sortant vers Internet, mais rejette le trafic non sollicité venant d’Internet (p. ex. une réponse à la requête d’une page Web). Dans la plupart des cas, notamment si vous avez une entreprise, la protection d’un pare-feu basique n’est pas suffisante.

Exemple

Prenons un exemple. Vous consultez vos courriels sur un point d’accès Wi-Fi public. Si vous ne téléchargez pas vos courriels à partir d’une connexion chiffrée, le réseau peut « voir » leur contenu. Quand vous n’utilisez pas une connexion Wi-Fi sûre (p. ex. votre réseau domestique), comment savoir qui contrôle le réseau en question ? Pouvez-vous être sûr(e) que personne ne lira vos communications non chiffrées au sein de ce réseau local ? Des services de partage de fichiers (p. ex. AirDrop) sont peut-être activés dans votre réseau immédiat et contrôlés par quelqu’un ayant au réseau en ce moment même.

Une situation réelle d’attaque Wi-Fi a été mise en scène en 2015. Une équipe de hackers a dévoilé les risques associés à l’utilisation des connexions sans fil non sécurisées. L’équipe a démontré ces risques en piratant trois politiciens britanniques (page en anglais) – ces derniers étaient conscients de faire partie d’une expérience.

Zero trust

La stratégie Zero Trust (« zéro confiance » en français) est un terme qui apparaît de plus en plus dans le champ de l’architecture de sécurité. Ce terme recouvre l’idée suivante : au lieu de partir du principe que tous les réseaux internes et les appareils qui s’y trouvent sont dignes de confiance, on présuppose qu’ils sont hostiles. Avant d’être autorisés à entrer dans le réseau, tous les appareils doivent donc être authentifiés et leur sécurité doit être évaluée.

La segmentation du réseau (établir des frontières contrôlées entre différents segments de réseau et uniquement autoriser l’accès en fonction de méthodes définies séparément) est une méthode souvent utilisée pour améliorer les contrôles, notamment dans les réseaux d’entreprises. La surveillance des appareils et des connexions est également essentielle pour respecter le modèle Zero Trust.

Alors qu’habituellement tous les appareils sont autorisés à se connecter et à communiquer sur les réseaux domestiques, le Zero Trust permet seulement aux dispositifs vérifiés d’y accéder et oblige toutes les communications internes à être authentifiées. En pratique, le Zero Trust est difficile à mettre en place dans un réseau domestique, car la plupart des appareils ne sont pas compatibles avec les méthodes d’authentification ou ont besoin de se connecter à d’autres appareils et de les contrôler directement.

Exemple

Une télévision connectée de base, par exemple, ne fait pas grand cas des connexions autorisées, car elle est conçue pour les réseaux de confiance. Ce n’est peut-être pas très embêtant quand votre conjoint(e) met en pause un film accidentellement depuis la pièce d’à côté, mais ces problèmes de sécurité doivent être pris plus au sérieux quand vous partagez votre réseau domestique avec des invités que vous ne connaissez pas – si vous louez votre bien sur Airbnb, par exemple.

Next section
II. Sécuriser les connexions Web

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Ce cours a été créé avec le projet Digital SkillUp, nom sous lequel sont désignées les productions conçues dans le cadre du projet European Digital Academy financé par la Commission européenne et soutenu par le Parlement européen. Le projet consiste à rendre disponibles et accessibles des connaissances de base sur les nouvelles technologies à tous les citoyens et toutes les PME d’Europe. Il vise à créer un espace de formation en ligne offrant à tous des ressources et des offres d’apprentissage sur des sujets comme l’IA, les chaînes de blocs (ou blockchain), la robotique, la cybersécurité et l’IdO.

Ce projet est financé par l’Union européenne. Le contenu reflète uniquement les points de vue de ses auteurs. Il ne reflète pas nécessairement l’opinion de la Commission qui décline toute responsabilité de l’usage qui pourrait être fait des informations s’y trouvant.