C’est l’une des fonctionnalités du routeur Wi-Fi qui vous donnera un faux sentiment de sécurité. Il suffit d’utiliser le cryptage WPA2. Certaines personnes aiment utiliser le filtrage par adresse MAC, mais ce n’est pas une fonctionnalité de sécurité.
Comment fonctionne le filtrage d'adresses MAC
Chaque appareil que vous possédez est fourni avec une adresse de contrôle d'accès au support (adresse MAC) unique qui l'identifie sur un réseau. Normalement, un routeur permet à tout périphérique de se connecter, à condition qu'il connaisse la phrase secrète appropriée. Avec le filtrage des adresses MAC, un routeur comparera d’abord l’adresse MAC d’un périphérique à une liste d’adresses MAC approuvées, puis autorisera un périphérique sur le réseau Wi-Fi si son adresse MAC a été spécifiquement approuvée.
Votre routeur vous permet probablement de configurer une liste d'adresses MAC autorisées dans son interface Web, ce qui vous permet de choisir les périphériques pouvant se connecter à votre réseau.
Le filtrage d'adresses MAC n'offre aucune sécurité
Jusqu'ici, cela sonne plutôt bien. Toutefois, dans de nombreux systèmes d'exploitation, les adresses MAC peuvent être facilement usurpées. Ainsi, tout périphérique peut prétendre posséder l'une de ces adresses MAC autorisées et uniques.
Les adresses MAC sont également faciles à obtenir. Ils sont envoyés par liaison radio avec chaque paquet entrant et sortant du périphérique, l'adresse MAC étant utilisée pour garantir que chaque paquet parvient au bon périphérique.
Tout ce qu’un attaquant a à faire est de surveiller le trafic Wi-Fi pendant une seconde ou deux, d’examiner un paquet pour trouver l’adresse MAC d’un périphérique autorisé, de remplacer l’adresse MAC de son périphérique par celle autorisée et de se connecter à la place de ce périphérique. Vous pensez peut-être que cela ne sera pas possible parce que le périphérique est déjà connecté, mais une attaque de type "deauth" ou "deassoc" qui déconnecte de force un périphérique d'un réseau Wi-Fi permettra à un attaquant de se reconnecter à sa place.
Nous n'exagérons pas ici. Un attaquant avec un jeu d’outils tel que Kali Linux peut utiliser Wireshark pour écouter un paquet, lancer une commande rapide pour changer leur adresse MAC, utiliser aireplay-ng pour envoyer des paquets de dissociation à ce client, puis se connecter à sa place. L'ensemble de ce processus pourrait facilement prendre moins de 30 secondes. Et c’est juste la méthode manuelle qui implique de faire chaque étape à la main, sans parler des outils automatisés ou des scripts shell qui peuvent accélérer les choses.
Le cryptage WPA2 est suffisant
À ce stade, vous pensez peut-être que le filtrage des adresses MAC n’est pas infaillible, mais offre une protection supplémentaire par rapport au simple cryptage. C’est vrai, mais pas vraiment.
Fondamentalement, tant que vous avez une phrase secrète forte avec le cryptage WPA2, ce cryptage sera la chose la plus difficile à résoudre. Si un attaquant parvient à déchiffrer votre chiffrement WPA2, il sera facile pour eux de tromper le filtrage par adresse MAC. Si un attaquant est dérouté par le filtrage des adresses MAC, il ne pourra certainement pas casser votre cryptage en premier lieu.
Pensez-y comme à l’ajout d’un cadenas pour bicyclette à une porte de coffre de banque. Tous les voleurs de banque pouvant passer à travers cette porte de coffre bancaire n'auront aucun problème à couper un cadenas. Vous n’avez ajouté aucune sécurité supplémentaire, mais chaque fois qu’un employé de banque a besoin d’accéder au coffre-fort, il doit passer du temps à gérer le blocage du vélo.
C’est fastidieux et fastidieux
Le temps passé à gérer cela est la principale raison pour laquelle vous ne devriez pas vous embêter. Lorsque vous configurez le filtrage des adresses MAC, vous devez obtenir l’adresse MAC de chaque périphérique de votre foyer et l’autoriser dans l’interface Web de votre routeur. Cela prendra un certain temps si vous avez beaucoup d'appareils compatibles Wi-Fi, comme le font la plupart des gens.
Chaque fois que vous recevez un nouvel appareil - ou qu'un invité se présente et doit utiliser votre réseau Wi-Fi sur leurs appareils - vous devez accéder à l'interface Web de votre routeur et ajouter les nouvelles adresses MAC. Ceci s’ajoute au processus de configuration habituel dans lequel vous devez brancher la phrase secrète Wi-Fi sur chaque appareil.
Cela ajoute simplement du travail supplémentaire à votre vie. Cet effort devrait porter ses fruits avec une meilleure sécurité, mais le renforcement minuscule à inexistant de la sécurité que vous obtenez fait que cela ne vaut pas votre temps.
Ceci est une fonctionnalité d'administration de réseau
Le filtrage par adresse MAC, correctement utilisé, est davantage une fonctionnalité d’administration de réseau que de sécurité. Cela ne vous protégera pas contre les personnes extérieures qui tentent activement de déchiffrer votre cryptage et d'entrer sur votre réseau. Cependant, cela vous permettra de choisir les appareils autorisés en ligne.
Par exemple, si vous avez des enfants, vous pouvez utiliser le filtrage par adresse MAC pour interdire à leur ordinateur portable ou à leur smartphone d'accéder au réseau Wi-Fi si vous devez les mettre à la terre et leur retirer l'accès à Internet. Les enfants peuvent contourner ces contrôles parentaux avec des outils simples, mais ils ne le savent pas.
C’est pourquoi de nombreux routeurs ont également d’autres fonctionnalités qui dépendent de l’adresse MAC du périphérique. Par exemple, ils peuvent vous permettre d'activer le filtrage Web sur des adresses MAC spécifiques. Vous pouvez également empêcher les appareils dotés d'adresses MAC spécifiques d'accéder au Web pendant les heures de classe. Ce ne sont pas vraiment des fonctions de sécurité, car elles ne sont pas conçues pour arrêter un attaquant qui sait ce qu’il fait.
Si vous voulez vraiment utiliser le filtrage par adresse MAC pour définir une liste de périphériques et leurs adresses MAC et administrer la liste des périphériques autorisés sur votre réseau, n'hésitez pas. Certaines personnes apprécient réellement ce type de gestion à un certain niveau. Mais le filtrage d’adresses MAC ne renforce pas réellement la sécurité de votre réseau Wi-Fi. Vous ne devez donc pas vous sentir obligé de l’utiliser. La plupart des gens ne devraient pas s’embarrasser du filtrage d’adresses MAC et, s’ils le font, ne devraient pas savoir que ce n’est pas vraiment une fonction de sécurité.
