Le filtrage d’adresses MAC vous permet de définir une liste d’appareils et d’autoriser uniquement ces appareils sur votre réseau Wi-Fi. C’est la théorie, de toute façon. En pratique, cette protection est fastidieuse à mettre en place et facile à enfreindre.
C’est l’une des fonctionnalités du routeur Wi-Fi qui vous donnera un faux sentiment de sécurité. Il suffit d’utiliser le cryptage WPA2. Certaines personnes aiment utiliser le filtrage d’adresses MAC, mais ce n’est pas une fonction de sécurité.
Fonctionnement du filtrage d’adresses MAC
Chaque appareil que vous possédez est livré avec une adresse de contrôle d’accès multimédia unique (adresse MAC) qui l’identifie sur un réseau. Normalement, un routeur permet à n’importe quel périphérique de se connecter – tant qu’il connaît la phrase de passe appropriée. Avec le filtrage d’adresses MAC, un routeur comparera d’abord l’adresse MAC d’un appareil à une liste d’adresses MAC approuvée et n’autorisera un appareil sur le réseau Wi-Fi que si son adresse MAC a été spécifiquement approuvée.
Votre routeur vous permet probablement de configurer une liste d’adresses MAC autorisées dans son interface Web, ce qui vous permet de choisir quels périphériques peuvent se connecter à votre réseau.
Le filtrage d’adresses MAC n’offre aucune sécurité
Jusqu’à présent, cela sonne plutôt bien. Mais les adresses MAC peuvent être facilement usurpées dans de nombreux systèmes d’exploitation, de sorte que tout appareil peut prétendre avoir l’une de ces adresses MAC uniques autorisées.
Les adresses MAC sont également faciles à obtenir. Ils sont envoyés par voie hertzienne avec chaque paquet allant et venant du périphérique, car l’adresse MAC est utilisée pour garantir que chaque paquet parvient au bon périphérique.
Tout ce qu’un attaquant a à faire est de surveiller le trafic Wi-Fi pendant une seconde ou deux, d’examiner un paquet pour trouver l’adresse MAC d’un appareil autorisé, de changer l’adresse MAC de son appareil pour cette adresse MAC autorisée et de se connecter à la place de cet appareil. Vous pensez peut-être que cela ne sera pas possible car l’appareil est déjà connecté, mais une attaque «deauth» ou «deassoc» qui déconnecte de force un appareil d’un réseau Wi-Fi permettra à un attaquant de se reconnecter à sa place.
Nous n’exagérons pas ici. Un attaquant avec un ensemble d’outils comme Kali Linux peut utiliser Wireshark pour écouter un paquet, exécuter une commande rapide pour changer son adresse MAC, utiliser aireplay-ng pour envoyer des paquets de désassociation à ce client, puis se connecter à sa place. L’ensemble de ce processus pourrait facilement prendre moins de 30 secondes. Et ce n’est que la méthode manuelle qui consiste à faire chaque étape à la main – sans parler des outils automatisés ou des scripts shell qui peuvent rendre cela plus rapide.
Le cryptage WPA2 est suffisant
À ce stade, vous pensez peut-être que le filtrage des adresses MAC n’est pas infaillible, mais offre une protection supplémentaire par rapport à la simple utilisation du cryptage. C’est en quelque sorte vrai, mais pas vraiment.
Fondamentalement, tant que vous avez une phrase de passe forte avec le cryptage WPA2, ce cryptage sera la chose la plus difficile à déchiffrer. Si un attaquant peut déchiffrer votre cryptage WPA2, il sera trivial pour lui de tromper le filtrage d’adresse MAC. Si un attaquant était déconcerté par le filtrage d’adresse MAC, il ne pourra certainement pas briser votre cryptage en premier lieu.
Pensez-y comme ajouter un cadenas à une porte de coffre-fort. Tous les voleurs de banque qui peuvent passer par cette porte du coffre-fort n’auront aucun mal à couper un cadenas de vélo. Vous n’avez ajouté aucune sécurité supplémentaire réelle, mais chaque fois qu’un employé de la banque a besoin d’accéder au coffre-fort, il doit passer du temps à s’occuper du cadenas du vélo.
C’est fastidieux et chronophage
Le temps passé à gérer cela est la principale raison pour laquelle vous ne devriez pas vous inquiéter. Lorsque vous configurez le filtrage d’adresses MAC en premier lieu, vous devez obtenir l’adresse MAC de chaque appareil de votre foyer et l’autoriser dans l’interface Web de votre routeur. Cela prendra un certain temps si vous avez beaucoup d’appareils compatibles Wi-Fi, comme le font la plupart des gens.
Chaque fois que vous obtenez un nouvel appareil – ou qu’un invité arrive et doit utiliser votre Wi-Fi sur ses appareils – vous devrez accéder à l’interface Web de votre routeur et ajouter les nouvelles adresses MAC. Ceci s’ajoute au processus de configuration habituel où vous devez brancher la phrase de passe Wi-Fi dans chaque appareil.
Cela ne fait qu’ajouter du travail supplémentaire à votre vie. Cet effort devrait porter ses fruits avec une meilleure sécurité, mais l’augmentation minuscule à inexistante de la sécurité que vous obtenez ne vaut pas la peine.
Ceci est une fonction d’administration réseau
Le filtrage d’adresses MAC, correctement utilisé, est plus une fonction d’administration réseau qu’une fonction de sécurité. Cela ne vous protégera pas contre les étrangers qui tentent de déchiffrer activement votre cryptage et d’accéder à votre réseau. Cependant, cela vous permettra de choisir les appareils autorisés en ligne.
Par exemple, si vous avez des enfants, vous pouvez utiliser le filtrage d’adresses MAC pour interdire à leur ordinateur portable ou à leur smartphone d’accéder au réseau Wi-Fi si vous avez besoin de les mettre à la terre et de supprimer l’accès à Internet. Les enfants pourraient contourner ces contrôles parentaux avec des outils simples, mais ils ne le savent pas.
C’est pourquoi de nombreux routeurs ont également d’autres fonctionnalités qui dépendent de l’adresse MAC d’un appareil. Par exemple, ils peuvent vous permettre d’activer le filtrage Web sur des adresses MAC spécifiques. Vous pouvez également empêcher les appareils dotés d’adresses MAC spécifiques d’accéder au Web pendant les heures de classe. Ce ne sont pas vraiment des fonctionnalités de sécurité, car elles ne sont pas conçues pour arrêter un attaquant qui sait ce qu’il fait.
Si vous voulez vraiment utiliser le filtrage d’adresses MAC pour définir une liste de périphériques et leurs adresses MAC et administrer la liste des périphériques autorisés sur votre réseau, n’hésitez pas. Certaines personnes apprécient en fait ce type de gestion à un certain niveau. Mais le filtrage des adresses MAC n’apporte aucune amélioration réelle à votre sécurité Wi-Fi, vous ne devriez donc pas vous sentir obligé de l’utiliser. La plupart des gens ne devraient pas se soucier du filtrage des adresses MAC et – s’ils le font – devraient savoir que ce n’est pas vraiment une fonction de sécurité.
Crédit d’image: nseika sur Flickr
