Dans notre récente table ronde, nous avons passé 45 minutes à analyser une faille de sécurité invisible mais omniprésente dans presque toutes les entreprises : la façon dont le personnel se connecte au WiFi de l'entreprise. En résumé ? La plupart des organisations s'appuient sur des méthodes qui n'ont jamais été très sécurisées dès le départ, et l'intelligence artificielle a discrètement transformé un risque de faible priorité en une menace urgente.
Voici un aperçu de nos échanges et de ce que cela implique pour votre réseau.
Le problème que presque tout le monde partage
En y regardant de plus près, la plupart des organisations connectent leurs collaborateurs au WiFi de la même manière. Comme l'a souligné Andy Dancer au cours de la session, cela "revient généralement à un mot de passe partagé". Souvent, ce mot de passe partagé destiné au personnel se trouve sur le même réseau que l'accès invité, avec de simples identifiants différents. C'est pratique. Mais c'est aussi un risque systémique, car un secret partagé unique est précisément le genre d'information facile à divulguer, à deviner ou à voler.
Pendant longtemps, l'absence d'incidents majeurs a fait passer ce sujet pour un problème théorique. La réalité est plus simple : les attaquants empruntent la voie la plus facile, et jusqu'à récemment, il existait des cibles plus vulnérables ailleurs. Ce calcul est en train de changer.
Ce que l'IA a changé
L'IA a abaissé la barrière d'entrée des attaques WiFi à tous les niveaux. Le phishing et le vol d'identifiants sont désormais plus personnalisés, plus évolutifs et plus difficiles à détecter. Le craquage de mots de passe est plus rapide, et des outils peuvent générer en masse des suppositions de mots de passe plausibles. Rien de tout cela ne nécessite un attaquant chevronné ; il lui suffit d'avoir accès aux mêmes outils que tout le monde.
Un point important à garder en tête : un attaquant n'a souvent pas besoin d'être à l'intérieur de vos locaux. Des parkings, des bâtiments adjacents ou des antennes directionnelles peuvent lui donner une présence "virtuellement interne" sur votre réseau à distance. Lors de nos démonstrations, nous avons prouvé qu'un signal WiFi factice diffusé plus fortement que le véritable SSID, associé à une page de connexion trompeuse, permet de récupérer des identifiants sans que personne ne s'en aperçoive.
Pourquoi "plus de sécurité à la connexion" a ses limites
Le premier réflexe consiste à ajouter des étapes de vérification au moment de la connexion. Cependant, tant qu'un humain doit saisir des identifiants, ceux-ci peuvent être dérobés. Ajouter de la friction pour les collaborateurs ne supprime pas la vulnérabilité sous-jacente ; cela ne fait que la déplacer.
Un second problème apparaît après la connexion. De nombreux outils de sécurité partent du principe que la vérification a déjà eu lieu une fois que l'utilisateur est sur le réseau. Ainsi, dès qu'un attaquant s'authentifie, il peut sembler tout à fait légitime dans ses déplacements, en particulier là où la séparation entre le personnel et les invités est insuffisante.
C'est également la raison pour laquelle le contrôle d'accès au réseau (NAC) est souvent décevant en pratique. Comme l'a fait remarquer Andy, "environ 70 % des déploiements de NAC finissent par rester en mode d'observation" plutôt que d'appliquer activement les règles de sécurité. Une prévention totale est complexe à gérer au quotidien, et la charge de travail qui en découle pour le support technique pousse généralement les équipes vers la simple surveillance plutôt que vers le blocage.
Une approche différente : éliminer complètement le mot de passe
Iain Jewitt a résumé la direction à suivre très simplement : "la solution est de retirer complètement l'employé de l'équation."
C'est l'idée derrière l'approche du WiFi pour le personnel de Purple. Au lieu de demander aux gens de retenir et de saisir un mot de passe partagé, l'accès est lié à l'identité. Vous bénéficiez d'une protection de niveau WPA Enterprise, la référence absolue, sans que le personnel n'ait à saisir de mots de passe ou de codes. Le déploiement se synchronise avec votre fournisseur d'identité existant, et les utilisateurs n'installent une application qu'une seule fois.
Les avantages indirects sont tout autant opérationnels que liés à la sécurité. Comme l'accès est lié aux comptes de l'annuaire, il est automatiquement désactivé lorsque quelqu'un quitte l'entreprise. Il n'y a pas de clé secrète partagée à renouveler, ni d'identifiant qu'un attaquant pourrait hameçonner.
À quoi ressemble concrètement le déploiement ?
Quelques questions pratiques ont été posées par le public :
- Est-ce perturbant ? Pas particulièrement. Vous pouvez faire fonctionner votre configuration existante en parallèle avec Purple pendant la migration, et l'application connecte les utilisateurs sans avoir à reconfigurer chaque appareil manuellement. La plupart des utilisateurs n'ont besoin que de quelques jours pour l'installer et se connecter. Durant la semaine de l'événement, un administrateur IT a configuré des connexions sécurisées pour des employés en mode de travail hybride de façon presque instantanée.
- Est-ce que cela remplace le NAC ? Pas nécessairement. Le NAC est utile lorsqu'il applique réellement des règles de sécurité. Purple peut faire office de couche de connexion sécurisée plus simple, ou d'amélioration ciblant vos points d'accès les plus sensibles.
- Qui est le plus exposé ? Les services financiers et tout ce qui est lié à l'argent sont des cibles prioritaires courantes, mais les attaques basées sur l'IA élargissent considérablement le champ d'action, y compris les attaques de sabotage ayant des répercussions économiques plus larges.
Ce qu'il faut retenir
Le WiFi destiné au personnel est une surface d'attaque en pleine expansion, et l'IA rend son exploitation moins coûteuse et plus facile. La solution ne consiste pas à ajouter des frictions sur l'écran de connexion. Il s'agit de passer à une authentification sans mot de passe, basée sur l'identité, qui renforce l'accès tout en allégeant la charge de l'équipe IT et du support technique.
Si vous souhaitez discuter de ce à quoi cela ressemblerait sur votre matériel WiFi existant, contactez-nous . Nous serons ravis de vous guider tout au long du processus de migration.
Nous n'avons fait qu'effleurer le sujet ici. L'intégralité de la discussion approfondit les menaces existantes, les déploiements potentiels pour vous aider ainsi que les questions-réponses du public.
