Il est tentant de résoudre une zone d'ombre WiFi avec un répéteur à 30 $ acheté au rayon électronique le plus proche, ou de supposer que l'enceinte connectée de l'arrière-boutique est inoffensive. Deux histoires cette semaine nous rappellent brutalement que les équipements grand public et les fréquences radio non contrôlées n'ont pas leur place sur un réseau dont dépendent vos clients.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis vient d'ajouter une faille de répéteur WiFi à son catalogue de vulnérabilités exploitées connues (Known Exploited Vulnerabilities), et Amazon a commencé à activer automatiquement son réseau Sidewalk sur l'ensemble de ses appareils grand public. Histoires différentes, même leçon : ce que vous ne contrôlez pas, vous ne pouvez pas le sécuriser.
Une faille de répéteur de signal, activement exploitée
CISA a signalé cette semaine une vulnérabilité dans le répéteur TP-Link TL-WA855RE (CVE-2020-24363) comme étant activement attaquée , ordonnant aux agences fédérales d'y remédier d'ici le 23 septembre. Cette faille permet à un attaquant déjà présent sur le réseau de réinitialiser l'appareil et d'en prendre le contrôle. Une fois l'appareil piraté, il devient un point d'ancrage - un point de départ pour intercepter le trafic ou pivoter vers d'autres systèmes.
Le détail important pour les établissements n'est pas le modèle spécifique. C'est le schéma récurrent. Les répéteurs grand public sont conçus pour un domicile, pas pour une entreprise. Ils sont rarement mis à jour, souvent oubliés, et presque jamais segmentés du trafic stratégique. Branchez-en un sur votre réseau invité pour combler un manque de couverture et vous aurez discrètement ajouté un appareil non managé et non surveillé sur le chemin de transit des données de vos visiteurs.
Amazon Sidewalk et la montée des réseaux radio "fantômes"
La deuxième histoire est plus subtile. Depuis le 8 juin, Amazon a commencé à activer automatiquement Sidewalk - une fonctionnalité qui partage une partie de la bande passante avec les appareils à proximité via un réseau maillé de quartier - sur ses équipements Echo et Ring. Cette technologie a des cas d'usage légitimes, mais le point essentiel pour tout établissement est le suivant : des fréquences radio que vous n'avez pas délibérément configurées peuvent s'activer d'elles-mêmes et commencer à émettre dans et autour de votre bâtiment.
C'est le problème plus large de la connectivité "fantôme" - des appareils qui émettent sur ou à proximité de vos locaux sans faire partie de votre réseau managé et sans être visibles par la personne qui le gère. Une enceinte connectée, le routeur de voyage d'un employé, un répéteur oublié : chacun est un émetteur radio que vous ne contrôlez pas, et chacun élargit la surface qu'un attaquant peut cibler.
Pourquoi c'est un argument en faveur de la segmentation, et pas seulement de meilleurs mots de passe
Le premier réflexe est de réagir avec des mots de passe plus forts. C'est utile, mais cela passe à côté de l'essentiel. La véritable protection est d'ordre architectural : séparez le réseau invité de tout le reste, et gardez les équipements grand public non managés totalement hors de celui-ci.
La segmentation du réseau signifie que le trafic des invités est isolé de vos systèmes de point de vente, de vos outils de back-office et de vos appareils opérationnels. Si un élément côté invité est compromis - qu'il s'agisse de l'ordinateur portable infecté d'un visiteur ou d'un appareil malveillant branché par quelqu'un - les dommages sont limités. Cela ne peut pas atteindre les systèmes qui font fonctionner votre entreprise. C'est le principe même d'un WiFi invité sécurisé et géré : un réseau unique, contrôlé et surveillé avec des limites claires, plutôt qu'un assemblage de boîtiers grand public dont personne n'est responsable.
Ce à quoi ressemble une configuration réussie pour un site
Une configuration de guest WiFi correctement gérée comble les lacunes révélées par ces deux histoires. Le trafic invité est segmenté des systèmes opérationnels afin qu'une faille d'un côté ne puisse pas passer de l'autre. La couverture est assurée par des points d'accès gérés de classe professionnelle plutôt que par des répéteurs grand public qui ne sont jamais mis à jour. Le réseau est surveillé de manière centralisée, de sorte que les fréquences radio inattendues ou malveillantes soient visibles au lieu d'être invisibles. De plus, les mises à jour de firmware et de sécurité sont gérées dans le cadre du service, et non laissées au hasard.
Pour un magasin de détail ou un hôtel , c'est la différence entre un réseau invité sur lequel vous pouvez compter et un réseau qui accumule discrètement des risques.
Ce qu'il faut retenir
L'alerte de la CISA et le déploiement de l'activation automatique d'Amazon sont les rappels de cette semaine, mais le principe reste permanent : un réseau invité n'est fiable qu'à la hauteur des équipements et des limites qui le soutiennent. Les répéteurs grand public et les radios fantômes n'ont pas leur place à proximité. Découvrez comment Purple fournit un WiFi invité sécurisé et segmenté , ou réservez une démo .
