Les puristes amateurs de l’apprentissage par cœur des références de RFC telles que les classiques 1145 ou 2549 (sacrés pigeons voyageurs !) déploreront que le terme « 802.11ax » ne soit pas mis en avant, mais la simplicité passe avant tout !

Les nouveautés de la version 6

Lancé en 2019 pour pallier les problèmes de latence et d’interférences lorsqu’un grand nombre de clients est connecté, son but est d’offrir un haut débit (10 Gbps) et une latence faible. Alors pas de fausses joies, les 10 Gbps c’est la théorie, on l’a tous bien noté.

En pratique, les vitesses de transfert de données devraient cependant être environ quatre fois supérieures à la norme 802.11ac précédente (la version 5 du wifi).

Le « Wifi 6 » a donc pour principal objectif d’apporter une meilleure connectivité dans les lieux d’affluence (gare, aéroport, stade, etc.), et améliorer les cas d’usage où le temps de réponse doit être court, comme les jeux vidéo, le streaming vidéo en 4K ou encore la réalité augmentée.

→Vous ne l’avez peut-être pas vu passer, mais l’US Open 2019 avait été couvert via cette utilisation du Wifi (en attendant la 5G). Voir plus d’infos ici.

Mais pas seulement ! La zone de couverture a également été augmentée et permet désormais d’atteindre jusqu’à 200 mètres (attention tout de même aux différents obstacles tels que des murs ou autres, qui vont modifier le rayonnement et donc la portée). Ceci, couplé à la capacité d’accueil d’un plus grand nombre de clients, devrait permettre à terme de diminuer le nombre de points d’accès à déployer pour une zone donnée.

Enfin, cette nouvelle norme permet une sécurisation renforcée via le protocole WPA3 qui permet l’utilisation d’une clé de chiffrement de 128 bits (192 pour la partie Entreprise) ainsi que le protocole Forward Secrecy. Je ne vais pas trop m’étendre sur cette partie ici, mais  nous pourrons y revenir dans un autre billet (toujours sur votre blog préféré !).

Et concrètement, comment on augmente les performances ?

Et bien principalement grâce à ces deux protocoles :

L’OFDMA(Orthogonal Frequency Division Multiple Access)

L’OFDMA est une technique d’encodage du signal qui permet de diviser chaque canal de fréquence en plusieurs sous-canaux.

Les interférences entre les sous-canaux de fréquence adjacente sont réduites grâce à l’encodage dit Orthogonal. Cette technique d’encodage a été développé pour les systèmes de téléphonie mobile 4G.

L’OFDMA permet de répartir sur un grand nombre de sous-porteuses les données numériques que l’on veut transmettre.

Cela induit pour un débit global donné, un débit binaire beaucoup plus faible sur chacun des canaux de transmission.

Cette fonctionnalité permet à votre routeur et à vos appareils d’utiliser votre bande passante plus efficacement, en réduisant la durée entre les transmissions de données.

Par conséquent, il y a davantage de bande passante disponible pour les autres appareils.

Le Mu-MIMO(Multi-Utilisateur Multiple-Input Multiple-Output)

Déjà largement utilisé dans la version 5 du wifi, le MU-MIMO ne pouvait gérer au maximum que quatre clients, ce qui veut dire qu’un point d’accès ou un routeur sans fil ne pouvaient envoyer simultanément des données qu’à quatre appareils à la fois.

Avec cette nouvelle norme 802.11ax, un groupe MU-MIMO peut désormais comporter jusqu’à huit clients. Cette capacité devrait permettre d’accélérer les connexions et d’augmenter le débit.

Dans les faits, si les routeurs pouvaient déjà envoyer des informations à plusieurs appareils à la fois, ils ne pouvaient par contre pas recevoir toutes les réponses en même temps. C’est également sur ce point que le WiFi 6 entre en jeu.

Le Wifi au service de l'IOT

Comme évoqué dans un autre sujet relatif à l’IOT, l’une des principales problématiques liées à l’utilisation du Wifi était sa forte consommation en énergie.

Avec cette nouvelle version, le capteur Wifi ne devient actif que lorsqu’il émet ou doit recevoir une transmission de données, puis se remet en sommeil. Cela a pour effet de réduire grandement la consommation des batteries des objets connectés.

Les objectifs de la « Wi-Fi Alliance »

Pour commencer, la Wi-Fi Alliance favorise l’adoption et l’évolution du wifi à l’échelle mondiale grâce à la défense du spectre et à une collaboration à l’échelle de l’industrie.

L’objectif premier est de garantir aux utilisateurs l’interopérabilité, la sécurité et la fiabilité qu’ils attendent de ce type de connectivité.

En outre, l’engagement de la Wi-Fi Alliance à étendre l’utilisation et la disponibilité du wifi s’accompagne d’une volonté de fournir la meilleure expérience utilisateur possible.

L’expérience utilisateur

L’objectif de la fonctionnalité « Wi-Fi Easy Connect » est de réduire la complexité et d’améliorer l’expérience de l’utilisateur final en matière de connexion des appareils aux réseaux, tout en intégrant les normes de sécurité les plus strictes.

Avec cette fonction « Wi-Fi Easy Connect », le propriétaire d’un réseau choisit un appareil comme point central de configuration (c’est l’équivalent d’un contrôleur wifi, si l’on peut dire). Il s’agit généralement d’un appareil doté d’une interface graphique (ou GUI), comme un smartphone ou une tablette, mais il peut s’agir de n’importe quel appareil capable de scanner un QR-code ou une balise NFC, et d’exécuter le protocole développé par la Wi-Fi Alliance.

L’appareil choisi est considéré comme un configurateur et tous les autres appareils sont inscrits. L’utilisateur établit une connexion sécurisée avec un dispositif inscrit en scannant le QR-code spécifique au dispositif. Le protocole s’exécute alors et fournit automatiquement à l’utilisateur les informations d’identification nécessaires pour accéder au réseau.

Ah … On me dit dans l’oreillette que le WPS (Wi-Fi Protected Setup) faisait déjà le travail … Alors oui effectivement, la roue n’a pas été réinventée ici non plus ! L’accent est mis sur la simplicité d’utilisation car, de même que lorsque je veux piloter ma télévision avec une télécommande, je n’ai aucune envie de me lever pour appuyer sur un bouton de ma box afin d’autoriser la connexion de mon équipement wifi : je scanne mon QR-code et ça doit marcher tout seul !

Pour conclure

Avec le wifi 6, nous allons finalement pouvoir atteindre les performances promises par la version 802.11ad (ou WiGig, ce qui vous parlera peut-être plus ?) qui n’a jamais percé du fait de sa faible portée.

La sécurité a également été revue mais il est à noter qu’à ce jour rien ne protège contre les principales catégories de menaces connues des réseaux wifi comme:

• L’attaque Evil Twin
• Les réseaux mal configurés
• Les points d’accès et/ou clients illicites

N’oubliez donc pas de sensibiliser régulièrement vos utilisateurs et administrateurs afin de les rendre vigilants face à ces problématiques qui, rappelons-le, peuvent être à l’origine de nombreux déboires et lourdes pertes pour les entreprises. De plus, n’hésitez pas à nous contacter pour tout complément d’information !

ps: moi je dis le wifi

Nous contacter

Cet article LE ou LA Wifi ? On ne sait pas trop mais c’est déjà la version 6 est apparu en premier sur iDNA.

Ce n’est un secret pour personne, la cyber-criminalité a été particulièrement onéreuse pour les entreprises en 2019, qui ont vu le coût moyen des incidents (ou cyber-attaques) passer de 3 M€ à 4,6 M€. Entre les ransomware, virus, malwares, chevaux de Troie (trojans) et diverses campagnes de phishing, il y a fort à faire pour nos équipes en charge de la sécurité qui doivent désormais freiner des attaques qui gagnent en fréquence mais surtout en sophistication.

Ces phénomènes ont d’ailleurs été fortement surexploités durant cette période de confinement avec la sur-utilisation des réseaux sociaux et autres moyens de travail à distance.

Afin de résoudre ces problèmes, une nouvelle stratégie – initiée par Forrester Research depuis quelques années – commence à se répandre et prend de l’ampleur :

L’idée est simple et peut se résumer en reprenant la célèbre citation de Pierre CORNEILLE :

« Le trop de confiance attire le danger »

Et comment cela se traduit-il concrètement ? Il faut partir du principe que chaque connexion ou accès, qu’il(elle) soit interne ou externe à votre réseau d’entreprise, ne doit être accordé(e) que s’il ou elle est légitime et a donc été vérifié(e) (et quelle meilleure façon pour vérifier la légitimité d’une demande que de regarder la documentation produite ? Car bien entendu cette documentation est utile – comme évoqué lors d’une précédente publication).

La sécurité physique

La sécurité physique reste aujourd’hui la première barrière contre les attaques. Et c’est bien normal car que nous soyons sur une infrastructure on-premise ou cloud (public comme privé), les données et informations à protéger sont toutes localisées sur ces points stratégiques. Il convient donc de permettre une restriction des accès sur le personnel habilité à intervenir, que ce soit réalisé en interne si tout est géré localement, ou via votre provider cloud (CSP) si les services sont externalisés.

Mais ce n’est pas suffisant, une surveillance de l’état des composants est également de mise pour garantir, en plus de la disponibilité des ressources, le niveau de sécurité nécessaire au bon fonctionnement des installations. Nous retrouverons ici les diverses problématiques soulevées par l’alimentation, le refroidissement, la suppression des incendies ou même celles liées aux environnements plus industriels tels que les GTB/GTC/GTE.

La sécurité logique

La sécurité logique est un point majeur à prendre en compte, de plus en plus complexe à adresser du fait de l’évolution des typologies d’attaques mais surtout car il est nécessaire de traiter plusieurs aspects techniques/organisationnels que sont le réseau, le stockage, les hyperviseurs (et la virtualisation de manière générale) et surtout la partie applicative.

Nous pourrons également parler micro-segmentation, ce terme qui fait un peu peur car très consommateur en termes de temps de configuration et donc de charge, pour atteindre une sécurité homogène et assurer le bon fonctionnement de chaque composant. Mais cela constitue une réelle barrière contre la propagation des intrusions, empêchant pour beaucoup le déplacement latéral d’un attaquant ayant réussi à pénétrer les premiers niveaux de protection d’un SI.

Avec le développement des méthodes agiles en termes de conduite de projet, il faut aller vite et être flexible pour permettre de tenir les délais imposés. Mais cela ne doit pas se faire au détriment de la politique et des bonnes pratiques de sécurité dictées par le RSI/RSSI. Un travail de maintien et de mise à jour des différentes politiques d’habilitations/accréditation doit se faire dès lors que des composants, processus ou des personnes sont ajoutés ou retirés de l’équation.

Les process d’entreprise

Nous allons ici insister sur la politique de sécurité à mettre en oeuvre, car c’est elle qui permettra aux équipes de bien comprendre les attentes pour chaque périmètre. Il convient donc que les responsables puissent dispenser des informations claires et compréhensibles en vue d’obtenir une cohérence sur chaque aspect technique précédemment cité.

Mais allons plus loin ! Si l’on souhaite assurer que l’implémentation de ces sécurités se fasse de manière correcte, cela nécessite que les équipes soient formées, compétentes et si possible expérimentées. Nous pourrons ainsi commencer à adresser les aspects liés au plan de formation de nos équipes, incluant pourquoi pas la sensibilisation sur des techniques permettant aux développeurs de produire leur code applicatif de manière sécurisée.

Et surtout, ne pas se reposer sur ses acquis ! Nous obligeant ainsi à revoir de manière périodique et régulière les accès et accréditations déjà émis, à réaliser des tests d’intrusion ou des pentests applicatifs pour garantir que de nouvelles failles ou vulnérabilités ne pourraient pas subvenir, à surveiller l’application des mises à jour des composants de notre SI pour garantir leur maintien en conditions opérationnelles et surtout en conditions de sécurité (MCO / MCS).

La bonne nouvelle c’est que la plupart des sujets cités ci-dessus sont déjà adressés chez vous, au moins en partie ! Pas besoin donc de prévoir l’acquisition de nouvelles solutions souvent coûteuses, assurez-vous simplement que :

• Les solutions en place soient bien paramétrées, afin d’assurer le service pour lequel vous les avez acquises (un bon article sur le sujet ici d’ailleurs)
• Les processus clairs sont définis et appliqués – et leur application est suivie !

[/vc_column_text][/vc_column][/vc_row]

Cet article « Zero Trust », la bonne résolution post-confinement ? est apparu en premier sur iDNA.

Cet article iDNA se prend au jeu ! est apparu en premier sur iDNA.

Cet article La fiabilisation des applications web est apparu en premier sur iDNA.