AirSnitch n'a pas brisé le Wi-Fi. Ce qu’il a fait, c'est exposer des hypothèses de longue date ne tiennent plus lorsqu’on les examine de près.
La bonne réaction n'est pas la peur, ni les suppositions. C'est un retour aux principes fondamentaux. Nos experts en réseau ont examiné l'ensemble de la recherche et testé chaque technique démontrée dans des environnements contrôlés. La conclusion était claire : la protection ne vient pas du fait de réagir aux manchettes. Elle vient de la construction correcte des réseaux dès le départ.
Voici les pratiques qui comptent pour protéger un réseau contre les menaces de type AirSnitch.
La première étape consiste à éliminer cette fausse hypothèse.
L’isolation des clients n’est pas une frontière de sécurité. Elle ne l’a jamais été. C’est une fonctionnalité propre aux fournisseurs, implémentée de façon incohérente selon les plateformes, et qui n’est pas définie formellement dans la norme Wi-Fi.
Si un réseau dépend de l’isolation des clients pour séparer les appareils et contenir le trafic, alors un risque est déjà présent par conception. AirSnitch rend simplement cette dépendance visible.
L’isolation des clients peut encore jouer un rôle complémentaire, mais elle ne doit jamais être la base d’une posture de sécurité. Les réseaux construits sur cette hypothèse doivent être réévalués, pas simplement corrigés.
La protection la plus efficace contre AirSnitch est une segmentation VLAN adéquate. Pas des noms de SSID. Pas des options activées. De véritables frontières de couche 3 avec un routage et des politiques bien appliqués.
Le trafic invité ne doit pas partager le même domaine de diffusion que le trafic corporatif. Les appareils IoT ne doivent pas coexister avec les postes de travail sur le même réseau logique. Ces séparations doivent être intentionnelles, cohérentes et validées.
Lorsque la segmentation est correctement mise en place, les vecteurs d’attaque démontrés par AirSnitch ne s’appliquent plus. Non pas parce qu’une fonctionnalité les bloque, mais parce que la conception du réseau ne les permet tout simplement pas.
C’est le principal enseignement. L’architecture élimine la surface d’attaque. Les fonctionnalités, elles, ne font que la gérer, et seulement lorsqu’elles fonctionnent comme prévu.
Les problèmes de sécurité apparaissent le plus souvent aux frontières du réseau. Là où la conception est fragmentée. Là où les responsabilités sont floues. Là où une équipe gère le sans fil, une autre les commutateurs, et personne n’a une vision d’ensemble.
Quand un réseau est assemblé en morceaux plutôt que conçu comme un système cohérent, les hypothèses comblent les vides. Et ces hypothèses deviennent des vulnérabilités. Elles restent invisibles jusqu’à ce que quelque chose les expose.
Un réseau sécurisé est conçu de bout en bout. De la planification RF et du positionnement des points d’accès jusqu’à la structure VLAN et l’application des politiques de trafic. Chaque couche doit refléter la même intention de sécurité.
La cohérence est aussi importante que les capacités. Un cœur bien configuré avec une périphérie mal conçue reste un réseau mal conçu.
Chaque organisation est unique. Nos experts travailleront avec vous pour concevoir la combinaison de produits et de services adaptée à vos besoins, qu'il s'agisse de déploiements multisites ou de déploiements à l'échelle de l'entreprise.
.svg){kind=small}
