Attaques
Wi-Fi et réseaux locaux
Les réseaux locaux sont souvent trop permissifs. Une fois connecté au bon segment, un attaquant peut découvrir des services, intercepter certains flux ou rebondir vers d'autres systèmes.
Wi-Fi
Points de contrôle :
- WPA2 ou WPA3
- mot de passe robuste
- réseau invité séparé
- désactivation de WPS
- rotation des clés partagées
- inventaire des points d'accès
- surveillance des points d'accès non autorisés
Un Wi-Fi invité ne doit pas donner accès aux serveurs internes, interfaces d'administration ou sauvegardes.
Réseaux locaux
Risques courants :
- ARP spoofing
- rogue DHCP
- partages ouverts
- imprimantes exposées
- interfaces d'administration accessibles
- absence de segmentation
- équipements oubliés
- mots de passe par défaut
Segmentation locale
Un réseau local propre sépare les usages.
Exemples :
- utilisateurs
- invités
- serveurs
- administration
- objets connectés
- sauvegardes
Chaque segment doit avoir des règles adaptées. Séparer sans filtrer ne suffit pas.
Équipements à surveiller
- bornes Wi-Fi
- switches
- routeurs
- imprimantes
- NAS
- caméras
- équipements IoT
- interfaces d'administration
Ces équipements sont parfois moins mis à jour que les postes, mais restent très connectés.
Défense
- segmenter par VLAN
- filtrer entre zones
- limiter l'administration aux postes autorisés
- activer DHCP Snooping si disponible
- surveiller les changements de passerelle
- désactiver WPS
- mettre à jour les équipements
- inventorier les adresses MAC connues
- journaliser les connexions Wi-Fi
À retenir
Un réseau local n'est pas automatiquement sûr parce qu'il est interne. Il doit être segmenté, filtré, surveillé et maintenu.