Comment assurer la conformité réglementaire de vos réseaux WiFi ?

Pour répondre aux usages mobiles, les entreprises ont déployé des réseaux sans fils (dans l’espace de travail, à la cafeteria ou à la terrasse d’un café par exemple) en parallèle de leurs réseaux filaires.

En matière de services, le réseau WiFi de l’entreprise peut remplir plusieurs objectifs : accès qualitatif des terminaux mobiles au SI, stratégie BYOD, accès internet pour les visiteurs professionnels, internet gratuit pour les clients, etc.

Ce trafic, en net augmentation, complexifie fortement la gestion du réseau au niveau de la sécurité.

Par le passé, les mises en garde étaient essentiellement destinées contre les dangers des hotspots publics, aujourd’hui les réseaux WiFi Privés sont aussi concernés.

En octobre 2017, un chercheur a découvert une importante vulnérabilité, au sein du protocole WPA2 de sécurisation des connexions WiFi. Cette faille, baptisée krack, entraîne un risque d’interception de données, de détournement de l’utilisateur vers des sites et services malveillants, ou encore d’injection de données à son insu.

Le cheval de Troie Switcher cible Android pour attaquer les réseaux WiFi. Il ne s’attaque pas directement aux utilisateurs mais fait d’eux des complices involontaires en déplaçant physiquement les sources de l’infection.

Vous aimez aussi ce bar-café parce qu’il vous offre un accès WiFi gratuit … votre voisin(e) a démarré un des nombreux logiciels gratuits de sniffing, et dans un premier temps a capté les adresses URL des pages visitées par les clients du café, et ensuite des informations beaucoup plus privées (Identifiants de comptes mail, Adresses mail, Mots de passe, etc.).

Mais cela va encore plus loin… on peut renifler à la volée les cookies informatiques des voisins de table. Ces cookies, stockent des identifiants (ex : Facebook, Twitter, Yahoo Mail, Amazon, Flickr, Google, etc.), qui peuvent être ensuite utilisés pour se connecter à votre insu.

Le respect de la réglementation en la matière oblige les entreprises à apporter un traitement différent selon la destination des réseaux WiFi.

La mise en place d’un réseau WiFi ouvert au public et ses incidences en matière de traitement de données à caractère personnel est soumise à l’article L34-1 du Code des postes et des communications électroniques.

La loi n° 2006-64 du 23 janvier 2006, relative à la lutte contre le terrorisme, a étendu cette obligation à l’ensemble des personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit.

Le décret du 24 mars 2006 a ainsi créé un nouvel article R.10-13 du CPCE, qui décrit les catégories de données à conserver. Il s’agit :

• des informations permettant d’identifier l’utilisateur (par exemple : adresse IP, numéro de téléphone, adresse de courrier électronique) ;
• des données relatives aux équipements terminaux de communication utilisés ;
• des caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
• des données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
• des données permettant d’identifier le ou les destinataires de la communication.
• Pour les activités de téléphonie : les données permettant d’identifier l’origine et la localisation de la communication.

Le décret du 24 mars 2006 fixe la durée de conservation des données à un an, durée au-delà de laquelle elles devront être anonymisées. Ce délai de conservation court dès l’enregistrement des données.

La nouvelle règlementation RGPD ne comporte pas de nouveautés concernant le traitement des données dans le cadre de la fourniture au public de services de communication électronique. S’applique alors les dispositions de la loi Informatiques et Libertés, notamment l’information des utilisateurs de la présence d’un tel traitement.

La CNIL, dans l’immédiat, considère que les entreprises et les administrations fournissant un accès internet à leurs employés ne sont pas concernées par cette obligation de conservation.

Au-delà, un employeur a le droit de mettre en œuvre un dispositif de surveillance de l’activité de ses salariés (contrôle de la messagerie, des sites internet consultés, etc.) dès lors qu’un certain nombre de garanties sont respectées, en particulier, l’information des intéressés sur le système mis en œuvre et la déclaration préalable du dispositif auprès de la CNIL.

Tout manquement à l’obligation de conservation des données expose la personne à laquelle incombe cette obligation aux sanctions visées à l’article L. 39-3 du CPCE, soit un an d’emprisonnement et 75.000 euros d’amende pour les personnes physiques, et 375.000 euros pour les personnes morales (en application de l’article 131-38 du code pénal).

Certains fournisseurs proposent des solutions de bout en bout qui englobent l’ensemble des réseaux filaires et sans fil de l’entreprise. Dans l’immédiat, il est préférable, de reconnaître les limites (en matière de contrôle) des outils existants.

Dans ce contexte de vulnérabilité et de réglementation, nous vous conseillons fortement :

• A titre privé, d’utiliser des accès WiFi sécurisés de type portail captif, et de recourir à des services VPN, au moins lors de l’utilisation de hotspots
• Au sein de l’entreprise, de mettre en place un portail captif WiFi, avec de nouvelles pratiques d’isolation des réseaux et des terminaux connectés à un même point d’accès.