Le PCI Security Standards Council viendrait de publier une série de recommandations destinées à la sécurité des réseaux sans-fil (PCI Data Security Standard Wireless Guidelines). Le document détaillerait les bonnes pratiques en matière de réseaux Wi-Fi dans le cadre d’une infrastructure soumise à PCI-DSS.

L’usage du conditionnel s’impose ici car nous n’avons pas obtenu ce document à l’heure de notre rédaction, et le site officiel du PCI Security Standards Council n’y fait (encore) aucune référence . Mais de nombreux articles de la presse anglo-saxonne en ligne (souvent identiques, hélas) s’en font déjà l’écho.

Toutefois, PCI 1.2 – disponible depuis octobre 2008 – traite déjà du sujet. Et d’ailleurs, la majorité des exemples mentionnés par les articles de presse du jour n’est qu’un rappel des règles existantes.

Il n’empêche qu’il n’est pas inutile de revenir sur le sujet. Le conseil PCI aborde plusieurs axes de contrôles spécifiques au Wi-Fi. Tout d’abord la détection des points d’accès non autorisés, via un scan tous les trimestres. Puis surtout la mise en place d’une politique claire d’installation des AP, afin que les collaborateurs sachent ce qui n’est pas permis (et où !).

Le conseil suggère également de ne pas se contenter d’isoler les réseaux sans-fil du CDE par un simple VLAN, mais plutôt par un pare-feu qui reconnaisse le protocole 802.11 (et bien entendu, l’exigence de supervision des journaux posée par PCI-DSS s’applique ici aussi)

Les nouvelles recommandations du Conseil PCI détailleraient cependant mieux les mesures de protection de la borne elle-même (protéger physiquement son accès) et sa configuration (ne pas laisser la configuration par défaut, ne pas indiquer le nom de l’entreprise dans le SSID, désactiver le reset d’usine de la borne, etc…). Elles ne seraient toutefois pas (encore) obligatoires.

Et il va sans dire, enfin, que l’authentification WEP et à proscrire (PCI l’interdit pour les nouvelles implémentations depuis le mois de mars cette année, et pour celles qui l’utilisent encore devront avoir migré, par exemple vers IEEE 802.11i, au 30 juin 2010). Les équipements doivent en outre être en mesure de supporter le chiffrement AES et les protocoles WPA / WPA2.