Sécuriser un routeur wifi: 5 mesures de sécurité à mettre en place immédiatement
Table des matières
Article invité et sponsorisé proposé par Simon du site Le-routeur-wifi
Le routeur WiFi est le cœur du réseau à la maison : c’est lui qui permet de connecter tous les appareils entre eux et à internet. Cependant, il n’est pas inviolable et comme tout bon « cœur » il peut même être un point faible s’il n’est pas correctement protégé !
Sécuriser un routeur Wifi
Je vous propose aujourd’hui de mettre en place quelques mesures de sécurité simples pour limiter les tentatives de connexion externes sur votre réseau… Chacune des solutions proposées est plus ou moins efficace pour protéger votre réseau, mais sachez tout de même qu’aucune ne permet une protection totale… Je vous décris ici l’utilité de chacune de ces mesures, je ne vous expliquerais pas cependant comment les mettre en pratique car cela dépend en grande partie de votre routeur WiFi.
1. Utilisez un VPN : Parcourez internet masqué !
Les VPN ou « Virtual Private Network » en Anglais, sont des outils permettant de connecter deux réseaux locaux différents par un protocole de tunnel. Ce tunnel semblera un simple lien point-à-point et un logiciel espion ne verra donc pas le tunnel.
Les VPN sont utilisés de deux manières différentes :
- Le VPN sur PC : Les VPN sur PC permettent d’encapsuler dans le tunnel toutes les données qui transitent sur le PC, ou alors, juste les données d’une application sélectionnée. Ce sont les VPN les plus utilisés aujourd’hui mais leurs limitations d’utilisation vont vite les rendre obsolètes.
- Le VPN sur routeur : Il est aussi possible d’installer un VPN directement sur votre routeur, la différence ? Le routeur peut appliquer l’utilisation du tunnel VPN pour TOUS les appareils connectés à la maison… Même ceux qui ne permettent pas l’installation directe d’un VPN (comme les montres connectées ou les consoles de salon).
Le VPN pour routeur permet donc une utilisation plus poussée et permet même d’utiliser un VPN sur des appareils ne le supportant pas : l’encapsulage des données se faisant maintenant au niveau du routeur et non plus de l’appareil, il suffit que l’appareil puisse se connecter à un routeur pour utiliser le VPN dessus.
Cela dit, remarque importante : le service VPN utilisé doit absolument être de confiance. Il est inutile d’utiliser un service additionnel qui traitera potentiellement des données confidentielles si celui-ci ne certifie pas une certaines sécurité des données.
2. Cacher le SSID réseau : Connectez-vous à un réseau fantôme !
Le SSID du réseau est le petit nom que vous pouvez lui donner pour le retrouver facilement au moment de vous connecter. Il est donc possible de le personnaliser pour faciliter son identification mais il est aussi possible de le cacher pour rendre le réseau plus difficile à repérer.
Si vous procédez à cette modification, le nom de votre réseau ne s’affichera plus dans la liste des « réseaux disponibles » lorsque vous essayez de connecter un nouvel appareil… Et c’est là tout l’intérêt de cette protection, car maintenant pour vous connecter au réseau vous allez entrer non seulement le mot de passe comme d’habitude, mais aussi entrer le SSID du réseau pour l’identifier.
Malheureusement comme je vous le disais en début d’article cette mesure n’est pas suffisante pour protéger votre réseau, il existe en effet des programmes appelés « sniffers » qui permettent de surveiller l’activité sur les réseaux à proximité. Avec un tel programme il est possible de récupérer le SSID du réseau et rendre cette protection supplémentaire caduque.
L’idée étant donc de gérer le nom SSID en plus des bonnes pratiques classiques : mot de passe puissant, etc.
3. Désactivez le DHCP : Le poste-frontière du routeur !
Le saviez-vous ? Dans votre routeur se trouve un programme remplissant le rôle de « poste-frontière » : le DHCP.
Un poste-frontière pour sécuriser un routeur wifi, comment ça ? Vous vous en doutez il n’y a pas de douaniers miniatures dans le boîtier, cependant il y a un programme appelé le DHCP (Dynamic Host Configuration Protocol) qui permet d’assurer la configuration automatique des paramètres IP des appareils connectés sur le réseau. Pour faire simple : Le DHCP distribue les adresses IP (indispensables pour naviguer sur internet) aux différents appareils connectés sur le réseau du routeur.
Mais si je le désactive, c’est l’espace Shengen et tout le monde entre et sort de mon réseau comme il veut, non ? En fait, pas du tout : c’est même l’inverse qui se produit… On ne peut pas utiliser son routeur sans un système pour distribuer les IP et désactiver le DHCP va suspendre l’attribution automatique des adresses IP, il va donc falloir que nous attribuions les adresses IP à la main.
Pour cela il faut faire la liste de TOUS les appareils que l’on veut connecter au réseau et on y associe une IP de la plage du routeur.
Vous voulez rendre la vie impossible aux hackers ? Mettez quelques caractères spéciaux bien Français dans votre SSID (EDIT: dans votre mot de passe, merci Mirabellette) «ç, à, é, è… » Ces caractères propres à la langue Française ont moins de chance de figurer dans les dictionnaires des pirates anglophones…
4. Filtrez les adresses MAC : Seuls vos appareils peuvent se connecter !
Chaque appareil connecté (capable d’utiliser internet) dispose d’une adresse MAC qui lui est propre pour l’identifier et l’autoriser ou lui bloquer la connexion internet.
Il existe une fonctionnalité sur tous les routeurs WiFi récents pour appliquer un filtre aux adresses MAC qui se connectent au réseau. Le principe est très simple : Vous récupérez les adresses MAC de tous les appareils qui vous voulez connecter à internet, Vous entrez la liste des adresses MAC dans la white-list du routeur et vous black-listez toutes les autres adresses MAC du réseau. Si une personne extérieure essaye de se connecter au réseau : son appareil est refusé. (EDIT: à condition de ne pas négliger le cas du MAC spoofing consistant à usurper l’adresse MAC, merci à Schwarzer)
J’avais mis en place cette sécurité supplémentaire chez moi, mais elle présente un inconvénient majeur : les invités. Étant donné que seuls VOS appareils sont autorisés à se connecter vous devrez ajouter une adresse MAC supplémentaire de la liste des appareils en White-List à chaque fois que quelqu’un veut se connecter chez vous. Pour plus de sécurité il faudra d’ailleurs supprimer l’adresse MAC de la liste des appareils autorisés une fois que votre invité aura terminé d’utiliser internet…
5. Baissez la puissance de votre routeur : Moins de WiFi pour une utilisation plus privée
Au fil de mes années d’étudiant j’ai passé pas mal de temps en résidence étudiante, avec un WiFi gratuit très approximatif et des connexions mal sécurisées de tous les côtés… Le paradis d’un jeune Geek à la recherche d’internet pas trop cher !
J’avais trouvé à l’époque une connexion complètement ouverte à laquelle me connecter pour profiter d’un débit bien plus confortable que la connexion gratuite de la résidence. En cherchant sa source je me suis rendu compte que c’était un voisin deux étages plus haut qui émettait le signal.
Tout ça pour vous faire comprendre qu’un routeur puissant c’est cool, mais encore faut-il savoir l’utiliser correctement.
Si vous vivez en résidence étudiante avec des murs aussi fins que ceux que j’avais, le signal WiFi n’aura aucun mal à les traverser pour se diffuser à plusieurs mètres autours de chez vous. Cela peut aussi se produire dans un appartement et même dans une maison si vous êtes proche de vos voisins !
Pour éviter ce problème il n’y a pas 36 solutions : on va brider notre routeur ! Dans les paramètres de la majorité des routeurs récents, il est possible de trouver un réglage pour la puissance de l’émission du WiFi. Pour montrer les performances avancées de leurs routeur, les constructeurs placent toujours cette valeur au maximum, mais ce n’est pas forcément le meilleur choix.
Une conclusion qui peut tout changer
Les bonnes pratiques sont certes des freins à un piratage ou certes des barrières de sécurité utiles. Mais le bon sens et la méfiance prévaudront toujours sur les outils ou mesures techniques que vous employez.
Dernière note importante, certains points peuvent également rendre le réseau plus difficile à utiliser lorsque vous avez des invités souhaitant se connecter à votre réseau. C’est le classique problème entre sécurité et ergonomie. À vous donc de faire le bon choix.
J’espère que cet article vous aura aidé à trouver les fonctionnalités de sécurité manquante ou à régler sur votre routeur pour naviguer l’esprit tranquille. Vous pouvez également observer les excellents commentaires ci-dessous pour obtenir plus de précisions sur certains points.
PS: Le réseau fait partie intégrante du hacking éthique, voici comment débuter en hacking.
19 Commentaires
Cliquez ici pour ajouter un commentaire
Merci pour le partage de l’article. Très bonne idée l’idée de réduire la puissance du wifi afin de l’adapter au périmètre de son domicile. Difficile de se connecter à un réseau dont on ne reçoit que peu ou pas de signaux radio.
Un petit bémol cependant, il n’y a aucun lien entre SSID et dictionnaire de pirate des pirates anglophones. Le fait de mettre un caractère spéciale ne change rien pour le pirate car il a directement accès à l’adresse mac du routeur. Je pense qu’il a mélangé le SSID et le mot de passe du wifi. Là, cela à tout son sens.
Merci pour l’article, intéressant à lire.
Toutefois, le fait de conseiller la désactivation du DHCP est assez radical et contraignant à la fois.
En effet, la désactivation du DHCP implique comme vous l’indiquer de renseigner une adresse IP fixe à chaque équipement présent sur le réseau.
En termes de sécurité, je suis d’accord sur le principe, mais ne serait-il pas plus judicieux et moins contraignant de réduire la plage du DHCP. Il est vrai que sur les modems fournis par les différents FAI (Fournisseur d’Accès à Internet) la plage du DHCP est très large.
Enfin, concernant l’utilisation d’une liste blanche pour les adresses MAC. Il existe plusieurs moyens de spoofer une adresse MAC de la liste blanche. Bien entendu, ceci n’est pas à la porter de tous. De plus, comme vous le mentionnez, ceci présente des inconvénients.
Merci Mirabellette et Schwarzer pour vos commentaires pertinents et utiles ! 😉 je les transmettrai à l’auteur
C’est pas vous l’auteur ?
Non, l’article a été rédigé par une autre personne dont le nom et le site sont fournis au début de l’article.
bonjour michel. un grand bravos à simon pour l’article très intéressant .
félicitation à lui. par contre dommage que l’article ne parle pas de cela.
car beaucoup de gens ne font pas attention avec se genre de problème.
car bien sûr encore faut t’il le savoir.
routeur infecté. plus dangereux encore le routeur auquel vous vous connectez
peut être lui même infecté. cela peut-être dû au routeur du café où vous êtes installé.
qui est infecté ou que vous vous êtes connecté à un réseau honneypot.
par exemple lorsque vous vous connectez au réseau wifi d’un centre commercial
ou d’un mac donald. vous ne pouvez pas être complètement sûr que le réseau
wifi auquel vous vous connectez est bien celui proposé par l’établissement.
il est possible pour un hacker de créer un réseau wifi factice.
avec un hospot mobile infecté qui ressemble en tous points au réseau public officiel.
sauf que si vous vous y connectez le hacker pourra récupérer toutes vos informations
de navigation.
en pratique il existe de nombreux types d’attaques qui restent possibles contre vous
si vous vous connectez au site de votre banque. par exemple le sslstrip permet
de détourner des connexion.
http de façon invisible par l’utilisateur. lorsque le site fait la redirection
vers le https. le logiciel convertis ces liens pour utiliser un alias http ou un
alias https. en d’autres termes un autre site qui ressemble exactement au site de votre
banque. cela peut se faire sans interruption et de façon totalement invisible.
permettant au hacker de récupérer toutes les informations dont il a besoin.
le wifi pineapple est un appareil facile à utiliser qui permet de réaliser ce genre d’attaques.
lorsque votre ordinateur veux se connecter à un réseau qu’il connait
déjà. le wifi pineapple va tout de suite détecter cette requête.
et répondre oui c’est moi tu peux te connecter !
l’appareil dispose ensuite de toutes sortes d’attaques.
à réaliser sur la victime.
un hacker malin pourrait mettre en place ce genre de réseau compromis.
dans un environnement rassemblant de nombreuses cibles.
de choix. comme par exemple dans les cafés proches de la défense à paris.
ou le salon business d’un aéroport où de nombreu(ses ) x . hommes / femmes
d’affaire se rassemblent tous les jours et se connectent à internet pour
consulter des données sensibles.
ce genre d’attaque est peu commun dans le monde d’aujourd’hui
mais bel et bien possible et encore utilisé.
sûr ceux très bonne soirée à toi michel
Bonjour,
Je rejoins Schwarzer, plutôt que de désactiver le DHCP, je conseillerais de désactiver l’adressage dynamique et utiliser les baux statiques.
Je trouve que les solutions proposées, soit répondent à coté de la problématiques, soit sont complètement inefficaces.
Passer par un VPN: Ça ne protège en rien le réseau domestique
Cacher le SSID: N’importe quel récepteur broadcast le verra quand même
Désactiver le DHCP: Innutile aussi, il est aisé de scanner le réseau local avec une petite requette ARP, de plus cela nécessite de maintenir un plan d’adressage et de s’y tenir, ce qui n’est pas à la porté d’une personne non technicienne.
Filtrer les adresses MAC: Une adresse MAC ça peut se spoofer (usurper)
Baisser la puissance du routeur: Trop hasardeux.
De plus vous mélangez Point d’accès et Routeur Même si la plupart des appareils font les deux).
Si vous craignez une intrusion de votre réseau domestique par du wi-fi, je vous suggère de désactiver purement et simplement votre réseau Wi-fi et d’installer des cables RJ-45, voire brasser vos prises RJ-45 murales si votre domicile est équipé.
Si malgré tout vous voulez du wi-fi tout en protégeant votre réseau domestique, vous pourriez acheter du matériel, pas forcément plus onéreux mais qui vous permettent de séparer votre réseau Sans Fil de votre réseau filaire: Ubiquiti vend ce genre d’outil (Compter entre 100 et 140€ pour un routeur et un point d’accès Wi-Fi).
Outre d’être radicale et contraignante, la désactivation de DHCP est totalement inutile car il est tout à fait possible et même trivial de découvrir l’adressage du réseau (quand l’adressage n’est pas celui « par défaut » à savoir 192.168.1.0/24….).
En outre:
1/ le « hacker », en utilisant DHCP, va potentiellement dévoiler des informations intéressantes telles que son hostname lors de la demande du bail.
2/ le « hacker » apparaitra sur le routeur dans la liste des machines ayant obtenue un bail, ce qui est également intéressant.
Comme l’ont dit d’autres, la protection par filtrage d’adresse MAC est tout aussi illusoire.
Baisser la puissance d’un routeur Wifi est rarement possible: une grosse part de la population doit s’appuyer sur les routeurs/AP de leurs FAI qui ne proposent pas ce genre de tweak….
Donc à moins de foutre le point d’accès dans de le micro-onde ou du papier alu, dur dur à appliquer…
De même, le conseil de passer tout le trafic via VPN me parait un peu stupide: cela revient à confier son trafic à un tiers supplémentaire qui est, bien souvent, beaucoup moins scrupuleux que le FAI (FAI qui a de nombreuses obligations légales concernant ses clients, contrairement au fournisseur de VPN ukrainien).. ou à monter son propre VPN, et là, on décale juste la fuite de confidentialité du FAI vers l’hébergeur du serveur accueillant le VPN ….
Il aurait été un intéressant d’avertir des dangers du CPL qui, sur des installations électriques de mauvaise qualité, revient à ouvrir son LAN à tout ses voisins de palier…
Bonjour,
Il me semble qu’il y a une petite coquille dans cette phrase non ?
« On ne peut pas utiliser son routeur sans un système pour distribuer les IP et désactiver le DHCP va suspendre l’attribution automatique des adresses IP, il va donc falloir que nous attribuions les adresses IP à la main. »
Je pense qu’il vaut mieux écrire
« On peut utiliser son routeur sans un système pour distribuer les IP et désactiver le DHCP va suspendre l’attribution automatique des adresses IP, il va donc falloir que nous attribuions les adresses IP à la main. »
Car un routeur peut fonctionner sans DHCP vous en faites la démonstration dans votre article.
Merci
Je trouve les mesures un peu légères 😉
Filtrer sur l’adresse Mac et cacher le SSID sont deux mesures totalement inutiles
Il aurait été plus judicieux de conseiller plutôt la désactivation du mode connexion avec un code PIN et d’oublier le mode WEP
Utiliser le mode WPA2 avec un gros mot de passe est largement suffisant pour être tranquille sauf si le hacker a une bonne raison de tenter de cracker le mot de passe pendant plusieurs mois 😉
Bonjour à tous, et merci pour tous ces commentaires (C’est moi qui ai rédigé cet article :D) !
Je tiens à préciser dans un premier temps que je ne suis pas un professionnel mais plutôt un passionné qui découvre de nouveaux aspects du réseau tous les jours. Pour écrire cet article, (je ne vais pas vous mentir) je me suis inspiré d’un article anglophone sur la sécurité réseau (J’aurais dû mieux choisir mes sources et je m’en excuse).
Vous avez tous apporté des corrections très justes et je vous en remercie ! Malheureusement je n’en resterais pas là car j’ai un article complet à corriger sur mon blog et des modifications à apporter à celui-ci.
Vous semblez bien plus calé que moi dans le domaine et toute réflexion ou coup-de-pouce correctif est evidemment le bienvenue !
Merci encore pour votre acceuil 🙂
Bon article!
cool, merci pour l’adresse mac, je ne connaissais pas, j’ai regardé et voila c’est filtré 🙂
Bonjour moi j’ai un souci j’ai changer de PC
et j’ai oublier mon mots de passe du wifi
La société qui a installé mon réseaux a fermer ses porte..si je réinitialisé le routeur J’orai plein de problèmes comment puîje obtenir le code de mon wifi avec ou sans le CMD merci
Bonjour,
Je pense qu’il faille préciser qu’il est nécessaire de bien choisir le routeur qui permettre de diminuer le signal wifi.
Il est difficile d’en trouver.
D’ailleur j’en cherche un 😀 si vous avez des recommandations pour remplacer un routeur opérateur.. (le wifi est secondaire)
Merci pour l’article .mais s’il te plait j’aimerais avoir des detail s sur la façon d’utiliser le vpn.
Bonjour, j’ai testé divers VPN : Test complet et Avis du service NordVPN (à jour et en Français), Test complet du service VPN CyberGhost, ProtonVPN : Avis et Test complet, ExpressVPN : Avis et Test Complet. Amicalement, Michel
Merci, aujourd’hui en cette date de ce commentaire auriez-vous de nouvelle option pour mieux ce proteger