Accueil » Systèmes & Réseaux » Les 5 mesures de sécurité à mettre en place immédiatement sur un nouveau routeur

Article invité proposé par Simon du site Le-routeur-wifi

 

Le routeur WiFi est le cœur du réseau à la maison : c’est lui qui permet de connecter tous les appareils entre eux et à internet. Cependant, il n’est pas inviolable et comme tout bon « cœur » il peut même être un point faible s’il n’est pas correctement protégé !

Je vous propose aujourd’hui de mettre en place quelques mesures de sécurité simples pour limiter les tentatives de connexion externes sur votre réseau… Chacune des solutions proposées est plus ou moins efficace pour protéger votre réseau, mais sachez tout de même qu’aucune ne permet une protection totale… Je vous décris ici l’utilité de chacune de ces mesures, je ne vous expliquerais pas cependant comment les mettre en pratique car cela dépend en grande partie de votre routeur WiFi.

 

1. Utilisez un VPN : Parcourez internet masqué !

Les VPN ou « Virtual Private Network » en Anglais, sont des outils permettant de connecter deux réseaux locaux différents par un protocole de tunnel. Ce tunnel semblera un simple lien point-à-point et un logiciel espion ne verra donc pas le tunnel.

Les VPN sont utilisés de deux manières différentes :

  • Le VPN sur PC : Les VPN sur PC permettent d’encapsuler dans le tunnel toutes les données qui transitent sur le PC, ou alors, juste les données d’une application sélectionnée. Ce sont les VPN les plus utilisés aujourd’hui mais leurs limitations d’utilisation vont vite les rendre obsolètes.
  • Le VPN sur routeur : Il est aussi possible d’installer un VPN directement sur votre routeur, la différence ? Le routeur peut appliquer l’utilisation du tunnel VPN pour TOUS les appareils connectés à la maison… Même ceux qui ne permettent pas l’installation directe d’un VPN (comme les montres connectées ou les consoles de salon).

Le VPN pour routeur permet donc une utilisation plus poussée et permet même d’utiliser un VPN sur des appareils ne le supportant pas : l’encapsulage des données se faisant maintenant au niveau du routeur et non plus de l’appareil, il suffit que l’appareil puisse se connecter à un routeur pour utiliser le VPN dessus.

Pour tout vous dire j’utilise cette astuce à la maison aussi pour une autre raison : l’achat de produits dématérialisés. Pour mes jeux par exemple, j’utilise mon VPN pour connecter Steam à un pays d’Asie du Sud-Est où les jeux profitent régulièrement de prix plus bas qu’en Europe…

 

2. Cacher le SSID réseau : Connectez-vous à un réseau fantôme !

Le SSID du réseau est le petit nom que vous pouvez lui donner pour le retrouver facilement au moment de vous connecter. Il est donc possible de le personnaliser pour faciliter son identification mais il est aussi possible de le cacher pour rendre le réseau plus difficile à repérer.

Si vous procédez à cette modification, le nom de votre réseau ne s’affichera plus dans la liste des « réseaux disponibles » lorsque vous essayez de connecter un nouvel appareil… Et c’est là tout l’intérêt de cette protection, car maintenant pour vous connecter au réseau vous allez entrer non seulement le mot de passe comme d’habitude, mais aussi entrer le SSID du réseau pour l’identifier.

Malheureusement comme je vous le disais en début d’article cette mesure n’est pas suffisante pour protéger votre réseau, il existe en effet des programmes appelés « sniffers » qui permettent de surveiller l’activité sur les réseaux à proximité. Avec un tel programme il est possible de récupérer le SSID du réseau et rendre cette protection supplémentaire caduque.

 

3. Désactivez le DHCP : Le poste-frontière du routeur !

Le saviez-vous ? Dans votre routeur se trouve un programme remplissant le rôle de « poste-frontière » : le DHCP.

Un poste-frontière dans mon routeur, comment ça ? Vous vous en doutez il n’y a pas de douaniers miniatures dans le boîtier, cependant il y a un programme appelé le DHCP (Dynamic Host Configuration Protocol) qui permet d’assurer la configuration automatique des paramètres IP des appareils connectés sur le réseau. Pour faire simple : Le DHCP distribue les adresses IP (indispensables pour naviguer sur internet) aux différents appareils connectés sur le réseau du routeur.

Mais si je le désactive, c’est l’espace Shengen et tout le monde entre et sort de mon réseau comme il veut, non ? En fait, pas du tout : c’est même l’inverse qui se produit… On ne peut pas utiliser son routeur sans un système pour distribuer les IP et désactiver le DHCP va suspendre l’attribution automatique des adresses IP, il va donc falloir que nous attribuions les adresses IP à la main.

Pour cela il faut faire la liste de TOUS les appareils que l’on veut connecter au réseau et on y associe une IP de la plage du routeur.

Vous voulez rendre la vie impossible aux hackers ? Mettez quelques caractères spéciaux bien Français dans votre SSID (EDIT: dans votre mot de passe, merci Mirabellette) «ç, à, é, è… » Ces caractères propres à la langue Française ont moins de chance de figurer dans les dictionnaires des pirates anglophones…

 

4. Filtrez les adresses MAC : Seuls vos appareils peuvent se connecter !

Chaque appareil connecté (capable d’utiliser internet) dispose d’une adresse MAC qui lui est propre pour l’identifier et l’autoriser ou lui bloquer la connexion internet.

Il existe une fonctionnalité sur tous les routeurs WiFi récents pour appliquer un filtre aux adresses MAC qui se connectent au réseau. Le principe est très simple : Vous récupérez les adresses MAC de tous les appareils qui vous voulez connecter à internet, Vous entrez la liste des adresses MAC dans la white-list du routeur et vous black-listez toutes les autres adresses MAC du réseau. Si une personne extérieure essaye de se connecter au réseau : son appareil est refusé. (EDIT: à condition de ne pas négliger le cas du MAC spoofing consistant à usurper l’adresse MAC, merci à Schwarzer)

J’avais mis en place cette sécurité supplémentaire chez moi, mais elle présente un inconvénient majeur : les invités. Étant donné que seuls VOS appareils sont autorisés à se connecter vous devrez ajouter une adresse MAC supplémentaire de la liste des appareils en White-List à chaque fois que quelqu’un veut se connecter chez vous. Pour plus de sécurité il faudra d’ailleurs supprimer l’adresse MAC de la liste des appareils autorisés une fois que votre invité aura terminé d’utiliser internet…

 

5. Baissez la puissance de votre routeur : Moins de WiFi pour une utilisation plus privée

Au fil de mes années d’étudiant j’ai passé pas mal de temps en résidence étudiante, avec un WiFi gratuit très approximatif et des connexions mal sécurisées de tous les côtés… Le paradis d’un jeune Geek à la recherche d’internet pas trop cher !

J’avais trouvé à l’époque une connexion complètement ouverte à laquelle me connecter pour profiter d’un débit bien plus confortable que la connexion gratuite de la résidence. En cherchant sa source je me suis rendu compte que c’était un voisin deux étages plus haut qui émettait le signal.

Tout ça pour vous faire comprendre qu’un routeur puissant c’est cool, mais encore faut-il savoir l’utiliser correctement.

Si vous vivez en résidence étudiante avec des murs aussi fins que ceux que j’avais, le signal WiFi n’aura aucun mal à les traverser pour se diffuser à plusieurs mètres autours de chez vous. Cela peut aussi se produire dans un appartement et même dans une maison si vous êtes proche de vos voisins !

Pour éviter ce problème il n’y a pas 36 solutions : on va brider notre routeur ! Dans les paramètres de la majorité des routeurs récents, il est possible de trouver un réglage pour la puissance de l’émission du WiFi. Pour montrer les performances avancées de leurs routeur, les constructeurs placent toujours cette valeur au maximum, mais ce n’est pas forcément le meilleur choix.

J’espère que cet article vous aura aidé à trouver les fonctionnalités de sécurité manquante ou à régler sur votre routeur pour naviguer l’esprit tranquille

12 Commentaires

  1. Merci pour le partage de l’article. Très bonne idée l’idée de réduire la puissance du wifi afin de l’adapter au périmètre de son domicile. Difficile de se connecter à un réseau dont on ne reçoit que peu ou pas de signaux radio.

    Un petit bémol cependant, il n’y a aucun lien entre SSID et dictionnaire de pirate des pirates anglophones. Le fait de mettre un caractère spéciale ne change rien pour le pirate car il a directement accès à l’adresse mac du routeur. Je pense qu’il a mélangé le SSID et le mot de passe du wifi. Là, cela à tout son sens.

  2. Schwarzer a écrit:

    Merci pour l’article, intéressant à lire.

    Toutefois, le fait de conseiller la désactivation du DHCP est assez radical et contraignant à la fois.
    En effet, la désactivation du DHCP implique comme vous l’indiquer de renseigner une adresse IP fixe à chaque équipement présent sur le réseau.

    En termes de sécurité, je suis d’accord sur le principe, mais ne serait-il pas plus judicieux et moins contraignant de réduire la plage du DHCP. Il est vrai que sur les modems fournis par les différents FAI (Fournisseur d’Accès à Internet) la plage du DHCP est très large.

    Enfin, concernant l’utilisation d’une liste blanche pour les adresses MAC. Il existe plusieurs moyens de spoofer une adresse MAC de la liste blanche. Bien entendu, ceci n’est pas à la porter de tous. De plus, comme vous le mentionnez, ceci présente des inconvénients.

  3. Merci Mirabellette et Schwarzer pour vos commentaires pertinents et utiles ! 😉 je les transmettrai à l’auteur

  4. wouldsmina a écrit:

    Bonjour,

    Je rejoins Schwarzer, plutôt que de désactiver le DHCP, je conseillerais de désactiver l’adressage dynamique et utiliser les baux statiques.

  5. Je trouve que les solutions proposées, soit répondent à coté de la problématiques, soit sont complètement inefficaces.

    Passer par un VPN: Ça ne protège en rien le réseau domestique
    Cacher le SSID: N’importe quel récepteur broadcast le verra quand même
    Désactiver le DHCP: Innutile aussi, il est aisé de scanner le réseau local avec une petite requette ARP, de plus cela nécessite de maintenir un plan d’adressage et de s’y tenir, ce qui n’est pas à la porté d’une personne non technicienne.
    Filtrer les adresses MAC: Une adresse MAC ça peut se spoofer (usurper)
    Baisser la puissance du routeur: Trop hasardeux.

    De plus vous mélangez Point d’accès et Routeur Même si la plupart des appareils font les deux).

    Si vous craignez une intrusion de votre réseau domestique par du wi-fi, je vous suggère de désactiver purement et simplement votre réseau Wi-fi et d’installer des cables RJ-45, voire brasser vos prises RJ-45 murales si votre domicile est équipé.

    Si malgré tout vous voulez du wi-fi tout en protégeant votre réseau domestique, vous pourriez acheter du matériel, pas forcément plus onéreux mais qui vous permettent de séparer votre réseau Sans Fil de votre réseau filaire: Ubiquiti vend ce genre d’outil (Compter entre 100 et 140€ pour un routeur et un point d’accès Wi-Fi).

  6. Gérald a écrit:

    Outre d’être radicale et contraignante, la désactivation de DHCP est totalement inutile car il est tout à fait possible et même trivial de découvrir l’adressage du réseau (quand l’adressage n’est pas celui « par défaut » à savoir 192.168.1.0/24….).
    En outre:
    1/ le « hacker », en utilisant DHCP, va potentiellement dévoiler des informations intéressantes telles que son hostname lors de la demande du bail.
    2/ le « hacker » apparaitra sur le routeur dans la liste des machines ayant obtenue un bail, ce qui est également intéressant.

    Comme l’ont dit d’autres, la protection par filtrage d’adresse MAC est tout aussi illusoire.

    Baisser la puissance d’un routeur Wifi est rarement possible: une grosse part de la population doit s’appuyer sur les routeurs/AP de leurs FAI qui ne proposent pas ce genre de tweak….
    Donc à moins de foutre le point d’accès dans de le micro-onde ou du papier alu, dur dur à appliquer…

    De même, le conseil de passer tout le trafic via VPN me parait un peu stupide: cela revient à confier son trafic à un tiers supplémentaire qui est, bien souvent, beaucoup moins scrupuleux que le FAI (FAI qui a de nombreuses obligations légales concernant ses clients, contrairement au fournisseur de VPN ukrainien).. ou à monter son propre VPN, et là, on décale juste la fuite de confidentialité du FAI vers l’hébergeur du serveur accueillant le VPN ….

    Il aurait été un intéressant d’avertir des dangers du CPL qui, sur des installations électriques de mauvaise qualité, revient à ouvrir son LAN à tout ses voisins de palier…

  7. Bonjour,

    Il me semble qu’il y a une petite coquille dans cette phrase non ?

    « On ne peut pas utiliser son routeur sans un système pour distribuer les IP et désactiver le DHCP va suspendre l’attribution automatique des adresses IP, il va donc falloir que nous attribuions les adresses IP à la main. »

    Je pense qu’il vaut mieux écrire

    « On peut utiliser son routeur sans un système pour distribuer les IP et désactiver le DHCP va suspendre l’attribution automatique des adresses IP, il va donc falloir que nous attribuions les adresses IP à la main. »

    Car un routeur peut fonctionner sans DHCP vous en faites la démonstration dans votre article.

    Merci

  8. Je trouve les mesures un peu légères 😉

    Filtrer sur l’adresse Mac et cacher le SSID sont deux mesures totalement inutiles

    Il aurait été plus judicieux de conseiller plutôt la désactivation du mode connexion avec un code PIN et d’oublier le mode WEP

    Utiliser le mode WPA2 avec un gros mot de passe est largement suffisant pour être tranquille sauf si le hacker a une bonne raison de tenter de cracker le mot de passe pendant plusieurs mois 😉

  9. Bonjour à tous, et merci pour tous ces commentaires (C’est moi qui ai rédigé cet article :D) !
    Je tiens à préciser dans un premier temps que je ne suis pas un professionnel mais plutôt un passionné qui découvre de nouveaux aspects du réseau tous les jours. Pour écrire cet article, (je ne vais pas vous mentir) je me suis inspiré d’un article anglophone sur la sécurité réseau (J’aurais dû mieux choisir mes sources et je m’en excuse).
    Vous avez tous apporté des corrections très justes et je vous en remercie ! Malheureusement je n’en resterais pas là car j’ai un article complet à corriger sur mon blog et des modifications à apporter à celui-ci.
    Vous semblez bien plus calé que moi dans le domaine et toute réflexion ou coup-de-pouce correctif est evidemment le bienvenue !

    Merci encore pour votre acceuil 🙂

  10. Lucien a écrit:

    Bon article!

Laisser un commentaire

Lire plus :
Le cours vidéo complet sur le Hacking éthique (coulisses + FAQ)

Nous y sommes, le cours vidéo sur le Hacking éthique est disponible ! Voici de suite ce que vous allez...

Fermer