Comment sécuriser votre réseau sans fil domestique

Tout le monde utilise le wifi. C'est une réalité de la vie moderne, mais elle comporte de sérieux risques pour la sécurité. Les réseaux sans fil domestiques peuvent constituer les connexions Internet les plus dangereuses. Vous pouvez être attaqué depuis Internet et même par vos voisins.

Bien qu'aucune mesure de sécurité ne soit parfaite, il existe quelques mesures simples que vous pouvez prendre pour améliorer la sécurité de votre réseau sans fil domestique et rendre plus difficile l'accès des attaquants.

• 4 étapes pour configurer un réseau sans fil domestique
• Comment savoir si quelqu'un « utilise » le Wifi de votre maison ou non ?

Conseils simples pour sécuriser votre routeur et votre réseau WiFi en quelques minutes seulement

• Accédez toujours à la console d'administration via Ethernet
• Changer le nom du réseau (SSID)
• Changer le nom d'utilisateur et le mot de passe
• Changer l'adresse IP par défaut du routeur
• Utilisez un cryptage fort
• Choisissez un mot de passe fort
• Changer le mot de passe Wi-Fi
• Configurer les paramètres de réservation DHCP (adresse IP statique)
• Désactiver le réseau invité
• Activez le pare-feu
• Utiliser un VPN
• Désactivez WPS
• Gérer le micrologiciel du routeur
• Désactivez la gestion à distance/les services inutiles
• Filtrage d'adresse MAC 

Accédez toujours à la console d'administration via Ethernet

Accédez toujours à la console d'administration via Ethernet

Pour vous connecter à la console d'administration de votre routeur, il suffit d'ouvrir un navigateur Web, de saisir votre adresse IP (ou parfois votre URL), puis le nom d'utilisateur et le mot de passe administrateur de votre routeur. Tout va bien, à condition de ne pas le faire via une connexion sans fil.

Lors de la connexion au panneau d'administration via un réseau sans fil, ces informations de connexion seront envoyées sur le réseau et sont susceptibles d'être interceptées en cours de route. Si vous vous connectez uniquement lorsque vous êtes connecté par Ethernet, vous pouvez éliminer ce risque.

En fait, vous devez désactiver complètement l'accès à distance et exiger une connexion filaire pour ajuster les choses. De cette façon, même si des pirates interfèrent avec votre connexion sans fil et cassent votre mot de passe, ils ne pourront rien changer.

Changer le nom du réseau (SSID)

Il s'agit d'une mesure très simple : modifiez le nom du réseau par défaut. L'attaquant connaît les noms par défaut utilisés par les fabricants de routeurs et les FAI. S'ils peuvent déterminer le type de routeur que vous utilisez simplement en regardant le nom de votre réseau et pouvoir attaquer le routeur exact beaucoup plus facilement. Cela leur fait gagner du temps et des efforts.

De plus, ce type d’informations ouvre la porte à des attaques plus sophistiquées qui attaquent le micrologiciel spécifique du routeur. Un attaquant peut exploiter le firmware directement et obtenir davantage d'accès et de manière plus discrète s'il découvre simplement votre mot de passe.

Changer le nom d'utilisateur et le mot de passe

Semblable à la méthode de sécurité ci-dessus, vous devez modifier le nom d'utilisateur et le mot de passe de l'utilisateur LuckyTemplates.

Les attaquants connaissent le nom et le mot de passe par défaut et les essaieront en premier. Ne pensez pas que vous êtes intelligent en changeant simplement votre mot de passe ou en changeant un seul caractère. Un attaquant dispose d’un outil capable de tester rapidement des milliers de combinaisons de mots de passe et de noms d’utilisateur.

Changez le nom d'utilisateur administrateur en quelque chose d'un peu imprévisible. Le mot de passe doit être une phrase secrète. Cela signifie qu'il doit s'agir d'une phrase contenant au moins un ou plusieurs mots dénués de sens. Vous devez également utiliser des lettres majuscules, des chiffres et quelques caractères spéciaux.

Changer l'adresse IP par défaut du routeur

Pour des raisons de sécurité, il est préférable de modifier l'adresse IP par défaut de votre routeur (l'adresse IP que vous saisissez dans votre navigateur pour vous connecter au routeur), afin de le rendre plus résistant au suivi.

1. Une fois connecté en tant qu'administrateur, recherchez l' option Configuration réseau ou quelque chose de similaire.

2. Modifiez l'un ou les deux derniers chiffres de l'adresse IP dans le champ Adresse IP LAN . Par exemple, vous pouvez modifier l'adresse IP par défaut de 192.168.200.01 sur votre routeur en 192.168.200.36 (l'adresse IP réelle sur votre routeur sera différente).

3. Cliquez sur Appliquer ou Enregistrer et attendez que votre routeur redémarre.

Utilisez un cryptage fort

Le cryptage est une fonctionnalité obligatoire sur tous les routeurs. Ignorer l’utilisation du cryptage, c’est comme laisser toutes les portes et fenêtres de la maison ouvertes à tout moment. Tout ce que vous dites ou faites peut être vu et entendu par n’importe qui.

Si vous n'utilisez pas de cryptage pour votre réseau sans fil, vous faites une grave erreur. En fait, si vous utilisez le cryptage, vous pouvez toujours commettre des erreurs. Tous les cryptages ne sont pas égaux. Assurez-vous d'avoir sélectionné les paramètres corrects.

Sérieusement, cela ne prend que 30 secondes environ pour activer le cryptage dans les paramètres du routeur. Et ce faisant, assurez-vous d'utiliser le mode WPA2 s'il est disponible, ou bien utilisez WPA Personal. N'utilisez de toute façon pas le cryptage WEP , car il est faible et facile à pirater.

Sélectionnez « WPA2 Personnel » pour votre réseau. Ce serait bien si vous pouviez configurer la version entreprise, mais ce n'est vraiment pas si simple à moins d'avoir une certaine expérience avec celle-ci.

Pour l'algorithme de cryptage, choisissez AES, n'utilisez pas TKIP. AES offre un cryptage plus puissant et est difficile à exploiter. TKIP n'est choisi que comme option pour la compatibilité ascendante, et si vous avez vraiment besoin de TKIP, mettez à jour votre appareil.

Choisissez un mot de passe fort

Le mot de passe que vous utilisez pour vous connecter au réseau doit également être fort et doit être différent du mot de passe du compte administrateur. Choisissez un mot de passe long, comprenant au moins un mot, un chiffre et des caractères spéciaux rarement utilisés. Votre mot de passe doit comporter au moins quinze caractères.

Changer le mot de passe Wi-Fi

Même si votre mot de passe Wi-Fi est extrêmement fort, vous devez le changer. Comme tout mot de passe, vous devez régulièrement le remplacer par de nouvelles phrases. Cela ne signifie pas que vous devez changer votre mot de passe tous les jours, mais ce n'est pas une mauvaise idée tous les quelques mois.

Configurer les paramètres de réservation DHCP (adresse IP statique)

Pour la plupart des réseaux, le routeur peut conserver les paramètres DHCP par défaut. Cela signifie que le routeur fournira automatiquement des adresses IP aux clients connectés au réseau, éliminant ainsi le travail de gestion IP.

Si vous envisagez de connecter un serveur ou tout autre appareil auquel vous pouvez accéder depuis l'extérieur de votre réseau, la meilleure option consiste à configurer les paramètres de réservation DHCP. Cela signifie simplement que vous indiquez au routeur qu'un appareil particulier utilise toujours une adresse IP statique spécifique , qui lui est réservée.

Par exemple, l'adresse IP du routeur peut être 192.168.1.1. Ainsi, vous pouvez donner à votre serveur de messagerie une adresse IP de 192.168.1.2. Vous pouvez également attribuer à un troisième appareil, tel qu'un serveur Web , une adresse IP de 192.168.1.3 , etc.

Désactiver le réseau invité

Les réseaux invités peuvent être une arme à double tranchant. Assurez-vous que vos invités ne se connectent pas et n'accèdent pas à l'ensemble de votre réseau, et qu'ils n'utilisent pas votre mot de passe. Cependant, si le réseau invité n'a pas de mot de passe, vous êtes toujours ouvert à toute personne souhaitant se connecter. Essentiellement, vous donnez aux attaquants l’accès à votre réseau.

La seule exception ici est si vous pouvez créer un mot de passe distinct pour le réseau invité. Si votre réseau invité a le même niveau de sécurité que votre réseau principal, ce n'est pas grave. Sinon, désactivez-le et si vous ne faites pas confiance à vos invités, changez le mot de passe à leur départ.

Activez le pare-feu

Tous les routeurs ne disposent pas d'un pare-feu intégré, mais si le vôtre en possède un, activez-le. Les pare-feu peuvent constituer votre première ligne de défense. Ils sont spécialement conçus pour gérer et filtrer le trafic entrant et sortant de votre réseau et peuvent bloquer l'accès via les ports inutilisés.

Utiliser un VPN

Vous n’empêcherez pas vos voisins d’accéder à votre réseau avec un VPN, mais vous pouvez ainsi empêcher les attaques provenant de l’extérieur de la zone immédiate.

Lorsque vous utilisez un VPN, connectez-vous d'abord au serveur VPN, puis connectez-vous à l'Internet extérieur. Tout le trafic provient du VPN, y compris toutes les informations sur votre réseau informatique interne, car les VPN créent des réseaux internes virtuels. Lorsqu'il y est connecté, votre ordinateur se trouve à la fois sur le réseau local physique et virtuel. Internet ne peut voir que les réseaux virtuels.

Les VPN ont l’avantage supplémentaire d’anonymiser une partie de votre trafic. Un VPN ne vous rendra pas complètement anonyme en ligne, mais il vous aidera certainement.

• 11 meilleurs logiciels VPN

Désactivez WPS

WPS signifie Wifi Protected Setup. Il s'agit d'un système qui se connecte à un réseau wifi crypté sans avoir besoin de saisir de mot de passe. Il existe quelques différences, mais elles sont toutes relativement similaires.

Même si WPS fonctionne bien en théorie, en pratique, il ne fonctionne pas vraiment bien. WPS peut entraîner certaines failles de sécurité. Il est activé par défaut sur la plupart des routeurs. Si vous estimez que vous n'avez pas besoin de WPS, vous pouvez le désactiver et combler ces failles de sécurité.

Gérer le micrologiciel du routeur

Comme les ordinateurs, les routeurs disposent d’un système d’exploitation. Cependant, il ne se met pas automatiquement à jour avec les mises à jour de sécurité comme un ordinateur, vous devrez donc le mettre à jour vous-même. Certains routeurs peuvent télécharger des mises à jour du micrologiciel depuis Internet. Pour les autres routeurs, vous devez les télécharger vous-même et les télécharger sur le routeur depuis votre ordinateur.

Tout comme pour les ordinateurs, les mises à jour incluent souvent des correctifs de sécurité importants. Si vous n'effectuez pas la mise à jour, les attaquants profiteront de ces failles de sécurité pour vous attaquer. Vous n'avez pas besoin de le faire régulièrement, vérifiez simplement les mises à jour tous les mois environ.

Si vous avez un peu de connaissances techniques, vous pouvez envisager d'utiliser un micrologiciel de routeur open source personnalisé. Il existe quelques outils vraiment intéressants que vous pouvez télécharger sur votre routeur, et ils sont généralement mis à jour rapidement et avec plus de fonctionnalités. Si vous n'avez jamais fait cela auparavant, soyez prudent car vous pourriez détruire votre routeur.

Désactivez la gestion à distance/les services inutiles

De nombreux routeurs disposent de services de gestion à distance. Sur certains routeurs, ces services sont activés par défaut. Ne vous méprenez pas ici. Il ne s'agit pas d'une interface Web que vous utilisez pour gérer le routeur depuis l'intérieur du réseau, les services à distance vous permettent de le gérer depuis l'extérieur. Cela signifie qu'un attaquant depuis l'Internet ouvert peut accéder à l'interface de gestion de votre routeur. Il n'y a pas beaucoup de raisons pratiques pour lesquelles vous auriez besoin de gérer votre routeur depuis l'extérieur du réseau, vous ne manquerez donc pas grand-chose si vous désactivez ce service potentiellement dangereux.

Il existe d'autres services pour lesquels le routeur fourni n'est pas nécessaire. Par exemple, certains routeurs sont livrés avec SSH ou Telnet activé par défaut. Il n’y a aucune raison, d’autant plus que vous pouvez utiliser l’interface Web du routeur. Certains routeurs ont même FTP et Samba activés par défaut pour le partage de fichiers. Les deux peuvent faciliter la tâche des cyberattaquants. Si vous en avez, éteignez-les.

Filtrage d'adresse MAC

Tous les appareils possèdent une adresse MAC (Media Access Control) unique, utilisée pour communiquer avec un segment de réseau.

En filtrant l'adresse MAC de chaque appareil, vous pouvez augmenter la sécurité de votre réseau. Vous pouvez le faire en ajoutant les adresses MAC de tous vos appareils aux options de votre routeur sans fil, garantissant ainsi que seuls les appareils filtrés peuvent établir des connexions au réseau.

Vous pouvez généralement trouver l'adresse MAC dans le menu Paramètres réseau de votre appareil ou en accédant à l'invite de commande, en tapant « getmac » et en appuyant sur Entrée. Le résultat sera similaire à ce qui suit :

Trouver l'adresse MAC

1. Une fois connecté au routeur, recherchez l' option Filtrage MAC et cliquez dessus. L' option de filtrage MAC peut être répertoriée comme filtre MAC, filtre réseau, accès réseau, contrôle d'accès ou quelque chose de similaire. Cela peut se trouver dans le menu Sans fil, Sécurité ou Avancé.

2. Cliquez sur l'option pour ajouter un nouveau filtre MAC . Le bouton sera très probablement une icône indiquant « Ajouter » ou un signe plus (+) ou quelque chose de similaire.

3. Saisissez l'adresse MAC de chaque appareil du réseau que vous souhaitez filtrer.

Si le sujet de la sécurité vous intéresse ou si vous avez déjà lu un article comme celui-ci, vous vous demandez peut-être pourquoi certaines choses n'ont pas été mentionnées. Bonne question! Les adresses IP statiques, le filtrage MAC et le masquage SSID sont tous ignorés car il a été prouvé qu'ils ne fonctionnent pas. Bien sûr, vous pouvez éviter certaines interventions légères, mais avec les bons outils, aucune de ces astuces ne fonctionnera. Vous devez investir votre temps et vos efforts lorsqu'il s'agit d'obtenir des résultats tels que le cryptage et la définition de mots de passe forts.

Soyez intelligent et faites de votre mieux pour vous assurer que votre routeur vous protège.