fbpx
7

12 façons simples de sécuriser votre connection WiFi

Le meilleur côté d’avoir une connexion WiFi sécurisée, c’est qu’une fois qu’elle est en place on peut complètement oublier que le routeur existe pour naviguer l’esprit tranquille sur internet. De nos jours, les fuites d’informations dans les entreprises ou pire encore dans les ordinateurs particuliers, sont journalières. Si vous êtes inquiets de la sécurité de votre réseau au boulot ou chez vous, et par extension de vos données personnelles (surtout d’un hacker potentiel qui n’aurais qu’à se tenir à portée de votre réseau pour s’y connecter et infecter vos PC/données personnelles) alors il va falloir protéger votre réseau sérieusement.

Alors, que faire ? Je vous propose de vous aider à protéger votre réseau de façon simple en suivant ces quelques étapes et vous serez déjà plus protégé que la majorité des foyers français et que de nombreuses entreprises. Rien ne peut vous protéger à 100% contre un hacker vraiment persévérant. Les systèmes de social engineering, qui consistent à soutirer des informations à l’utilisateur plutôt qu’au système informatique, sont aujourd’hui les plus grosses failles des systèmes les mieux sécurisés.

Mais ce n’est pas une raison pour leurs simplifier la tâche alors, au boulot !

Mise au point (21/05/18)

Après avoir publié cet article sur mon blog et en avoir proposé une version « light » sur « LeBlogDuHacker », j’ai reçu de nombreux messages me signifiant que les manipulations que je recommandais sur cette page étaient en fait assez facile à contourner pour un hacker qualifié.

Et c’est tout à fait vrai : Si un hacker s’en prends à votre réseau et qu’il est tenace il pourra très certainement pénétrer le réseau grâce à des logiciels spécialisés. Par exemple, je vous conseille plus bas de cacher le SSID de votre réseau mais un hacker pourrais « surveiller » les ondes WiFi grâce à un logiciel appelé « sniffer ». Ce logiciel lui permettrais de récupérer le nom du réseau et rendrait la manipulation conseillée complètement inutile…

A lire aussi : SSID : Qu’est ce que le « SSID WiFi » (Service Set IDentifier) ?

J’ai donc décidé de vous donner un conseil en or pour protéger votre réseau à la maison et empêcher toute intrusion du WiFi :

Utilisez l’Ethernet !

Le WiFi est l’une des technologies qui se sont le plus développées ces dernières années, le principe de faire passer des informations d’un appareil à l’autre sans fils est en effet très pratique. Malheureusement ce genre d’invention a aussi ses mauvais côtés, en effet, pour rendre son utilisation plus simple pour les particuliers qui veulent se connecter en un instant, les constructeurs ont proposé des produits peu sécurisés et des protocoles de connexion toujours plus rapides et simples.

Les hackers l’ont bien compris et le wifi constitue très souvent une porte d’entrée royale pour eux !  Comme vous allez le constater plus bas dans cet article il est possible de cacher son  réseau WiFi et de mettre en place un véritable « poste-frontière » à son entrée pour autoriser/refuser la connexion aux différents appareils qui s’y connectent. Cependant, aussi bien caché soit-il, un bon hacker sera toujours capable de le retrouver !

Si vous voulez utiliser internet en toute sécurité au bureau/à la maison, je vous conseillerais plutôt de vous brancher en Ethernet : Les prises RJ45 sur votre routeur et vos appareils connectés. En passant par une connexion câblée, impossible pour un hacker de s’infiltrer sur le réseau sans venir brancher un câble physiquement chez-vous.

Le problème ? Vous avez une prise Ethernet sur votre smartphone ?

Cette solution comporte un problème magistral à notre époque : les smartphones. Tout le monde utilise son smartphone pour faire une petite recherche sur Google de temps en temps, pour consulter ses notifications Facebook ou encore pour consulter ses mails… Malheureusement les smartphones récent ne disposent pas de prise Ethernet et il faudra donc les connecter en WiFi…

Mes astuces testées et approuvées pour protéger votre réseau WiFi

1. Changer l’ID et le mot de passe du routeur : Niveau Facile

Tous les routeurs WiFi utilisent un identifiant et un mot de passe par défaut, ces valeurs par défaut peuvent être trouvées très facilement sur le site des constructeurs pour les personnes qui reboot leurs routeur et qui veulent trouver le mot de passe d’usine de leurs modèle. Ces identifiants sont nécessaires pour accéder au routeur pour la première fois si vous effectuez l’installation vous même et je vous conseille de les changer à ce moment là pour être sûr de sécuriser votre réseau dès l’installation du routeur.

Comme je vous le disais les identifiants par défaut sont d’utilité publique et si vous ne les avez pas changé au moment d’installer votre routeur vous devriez les trouver dans cette liste. Choisir de ne pas changer ces identifiants est un énorme problème de sécurité sur votre réseau, ces identifiants permettent en effet d’accéder à la page de configuration et de management du routeur. Si une personne mal-intentionnée connait le modèle de votre routeur (simplement en regardant par la fenêtre par exemple) ou teste tous les mots-de-passe les plus communs un par un, il pourra accéder à cette interface et la configurer comme ça lui chante.

Juste pour vous faire une idée de ce qu’il est possible de faire en ayant accès à cette interface, in pourrait par exemple :

  • N’autoriser la connexion qu’à l’adresse IP de son ordinateur : En appliquant un « filtre » au réseau il est possible de limiter la connexion internet au matériel que l’on souhaite depuis cette interface, si un hacker faisait cette manipulation, vous ne pourriez tout simplement plus accéder à internet ou à votre réseau sans fil !
  • Changer les identifiants du routeur : Les Hackers sont malins et si vous avez oublié de changer les identifiants de votre routeur ils s’en chargeront pour vous sans vous prévenir. Cela leurs permet de s’approprier l’administration de votre réseau et ainsi vous empêcher de prendre quelque contre-mesure que ce-soit.
  • etc… : Une fois sur cette interface tout est possible, on peut tout simplement reconfigurer le routeur à souhait.

A lier aussi : 5 méthodes pour améliorer votre sécurité en ligne tout de suite

2. Changez le nom du réseau : Niveau Facile

Le SSID ou « Service Set Identifier » ou encore « Identifiant de service », est le nom que porte votre réseau et qu’il diffuse autours de lui pour que les gens l’identifient et le trouvent. Bien que vous souhaitiez probablement garder le nom de votre réseau public, l’utilisation du SSID/nom du réseau par défaut peut le trahir… Je m’explique : Les routeurs Linksys citent généralement le nom de leurs marque dans leurs nom de réseau par défaut, certains modèles indique non seulement le nom du fabriquant mais aussi le modèle du routeur (« NetgearR6700 »). Cela rends l’identification de votre routeur très simple pour un hacker potentiel et encore une fois c’est un problème.

Il existe de nombreux sites rassemblant des « hackers » sur internet, sur ces sites les génies de l’informatiques partagent les failles et les techniques à utiliser sur chaque modèle de routeur. La bible du hacker en somme qui indique qu’est-ce qui fonctionne sur quel modèle de routeur.

Je vous conseille donc de personnaliser le nom de votre réseau pour lui donner un surnom plus personnalisé.

Une autre pratique plus embêtante pour l’utilisateur consiste à changer le SSID régulièrement, cela signifie que même si quelqu’un avait accès à votre réseau précédemment, vous pouvez l’expulser avec un changement régulier. C’est plus compliqué à mettre en place si vous avez un système description en place, mais votre paranoïa ne signifie pas que vous êtes plus à l’abris que les autres. Il est aussi possible de cacher le SSID, dans ce cas c’est à vous de vous rappeler du nom de votre réseau en plus de votre mot de passe au moment de connecter vos appareils, dans ce cas, plutôt que de n’entrer que votre mot-de-passe lors de votre connexion, le nom de votre réseau vous sera aussi demandé. En fait dans ce cas rien n’apparaîtra lorsque vous cherchez votre réseau de façon classique, il est totalement invisible aux intrus.

3. Activer le chiffrement : Niveau facile

Je vous en parlais dans le paragraphe précédent comme le recours des paranoïaques… Cependant c’est le summum de la technologie Wifi, tous les routeurs vendus ces 10 dernières années en disposent. C’est peut-être mon astuce la plus importante sur cette page pour verrouiller votre réseau WiFi. Pour cela, il va falloir accéder aux paramètres de votre routeur (J’explique la marche à suivre ici) et cherchez les options de sécurité. Toutes les marques de routeurs sont différentes, mais cette fonctionnalité se trouve souvent dans l’onglet intitulé « Sécurité » – Si vous ne le trouvez pas, référez-vous au site du constructeur de votre routeur.

Une fois sur cette page, activez le WPA2 Personnel (il peut apparaître sous le nom de WPA2-PSK); si vous ne voyez pas cette option sélectionnez simplement WPA (cependant si vous n’avez pas le WPA2-PSK, je vous conseille de vous procurer un routeur plus récent). Dans la case « Encryption » sélectionnez AES (évitez TKIP tant que possible). Vous devrez ensuite entrer un mot de passe, aussi connu sous le nom de « Clé Réseau », pour le Wifi chiffré.

Ce mot de passe n’est pas le même que ce lui que vous utilisez pour vous connecter à votre routeur – C’est celui que vous devrez entrer sur tous les appareils pour les connecter au réseau WiFi. Je vous conseille donc de créer un mot de passe long et qui n’as aucun sens avec des majuscules, des minuscules, des signes de ponctuation, des chiffres et d’autres caractères spéciaux. Ainsi personne ne pourra « deviner » votre mot de passe, mais pensez tout de même que vous allez devoir l’entrer sur tous les périphériques qui devront se connecter au WiFi au moins une fois.

A lire aussi : WPA3 : le futur de la sécurité WiFi arrive aujourd’hui

4. Utilisez les FireWalls : Niveau Intermédiaire

Les routeurs d’aujourd’hui ont un FireWall intégré qui est capable de protéger tout votre réseau contre les attaques extérieures. Activez-le si ce n’est pas automatique. Il peut apparaître dans le tableau de bord du routeur sous le nom de « SPI » ou « Stateful packet Inspection » ou sous le nom de « NAT » ou « Network Address Translation », quoi qu’il en soit, activez le pour ajouter une couche de protection.

Pour une protection plus poussée encore, je vous conseille d’installer un Pare-Feu aussi sur votre PC (pour vous assurer qu’un logiciel n’envoie pas de données sur le réseau sans votre autorisation. Je vous conseille tout simplement le Pare-feu de Windows pour faire au plus simple, c’est une fonctionnalité gratuite disponible sur tous les ordinateurs Windows et facilement activable ou désactivable, je vous laisse un tuto vidéo pour vous expliquer rapidement la démarche.

5. Coupez le réseau invité : Niveau Facile

C’est gentil et pratique d’avoir un réseau invité à la maison, sans mot-de-passe ou protection de quelque sorte pour faciliter la connexion des-dits invités lorsqu’ils viennent à la maison. Mais, pouvez vous leurs faire confiance ? A vos amis, probablement, mais qu’en est-t-il de vos voisins ? Des gens qui peuvent accéder à votre réseau depuis la rue ?

Quoi qu’il en soit je vous conseille de couper le réseau invité, il n’est souvent pas très utile et constitue une faille majeure dans votre réseau.

6. Utilisez un VPN : Niveau Intermédiaire

Une connexion VPN (ou « Virtual Private Network » ou encore « Réseau Privé Virtuel » en Français), créé un tunnel de données entre votre appareil et internet en passant par un serveur tiers – cela peut aider à masquer votre identités ou faire croire que vous vous connectez depuis un autre endroit, empêchant ainsi les curieux de savoir ce que vous faites sur internet. Certains bloquent même les publicités sur internet ! Un VPN est un pari intelligent pour tous les internautes, même si vous n’êtes pas sur WiFi. Certains ne peuvent plus s’en passer aujourd’hui !

A lire aussi : Comparatif des meilleurs services VPN 

7. Mettre à jour le logiciel du routeur : Niveau Facile

Comme je vous le disais plus haut certaines failles de sécurité sont connues sur les routeurs actuels, dès qu’un constructeur apprends qu’une faille est accessible sur un de ses modèles il sort en général un « Patch de sécurité » qui viens corriger l’erreur. Cependant sur certains routeurs les mises-à-jour ne sont pas automatiques et il faudra votre intervention pour qu’il se protège des attaques connues sur internet.

Pour mettre à jour le logiciel de votre routeur, rien de plus simple, rendez-vous sur la page d’administration de votre routeur pour voir si votre logiciel est à jour, si ce n’est pas le cas, faites la mise-à-jour comme indiqué. En général il est possible de faire la recherche de mise-à-jour directement sur l’interface du routeur, mais parfois il est nécessaire d’aller chercher la dernière version du logiciel directement en ligne, puis de l’envoyer au routeur pour l’installer.

Si vous vous avez les compétences pour – et le routeur qui supporte ce genre de logiciel – il est aussi possible de changer de logiciel de gestion pour votre routeur. Par exemple les logiciels Tomato et DD-WRT sont gratuits et permettent souvent d’accéder à des paramètres plus avancés que le logiciel constructeur classique. Ces programmes écrasent complètement le logiciel constructeur pour le remplacer mais permettent non seulement d’accéder à des fonctionnalités inaccessibles avant mais aussi à des performances souvent meilleures. Ne vous lancez pas dans ce genre de manœuvre cependant, si vous ne vous y connaissez pas un minimum.

8. Couper le WPS : Niveau Facile

Le WPS (WiFi Protected Setup ou « Paramètre de Protection Wifi ») est une fonctionnalité qui permet de connecter facilement de nouveaux périphériques au réseau. En appuyant sur un bouton « WPS » sur le routeur il deviens possible pendant quelques instants de connecter un nouvel appareil au réseau sans avoir besoin du mot-de-passe réseau. Ce n’est pas si difficile à cracker et permet à quiconque ayant eu un rapide accès physique au routeur d’y connecter tous ses appareils en un instant. A moins que votre routeur ne soit enfermé sous clé, c’est une option de votre routeur qui laisse une grosse faille de sécurité dans votre réseau.

A lire aussi : 10 menaces de sécurités les plus courantes

Les options mystérieuses

De nombreuses recommandations de sécurité disponibles sur le net ne sont pas validées par les experts informatiques. C’est parce que les gens avec le bon équipement – avec un outil d’analyse sans fil comme Kismet ou des méga-outils comme Pwnie Express Pwn Pro – sont souvent prêts à aller loin pour assurer leurs sécurité sur internet. Les recommandation qui suivent sont donc en « complément » des recommandations de base ci-dessus, je les inclue pour l’amour du travail bien fait. Bien qu’ils puissent être un peu plus compliqués à mettre en place, un paranoïaque persuadé d’être surveillé par la NSA ne sera toujours pas serein après ces modifications de base.

Je vous propose donc d’aller encore un peu plus en profondeur, pour sécuriser votre réseau au maximum !

9. Cacher le nom du réseau : Niveau Complexe

Je vous en avais déjà parlé un peu plus haut… Cela rends la connexion au réseau plus compliquée pour vos amis et votre famille, mais cela rends aussi la connexion au réseau bien plus compliquée pour un utilisateur extérieur.

Dans les paramètres du routeur sur le SSID, cherchez une fonction « invisibilité » ou « Diffusion SSID » pour l’activer dans le premier cas et le désactiver dans le second. Maintenant votre connexion internet est complètement invisible, pour vous connecter sur windows, il faudra vous rendre dans « Configurer une connexion ou un réseau » et sélectionner « Se connecter manuellement à un réseau sans fil » :

Le réseau vous demanderas alors plusieurs informations :

  • Le nom du réseau : C’est le SSID de votre réseau, il faut le rentrer tel quel (Majuscules et minuscules comprises) pour que le routeur se reconnaisse.
  • Le type de protection : Si vous avez effectué les modifications que je vous conseille ci-dessus ça devrais être WPA2-PSK.
  • Le mot-de-passe du réseau : C’est le mot de passe qui vous est habituellement demandé pour vous connecter au réseau de façon classique.

Encore une fois cependant, un hacker avec un logiciel espion « sniffer » peut capter le nom du réseau SSID au moment de la connexion. le SSID est plus camouflé que complètement invisible.

10. Désactiver le DHCP : Niveau Complexe

Le serveur DHCP (ou « Dynamic Host Configuration Protocol ») de votre routeur est l’endroit ou chaque adresse IP est distribué aux appareils de votre réseau. Par exemple, si le routeur a l’IP 192.168.0.1, votre routeur devrais avoir une portée DHCP de 192.168.0.100 à 192.168.0.125 – cela représente 26 adresses IP possibles à distribuer sur le réseau. Cela signifie aussi qu’un maximum de 26 appareils pourront être connectés simultanément sur ce réseau. Il est possible de limiter cette portée pour que le serveur DHCP ne délivre (théoriquement) qu’une quantités limitées de places que le réseau – Cette sécurité supplémentaire vous rendra cependant moins libre d’utiliser votre réseau comme vous l’entendez : si vous limitez la connexion à 3 appareils et que vous avez 2 smartphones, un PC et une smartwatch dans la famille, l’un des appareils ne pourra plus se connecter. Il faut donc bien calculer vos besoins.

Pour la sécurité maximale, vous devriez simplement désactiver le DHCP. Ça signifie que vous allez devoir aller sur chaque appareil (même les montre connectées) dans les paramètres réseau et assigner une adresse IP correspondante à votre routeur à chacun (en plus de se connecter au réseau WiFi chiffré).

Si cela vous semble décourageant, c’est que cette manœuvre de sécurité ne s’adresse pas à vous. Encore une fois, gardez-à l’esprit que quelqu’un avec une bonne connaissance de votre réseau et de votre plage d’adresse IP pourra probablement obtenir une IP valide sur votre réseau même en désactivant le DHCP.

11. Filtrer les adresses MAC : Niveau Complexe

Tous les appareils qui se connectent à un réseau disposent d’une adresse MAC ou « Media Acess Control » qui agit comme un identifiant unique. Les appareils qui utilisent différents types de réseaux – comprenez par là les appareils qui peuvent se connecter en 2.4 gHz, en 5 gHz ou en Ethernet – auront une adresse MAC pour chaque type.

Vous pouvez aller sur la page de gestion de votre routeur pour entrer à la main les adresses MAC des appareils que vous voulez autoriser sur votre réseau. Vous pouvez aussi aller dans la section « contrôle de l’accès » présent sur de nombreux routeurs pour voir la liste des appareils déjà connectés, il ne vous reste plus qu’à sélectionner ceux que vous voulez autoriser ou interdire. Si vous voyez des appareils sans nom, je vous conseille de lister les adresses MAC de tous les appareils que vous souhaitez connecter et les comparer à celles de la liste – En général l’adresse Mac se trouve directement imprimée sur le produit (sous les ordinateurs portables par exemple) ou sur le paquet de l’appareil (sur la boite de votre smartphone par exemple).  Si vous trouvez des appareils que vous ne connaissez pas c’est peut-être un intrus… Ou alors c’est l’un de vos appareils que vous avez oublié de lister.

12. Baissez la puissance du WiFi : Niveau Facile

Si vous avez un routeur WiFi puissant mais que votre logement est petit, il est possible que votre réseau WiFi s’étende jusque chez vos voisins. Cela peut donner aux voisins l’occasion de se connecter facilement à votre réseau. Il est possible sur la majorité des routeurs disponibles aujourd’hui de baisser la puissance de transmission du routeur, disons à 75% pour commencer. Si vous recevez encore partout chez vous et dehors vous pouvez essayer de baisser encore le signal jusqu’à ce que vous ne receviez que là où vous avez besoin de WiFi.

  • Updated juillet 6, 2020
S’abonner
Notifier de
7 Commentaires
Le plus vieux
Le plus récent Le plus voté
Inline Feedbacks
Voir tous les commentaires

Bonjour,

Merci d’avoir pris le temps de faire un aussi bon point sur la sécurité réseaux.

Le minimum est de vous remercier….

Bonne continuation et partage

bonjour,

j’ai eu récemment des problèmes de connexion wifi piraté
avec accès à ma box modifié,mème en réinitialisant mon modem, ça ne changé rien du tout
je n’avais plus du tout de connexion internet

après avoir contacté mon FAI, il m’ont confirmé que quelque chose n’allait pas du tout
4 jours après il m’ont demandé de passer en magasin et mon donné un nouveau modem avec de nouveaux identifiants, comme si j’avais une nouvelle connexion internet

après avoir discuté avec un vendeur, j’ai compris que la meilleure façon de sécurisé son wifi chez soi c’est de ne l’utiliser que lorsqu’on en à besoin 🙂

de déconnecter son modem en débranchant la prise électrique
lorsqu’on n’est pas là par exemple, au boulot, en faisant ses courses
en allant au sport ou simplement parc qu’on regarde la TV ou que personne n’est connecté avec une réelle nécessité et surtout la nuit avant de dormir

la plupart des gens le laisse branchez 7/7 et 24/24

on peut aussi désactiver le wifi via sa box et l’activer quand c’est nécessaire

on doit aussi changer le mot de passe de la wifi par un code de 30 chiffres, lettres, signes, ect…

Merci pour l’éclaircissement. Mais je sais pas laquelle de ces astuces évite d’être vulnérable au « netsh wlan show profile »?

Bonjour
« 5.Coupez le réseau invité »
Ce n’est pas le meilleur conseil à donner… Un réseau invité bien paramétré donne un accès internet mais est coupé du réseau lan.
Ce type de réseau invité est à conseiller, il permet d’éviter l’infections d’ordi en lan par un smartphone vérolé par exemple. De même, connecter les objets connectés de la maison (frigo, ampoules etc) au réseau invité est un gage de sécurité supplémentaire quand on connaît les problèmes de failles de ces objets.
A+

7
0
Nous voulons connaitre votre avis, commentez !x