Sécurisez votre point d’accès WiFi

Le Wifi se démocratise : la plupart des routeurs qui sont vendus aujourd’hui sont livrés avec une borne WiFi car cela facilite l’installation des réseaux domestiques en abolissant les câbles disgracieux.

Tout semble aller pour le mieux dans le meilleur des monde. Mais voilà, la plupart des gens ne pense pas à sécuriser leur point d’accès, ce qui laisse la porte ouverte à n’importe qui captant leur signal pour télécharger des fichiers illégaux ou commettre des exactions sur un serveur distant.

Et en cas de litige, c’est à la porte du propriétaire de la ligne WiFi que la police viendra sonner.

D’où l’importance de sécuriser votre connexion WiFi, ce que nous allons faire étape par étape. Cela prend environ 10 minutes.

Etape 1 : sécuriser l’accès au routeur

La connexion Wifi, tout comme la connexion filaire, est gérée par le routeur. Or, par défaut, n’importe qui peut accèder à votre routeur : il suffit de connaître votre IP.

Imaginons l’utilisateur lambda, connecté sous l’IP 12.34.56.78. S’il est derrière un routeur, vous pouvez vous connecter à l’interface d’administration de son routeur en tapant dans votre navigateur.

Bien évidemment, cette page est protégée par un login et un mot de passe mais les réglages d’usine sont généralement :

User : admin

Password : password

Il vous faut changer cette combinaison login/mot de passe au plus tôt : à quoi servirait de sécuriser tout le réseau si tout le monde peut modifier les réglages du routeur à sa guise.

Ouvrez votre navigateur et pointez sur l’adresse du routeur, généralement ou , entrez dans l’interface d’administration et changez le mot de passe.

Apprenez-le par coeur, vous en aurez besoin à chaque fois que vous voudrez modifier les options du routeur.

Etape 2 : mettre à jour le firmware du routeur

Vérifiez que le firmware de votre routeur est à jour : pour cela, consultez le site du fabricant.

La mise à jour du firmware apporte souvent des améliorations, que ce soit dans la tenue de la ligne ADSL ou dans l’ajout de fonctionnalités. Cela corrige également les éventuels bugs ou failles de sécurité.

Etape 3 : changer le nom SSID

Le SSID – ou Service Set Identifier – permet d’identifier le réseau sans fil. Changez le nom par défaut pour un nom différent, histoire d’éviter que tous les gens du quartier utilisent le même identifiant pour des réseaux différents.

Cela peut entraîner des problèmes de connexion plus tard. Il ne sert à rien de désactiver la diffusion du nom du réseau : celui-ci est affiché en clair dans chacune des trames envoyées.

Etape 4 : utiliser un protocole de chiffrement

Votre routeur possède des options de chiffrement : activez-les. Il existe plusieurs protocoles de chiffrement.

WEP ou Wired Equivalent Privacy : est désormais obsolète, il peut être craqué en moins de 5 minutes par analyse de trames. Malgré tout, cela reste mieux qu’aucun chiffrement du tout – le chiffrement se fait sur 64 bits (appelé aussi chiffrement 40 bits) ou 128 bits.

Le WEP a donc été supplanté par le Wi-Fi Protected Access (WPA) en 2003, puis par le WPA2 en 2004.

WPA ou WiFi Privacy Access : respecte la majorité de la norme IEEE 802.11i et a été prévu comme une solution intermédiaire pour remplacer le WEP en attendant que la norme 802.11i soit terminée.

WPA a été conçu pour être utilisé en collaboration avec un serveur d’authentification 802.1X chargé de distribuer les différentes clés à chaque utilisateurs.

Il peut aussi être utilisé dans un mode moins sécurisé, appelé pre-shared key (PSK), dans lequel tous les utilisateurs partagent une même phrase secrète.

Les données sont chiffrées en utilisant l’algorithme de chiffrement par flot RC4, avec une clé de 128 bits et un vecteur d’initialisation (initialization vector ou IV en anglais) de 48 bits.

Une des améliorations majeures du WPA par rapport au WEP est le protocole Temporal Key Integrity Protocol (TKIP), qui échange de manière dynamique les clés lors de l’utilisation du système.

Ce protocole, associé au vecteur d’initialisation beaucoup plus grand que dans le WEP, empêche certaines attaques sur WEP aujourd’hui bien connues.

WPA2 est la version de la norme IEEE 802.11i certifiée par la Wi-Fi Alliance. WPA2 inclut tous les éléments obligatoires de la norme 802.11i.

En particulier, les algorithmes Michael et RC4 sont remplacés respectivement par un algorithme d’authentification de message, CCMP, qui est considéré comme complètement sécurisé et par AES.

Utilisez donc le WPA2 si disponible, le WPA à défaut et le WEP en dernier recours.

Choisissez une clé supérieure à 128 bits si possible et un mot de passe (également appelé passphrase) au moins égal à 20 caractères, contenant chiffres, lettres et caractères spéciaux.

Pour une sécurité renforcée, je vous recommande le générateur de clés WPA sécurisées.

Etape 5 : réduire le nombre d’IP attribuées par le serveur DHCP

Votre routeur fait office de serveur DHCP : il attribue à chaque machine de votre réseau une adresse IP interne. Il est intéressant d’attribuer une IP fixe à chacune de vos machines, notamment pour la redirection de ports grâce au protocole NAT.

Vous pouvez connecter jusqu’à 254 machines, utilisant 192.168.0.2 comme première adresse IP interne (jusqu’à 192.168.0.254 pour la dernière).

Réduisez cet intervalle au nombre de machines que vous connectez habituellement sur votre réseau.

Etape 6 : derniers réglages

Désactivez la configuration du routeur à distance, il y a 99% de chances que vous n’ayez jamais besoin de ce service et cela ferme la porte aux malveillants.

Désactivez les réponses aux pings envoyés sur le port WAN, cela rend votre réseau non-visible aux utilitaires de traffic.

Désactivez le serveur DMZ : cela représente un grave problème de sécurité car si actif, toutes les connexions non redirigées vers les ports définis sont redirigées vers l’IP de la DMZ. A déconseiller !

Réduisez la portée du signal WiFi si vos équipements se trouvent suffisamment près du routeur pour garder un bon signal. Il ne sert à rien “d’arroser le quartier”, cela attire la convoitise.

Activez le scan des ports et la protection contre les attaques DoS.

Note : je n’ai pas parlé du filtrage des machines du réseau par adresse MAC pour la simple et bonne raison qu’il est extrêmement facile de modifier l’adresse MAC d’un équipement réseau. De ce fait, cela ne représente plus aujourd’hui une mesure de sécurité adéquate.

Voilà, votre réseau sans-fil est maintenant plus sécurisé qu’il ne l’était au départ. Rappelez-vous toujours qu’avec du temps et les bons outils, il sera toujours possible de s’y infiltrer. Mais les quelques protections de base décrites ici devraient déjà vous protéger des attaques les plus communes.

Envie d'ajouter des fonctionnalités exceptionnelles à votre site WordPress ou WooCommerce? Je suis là pour vous aider.

Explorons les possibilités ensemble »

Articles conseillés :

Matt

Matt Biscay est développeur WordPress et WooCommerce certifié chez Codeable, ainsi que sysadmin qualifié et enseignant-chercheur. Passionné par le code performant et les solutions sécurisées, je m'efforce d'offrir une expérience utilisateur exceptionnelle sur chaque projet.

Vous avez aimé cet article ? Vous avez un projet en tête et vous pensez que je pourrais vous aider à le concrétiser ? N'hésitez pas à me contacter, je serais ravi de discuter avec vous de votre projet !

26 pensées sur “Sécurisez votre point d’accès WiFi”

  1. merci pour le tuto ! je vais m’atteler à la sécurité du réseau !

    Celui qui ne sait pas mais qui demande aura l’air bête 5 minutes….
    Celui qui ne sait pas et ne demande pas aura l’air bête toute sa vie ….

    Reply
  2. De rien Ben :)

    J’ai mis à jour le firmware de mon NetGear de la version 1.05 à 3.x : je synchronise environ 600ko plus haut et je peux maintenant faire du VPN. Cool ! ^^

    Reply
  3. On prefera aussi rajouter un petit serveur radius histoire de bien controler les personnes pouvant acceder au wifi. Ca permettra de partager son acces en toute confiance.

    Reply
  4. @#6601

    Oui, ou utiliser un certificat ou une carte à puce. Mais bon là… on s’éloigne des utilisations domestiques standard. Cela sera plutôt envisagé pour les réseaux d’entreprise.

    Reply
  5. Bon article, mais je m’interroge sur l’utilité de réduire la plage d’adresse fournie par le DHCP.
    En effet, si un hacker est arrivé a se connecter au réseau en ayant cracké la clé, se donner une adresse IP manuellement ne devrait pas trop poser de problème.

    Reply
  6. Salut Chrisss,

    En fait la réduction de la plage d’adresse DHCP permet d’éviter que quelqu’un puisse se connecter au routeur sans avoir à cracker la clé WEP/WPA. Imaginons un réseau non sécurisé avec de grandes plages DHCP ouvertes, n’importe qui pourrait s’y connecter. Si le hacker a déjà trouvé la clé (WEP/WPA) mais qu’il n’y a plus d’IP disponible, il sera bien embêté d’avoir fait tout cela pour rien : il lui faudra alors trouver le mot de passe du routeur pour effectuer les modifications nécessaires (ce qui souligne l’importance de changer le mot de passe du routeur par défaut).

    Reply
  7. Quand tu parles de cracker la clé, tu parles de celle du réseau WiFi, ou le mot de passe du routeur ?
    Par contre, j’ai rien compris a ton exemple désolé.
    Si le réseau est non sécurisé, le hacker n’a pas a trouver la clé puisqu’il n’y en a pas.
    Et le routeur n’accepte pas que les IP disponibles dans la plage du serveur DHCP, donc si le serveur DHCP n’attribue que 10 adresses par exemple 192.168.0.100-192.168.0.110, qu’est ce qui empêche de s’attribuer manuellement 192.168.0.200 ?

    Reply
  8. Salut Chriss,

    Je parle de la clé WEP/WPA. Si le réseau n’est pas sécurisé (pas de cryptage) mais que le DHCP est réduit au minimum et que seules les machines identifiées par adresse MAC sont autorisées à avoir une IP, le hacker ne peut pas utiliser le réseau. A moins de connaître le mot de passe du routeur et de tout modifier pour être accepté.

    Dans ton exemple, le hacker ne peut s’attribuer une telle IP que s’il modifie la configuration du routeur et “ouvre” la plage DHCP.

    Reply
  9. Salut Matt,
    avec une adresse ip fixe, le poste n’a pas besoin du serveur dhcp et peut donc se connecter sans problème à ton réseau s’il l’utilisateur a déja cracké la clé.

    Donc comme Christ dit, rien n’empêche un utilisateur mal intentionné de s’attribuer manuellement une adresse IP fixe.

    Il est possible cependant de filtrer les adresses MAC sur le routeur mais encore ca se contourne facillement en spoofant une adresse mac qui est déjà connectée. le hacker doit sniffer le réseau sans-fil et trouver une adresse MAC utilisée (donc acceptée par ton routeur).

    “Si le hacker a déjà trouvé la clé (WEP/WPA) mais qu’il n’y a plus d’IP disponible, il sera bien embêté d’avoir fait tout cela pour rien” Malheureusement non, la prochaine étape sera de trouver la plage d’adresse IP en sniffant le réseau. En ayant trouvé la plage d’IP le hacker n’a qu’a en choisir une parmie les adresses non utilisées et se l’attribuer.

    Reply
  10. Salut Jason,

    Le tutoriel s’adresse plutôt au grand public qui ne pense pas forcément à sécuriser un peu leur installation WiFi. C’est sûr que si le hacker a déjà cracké la clé wifi, il peut accéder au réseau. Il me semble que très peu de gens cherchent à cracker une clé WEP/WPA s’ils peuvent accéder à un réseau WiFi ouvert dans la même zone. Si vous avez un hacker déterminé à passer son temps à cracker votre clé, il faudra passer au niveau de sécurité supérieur (cela pourrait faire l’objet d’un tutoriel ultérieur d’ailleurs!).

    Malheureusement non, la prochaine étape sera de trouver la plage d’adresse IP en sniffant le réseau. En ayant trouvé la plage d’IP le hacker n’a qu’a en choisir une parmie les adresses non utilisées et se l’attribuer.

    C’est pour cela que je préconise la réduction de la plage IP : s’il y a 3 PC sur le réseau et que seulement 3 IP peuvent être attribuées, cela complique sensiblement la tâche. Si par contre il n’y a aucune limite IP, alors là… le hacker s’en donne à coeur joie.

    Reply
  11. Bonjour Matt,

    Si je comprend bien ce que tu dis, en réduisant la plage d’adresse ip attribué par le serveur dhcp de ton routeur, un poste voulant ce connecter sur une adresse autre que celle qui peut être attribuée par le dhcp ne peut le faire ?

    Un exemple: Si je limite ma plage d’adresse que le routeur attribu de 192.168.1.2 jusqu’à 192.168.1.4. Un poste étant configuré manuellement avec l’IP 192.168.1.5 ne pourrait ce connecter sur ce routeur ?

    Reply
  12. Salut Jason,

    C’est exactement cela – sur mon réseau personnel, si j’ai quatre plages d’ouvertes, un cinquième ordinateur ne peut pas se connecter au réseau : l’utilitaire WiFi initie la demande d’identification qui ne peut aboutir et laisse tomber. Pratique :)

    Reply
  13. Salut Matt,
    Tu confonds peut-être le filtre de la MAC avec le service dhcp car j’ai testé sur plusieurs routeurs aujourd’hui et ce de marques différentes et rien ne m’a empêché d’ajouter une adresse manuelle n’étant pas dans la plage d’adresse du dhcp. J’ai mis la plage de 192.168.1.2 à 192.168.1.4 et si je me connecte au routeur en wifi et que je mets l’adresse 192.168.1.5 manuellement ainsi qu’un serveur dns publique, je me connecte sans problème au routeur et à l’Internet. Lorsque j’ai eu mon premier routeur sans fil il y a plusieurs années, j’avais même désactivé complètement le dhcp et mis des adresses statiques sur tout les postes, cela ne m’a jamais empêché de me brancher.

    Tout s’explique de la facon suivante: le dhcp ne sert qu’à distribuer des adresses au client dhcp qui en font la demande. Si l’adresse est mise manuellement il n’en donne tout simplement pas. Il est même possible de désactiver simplement le service dhcp et de mettre des adresses statiques. Le dhcp n’ajoute pas de sécurité en sois mais sert à donner des IP aux client pour réduire les conflits d’adresses.
    Voir la définition de dhcp: https://fr.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol

    Je trouve ton article vraiment bien, il est même cité en référence sur plusieurs autres sites comme wikipedia et ISIQ.ca. Mais je suis simplement en désacord avec ce point que je trouve faux car il ne peut simplement pas sécuriser un routeur. Si je me trompe j’aimerais bien qu’on me corrige svp.

    Reply
  14. Salut Jason,

    Je crois que tu as raison – quelqu’un pourrait effectivement se connecter hors-DHCP (mais il faut qu’il connaisse le mot de passe wifi). Je vais éditer l’article pour refléter cela.

    Merci :)

    Reply
  15. Ah merci Jason, je commencais a devenir fou :)

    Par contre, il peut etre utile de mentionner d’autres techniques comme le VPN, ou les regles de filtrage du routeur, pour securiser un peu plus le tout.

    Par exemple, pour les regles de filtrage, j’ai interdit aux IP du point d’acces WIFI a acceder au reseau local, ca peut limiter pas mal d’actions.
    Bon apres c’est toujours contournable, mais ca limite encore un peu plu les actions d’un Hacker.

    Quand a la partie VPN, la ca devient peut etre un poil complexe a mettre en oeuvre pour un particulier de base.

    Reply
  16. hello
    je trouve vos explication trés cohérente. Mais dés la première opération impossible de changer mon mot de passe admin / password, mon routeur refuse mes mots de passe, et ce quel que soit le nouveau mot de passe.
    Pouvez vous m’aider ??? merci d’avance

    Reply
    • Salut moi mon router est un D-Link 601 et quand jessaye de rentrer pour le sécuriser he bien jais pas le mot de passe et meme avec le liste que je trouve il n’y a pas mon model de routeur.. pouvez vous maider merci d’avance !

      Reply
      • Salut,

        Tu as essayé les différentes combinations user/password ? :
        – admin / admin
        – admin / password
        – user /admin
        – user / user
        – / admin
        – / private

  17. Souçis avec mon réseau Wifi.
    je suis relié à une Livebox par 2 PC.
    l) cable éternet (pas de problème)
    2) en Wifi, que j’ai configuré moi-même. A chaque démarrage de Windows (XP/SP2),
    la connexion sans fil se fait (WPA-SPK), mais pas avec Internet; je suis forcé d’utiliser “REPARER” pour avoir le Net.

    NB. “Phase Passe” est vide: est-ce normal?

    Reply
  18. Salut Alaind,

    La “phrase passe” doit normalement contenir la clé WiFi qui se trouve sur l’autocollant collé en-dessous de la Livebox : regardez ce tutoriel.

    Reply
  19. Salut Matt
    Merci pour ton conseil; je fonctionne normalement depuis cette modif.
    Je t’en suis d’autant plus reconnaissant que les autres forums ne m’ont jamais répondus. Je traine ce soucis depuis plusieurs mois.

    Reply
  20. bonjour ya t’il qlq’1 peux m’expliquer comment securisé la connection internet mobistar adsl max6 car ya d’autre personne qui se connecte sur mon reseaux en effet sa rallantir ma connection merci d’avance.
    ps: jetulise le cable pa le wifi

    Reply
  21. Bonjour Je viens de faire l’achat d’un portable et évidament d’un routeur !!! qui n’est pas sécurisé du tout et dont je ne savais pas alors j’ai contacté la compagnie qui m’a vendu mon portable et il me demande 100.00$ pour sécuriser mon routeur :-( Alors est ce qu’il est possible pour moi de le faire avec évidament de l’aide Merci à l’avance Mon routeur est de marque
    D-link au plaisir Chanel :-)

    Reply

Opinions