Les réseaux WiFi sont devenus monnaie courante, mais ils s’accompagnent de nombreux risques pour la sécurité : un attaquant peut avoir accès à votre réseau domestique, ainsi qu’aux appareils qui y sont connectés et au trafic qu’il génère. Une personne malveillante peut mener son attaque en toute discrétion, à distance. Cependant, changer votre clé réseau n’est pas le seul moyen d’améliorer la sécurité de votre réseau WiFi. Voici quelques suggestions pour renforcer les défenses de votre réseau contre d’éventuelles brèches.
QUOI QUE VOUS FASSIEZ, LA SÉCURITÉ DU WIFI EST LIMITÉE.
Le premier conseil est de ne pas espérer pouvoir protéger complètement votre réseau WiFi contre les attaques. Cette technique pose plusieurs problèmes. Pour commencer, elle fonctionne avec des ondes qui traversent les murs, le signal est donc disponible dans toute la maison, ce qui est très utile si vous vivez dans un appartement en ville.
Le deuxième problème est que le cryptage n’est plus une méthode de protection infaillible. Sur certains routeurs non mis à jour, des faiblesses connues et bien documentées (notamment WPS) permettent d’accéder aux réseaux sans fil sans même essayer de deviner la clé. Les cryptages WEP et WPA sont désormais extrêmement simples à casser. La sécurité du cryptage WPA2 est également compromise depuis l’année dernière.
Depuis lors, la WiFi Alliance a annoncé le cryptage WPA3, qui devrait permettre de reprendre pied contre les pirates. Cependant, les routeurs et les appareils compatibles WPA3 en général sont encore peu courants. Quoi qu’il en soit, nous nous attendons à ce que les pirates trouvent un nouveau moyen de le faire tôt ou tard…
La première étape pour améliorer la sécurité de votre réseau WiFi est d’améliorer la sécurité de ce qui est le plus vulnérable au piratage, à savoir la sécurité des appareils qui s’y connectent. Par conséquent, il est important d’avoir un pare-feu sur votre ordinateur plutôt que de compter sur celui de votre routeur.
CONSEILS DE BASE SUR LES MOTS DE PASSE, LA SÉCURITÉ…
Commençons par quelques conseils de base qui, malheureusement, ne sont pas toujours suivis. Passez directement aux suggestions plus sophistiquées et/ou aux approches que nous ne recommandons pas si vous les connaissez déjà.
POUR VOTRE RÉSEAU WIFI, CHOISISSEZ UN MOT DE PASSE FORT
Dans la plupart des cas, votre réseau WiFi est géré par la box de votre opérateur. Dans la plupart des cas, cela implique que votre opérateur vous a déjà fourni une clé de connexion complexe que vous n’avez pas besoin de mettre à jour. A moins que votre box ne se trouve dans une zone publique et que vous ne souhaitiez pas que n’importe qui puisse se connecter au code figurant sur l’étiquette de la box.
Dans tous les cas, trouvez quelque chose qui soit à la fois mnémotechnique et sécurisé si vous le modifiez. Dans cet article, nous allons vous montrer comment choisir des mots de passe plus sûrs. L’un d’eux consiste à créer des mots de passe qui sont des phrases (groupes de mots pouvant être prononcés) plutôt qu’un ensemble de chiffres, de lettres et de caractères spéciaux.
CHOISISSEZ LE CRYPTAGE LE PLUS PUISSANT COMPATIBLE AVEC VOS APPAREILS
En général, tous les routeurs prennent en charge les algorithmes de cryptage suivants (le plus sûr d’entre eux est indiqué en gras) :
- WEP 64 bits
- WEP 128 bits
- WPA-PSK (TKIP)
- WPA-PSK (AES)
- WPA2-PSK (TKIP)
- WPA2-PSK (AES)*
- WPA/WPA2-PSK (TKIP+AES)
- WPA3
Il s’agit du cryptage le plus fort sur la plupart des routeurs, et non de celui qui le suit immédiatement, comme le croient à tort de nombreux consommateurs. Cette approche est désormais disponible sur divers appareils :
WEP (Wired Equivalent Privacy) est la méthode de cryptage la plus utilisée, et c’est presque aussi mauvais que de laisser votre réseau sans protection (que ce soit dans sa version 64 ou 128 bits). C’est une technique qu’il faut éviter à tout prix.
Le WPA (Wi-Fi Protected Access) est un ensemble de normes de sécurité pour les réseaux sans fil. Le WPA a été rapidement remplacé par le WPA2, et la WiFi Alliance vient de lancer le WPA3 suite à la révélation de graves faiblesses dans le protocole. Le problème est que cette dernière technologie n’en est encore qu’à ses débuts.
Le protocole WPA utilise toujours le mécanisme de cryptage TKIP, qui est dépassé.
L’armée, entre autres, utilise AES comme norme de cryptage puissante.
Contrairement à l’opinion générale, le mode WPA/WPA2-PSK (TKIP+AES) de votre routeur n’est pas le mode le plus sûr qui soit. Pour une meilleure interopérabilité, il s’agit d’un mode hybride qui combine les deux versions de protocoles et de cryptage WPA (TKIP et AES). Il permet cependant aux pirates d’exploiter les failles du protocole WPA I, sachant que le protocole WPA 2 est également vulnérable. Il permet également l’utilisation de TKIP, qui est une option de cryptage moins sûre que l’AES.
Par conséquent, si vos appareils le prennent en charge, nous vous recommandons de configurer votre routeur en mode WPA2-PSK (AES). Car le WPA3 est encore présent.
CHANGER LE NOM DE VOTRE RÉSEAU SSID
Votre box internet diffuse par défaut un nom qui révèle son origine. Si vous avez une Livebox, par exemple, le nom de votre réseau WiFi par défaut sera Livebox-F986. Chaque opérateur a son propre nom, ce qui constitue une information utile pour un pirate qui tenterait d’exploiter une faille dans votre équipement : s’il s’agit d’une Bbox, Livebox, Freebox ou SFRbox, il ne reste plus qu’à tester les vulnérabilités des versions les plus récentes.
Pourquoi ne pas plutôt chercher à rendre tout le monde perplexe ? Choisissez un nouveau nom, qu’il s’agisse d’un nom sans rapport ou d’un nom qui ressemble à celui de la box d’un autre opérateur. Cela ne renforcera pas réellement votre sécurité, mais cela fera certainement perdre du temps à un pirate potentiel.
VOTRE ROUTEUR DOIT ÊTRE MAINTENUE À JOUR
S’il existe des vulnérabilités, il va de soi que les fabricants vont les corriger et fournir des mises à jour régulières. Cependant, tous les modèles ne reçoivent pas automatiquement la mise à jour. Par conséquent, vous devrez vous connecter à votre espace d’administration.
SUGGESTIONS POUR SÉCURISER VOTRE RÉSEAU WIFI
En plus de suivre les directives de base, vous pouvez prendre des mesures supplémentaires pour améliorer la sécurité de votre réseau et réduire les risques d’attaque.
DÉSACTIVER LE WPS
Le WPS (Wi-Fi Protected Setup) est une technologie de la Wi-Fi Alliance qui facilite la connexion d’un appareil à un réseau Wi-Fi. Elle comprend un bouton physique sur le routeur sur lequel vous appuyez pour confirmer le couplage d’un appareil au réseau Wi-Fi, remplaçant ainsi le mot de passe. Cependant, il existe plusieurs méthodes de connexion WPS parmi lesquelles choisir. L’une d’entre elles est basée sur un code PIN à huit chiffres – généralement 12345678 sur les anciens appareils – qui a été défini en usine.
Cependant, les appareils ultérieurs dotés de techniques de connexion WPS alternatives présentent également des problèmes. En 2017, une attaque sur le protocole a été démontrée sur les Livebox 2 et 3 ainsi que sur les Neufbox 4, 6 et 6V. Le problème était préoccupant car tout ce qu’un attaquant avait à faire pour établir une connexion était de fournir un code PIN vide. Il suffit de le désactiver à l’aide de l’interface d’administration de votre routeur si vous ne l’utilisez pas (de nombreuses personnes ignorent l’existence de cette fonction).
CACHER le SSID (SERVICE SET IDENTIFIER)
Pour aller plus loin, vous pouvez choisir une technique qui rendra votre réseau aussi discret que possible dans un environnement déjà encombré de réseaux WiFi. L’une des solutions consiste à masquer le nom du réseau SSID. Cela signifie qu’il n’apparaîtra pas dans la liste des réseaux sans fil disponibles sur les ordinateurs, les téléphones portables ou les tablettes.
Il est toujours possible de détecter la présence d’un réseau masqué à l’aide d’outils spécialisés, mais cela complique la pénétration de votre réseau sans fil car il faut connaître le nom et la clé du réseau pour s’y joindre. Cela ne doit pas être considéré comme une véritable mesure de sécurité. Il s’agit, au mieux, d’une pierre d’achoppement qui fera perdre du temps à un pirate.
Vous devez maintenant entrer manuellement votre nom, votre norme de sécurité et votre clé pour vous connecter à votre réseau.
DIMINUER LA PUISSANCE DU SIGNAL ET, PAR CONSÉQUENT, LA PORTÉE.
Malheureusement, tous les routeurs ne le permettent pas, mais diminuer la puissance du signal WiFi est l’un des meilleurs moyens de rendre votre réseau moins vulnérable aux agressions. Comme la connexion est plus faible, se connecter au-delà de vos murs devient considérablement plus difficile.
De même, si vos appareils s’y prêtent, choisissez un seul réseau WiFi 5GHz (et désactivez le réseau 2,4 GHz) : plus on monte dans le spectre des ondes radio, plus le signal est facilement bloqué par les murs. Lorsque vous quittez votre domicile pour une période prolongée, par exemple lorsque vous partez en vacances, nous vous recommandons également de désactiver le réseau WiFi dans la mesure du possible.
DE TEMPS EN TEMPS, VÉRIFIEZ LA LISTE DES APPAREILS CONNECTÉS.
Vérifiez de temps en temps la liste des appareils connectés sur les pages de gestion de votre routeur. Assurez-vous que tous les appareils figurent sur la liste de ceux qui sont autorisés. Pour ce faire, vous pouvez utiliser l’adresse MAC de vos appareils, entre autres, pour deviner la marque de l’appareil. Vous pouvez obtenir beaucoup d’informations à partir des adresses MAC en utilisant ce site : macvendors.com
POUR L’ADMINISTRATION DU ROUTEUR, CHOISISSEZ UN LOGIN / MOT DE PASSE DIFFÉRENT.
Supposons qu’un intrus accède à votre réseau à votre insu et modifie la configuration du routeur pour réduire les risques d’être découvert ou pour lancer un assaut. C’est pourquoi, même si l’interface de contrôle du routeur n’est accessible que depuis votre réseau, il est fortement recommandé de changer le login et le mot de passe par défaut. Si le login/mot de passe en question est Admin/Password (malheureusement, c’est généralement cela ou quelque chose de similaire), changez-le immédiatement.
NOUS NE RECOMMANDONS PAS LES MÉTHODES COMPLIQUÉES
En dehors de cela, il existe certaines méthodes que nous avons vues ailleurs sur Internet et qui doivent être évitées parce qu’elles compliquent inutilement l’utilisation du réseau WiFi (et sont donc susceptibles d’être abandonnées rapidement) et/ou parce qu’elles n’améliorent pas réellement la sécurité de votre réseau WiFi, à part rendre votre connexion moins stable.
OUBLIEZ LE FILTRAGE D’ADRESSES MAC
Bien que le filtrage d’adresses Mac soit fréquemment suggéré, il est à éviter pour deux raisons. La première, et certainement la plus cruciale, est que cette adresse, prévue à l’origine comme une sorte de tatouage électronique, peut être manipulée. Ainsi, un intrus peut utiliser la force brute pour identifier les adresses Mac autorisées et se faire passer pour un appareil légitime.
La seconde est que si vous avez des visiteurs, vous devrez obtenir leur adresse Mac et les ajouter à la liste des appareils autorisés avant qu’ils puissent se connecter au WiFi. Nous sommes prêts à parier que vous ne vous amuserez pas pendant plus de deux minutes !
INSTALLATION D’UN VPN SUR LE ROUTEUR DE LA MAISON
Nous avons vu des conseils pour installer un VPN sur votre routeur dans d’autres dossiers sur le sujet. Nous pensons que cette recommandation est une mauvaise interprétation d’une autre recommandation plus sensée : utilisez un VPN lorsque vous vous connectez à des réseaux WiFi publics. Les attaques de type « Man-in-the-middle » sont rendues plus difficiles par le cryptage du trafic entre votre machine et le reste de l’internet.
Mais à la maison, nous parlons d’un réseau privé, où la menace d’une telle attaque est en fait très minime (surtout si vous suivez les conseils ci-dessus). En outre, la mise en place d’un réseau VPN sur votre routeur (plutôt que sur vos appareils) n’offrirait aucune sécurité à votre réseau WiFi, si ce n’est celle de vous permettre de vous connecter à Netflix US sur tous vos appareils dans la maison.
Enfin, après l’avoir testé sur de nombreux modèles de routeurs (notamment Netgear avec firmware Voxel ou DD-WRT…), il a tendance à rendre la connexion peu fiable, avec des coupures fréquentes de plusieurs minutes. Vous risquez alors de devenir l’un des membres les plus méprisés de votre famille, connu comme celui « qui ruine toujours la connexion internet.
