Site icon IoT'era

Comment bien sécuriser son réseau Wi-Fi. Les clés pour bien se protéger

Sécuriser un réseau Wi-fi constitue une étape indispensable pour limiter les risques d’intrusions malveillantes ou de détournement de la connexion à Internet. Voici quelques exemples de méthodes à mettre en place.

Une sécurité indispensable

Comme en témoignent régulièrement les actualités, les risques liés aux connexions Wi-Fi sont bien réels. Malgré cela, de nombreux consommateurs négligent encore trop souvent la sécurité de leur réseau sans fil et ne modifient pas, par exemple, les identifiants fournis par les fournisseurs d’accès à Internet ou par les fabricants de routeurs. Contrairement aux idées reçues, craquer un réseau Wi-Fi mal sécurisé est aujourd’hui à la portée du plus grand nombre. Une multitude d’applications permettent de pirater une connexion sans aucune compétence technique. Même si le risque zéro n’existe pas, quelques mesures de précaution relativement simples permettent de limiter considérablement les risques. Ceux qui souhaitent aller encore plus loin peuvent ensuite camoufler leur connexion et toute leur activité numérique via des outils de sécurité dédiés tels qu’un routeur VPN.

Modifier le mot de passe par défaut et le SSID : les précautions d’usage

Pourquoi essayer de craquer des réseaux sans fil bien protégés, alors que quelques recherches permettent de trouver des réseaux Wi-Fi ouverts au tout venant ? Les spécialistes de la sécurité ne cessent de le répéter, la plupart des attaquants privilégient les cibles les plus faciles. Pour se rendre compte de l’état de sécurité absolument catastrophique qui règne dans certains foyers et entreprises, il suffit de se rendre sur le moteur de recherche Shodan. Ce service spécialisé dans la recherche d’objets connectés sur Internet permet également de trouver des routeurs visibles sur le réseau. Il référence les dispositifs mal sécurisés avec des identifiants souvent laissés par défaut tels que admin/admin, admin/password, etc. Par ailleurs, les attaquants peuvent facilement se procurer sur le Web des équipements spécialisés pour scanner des réseaux Wi-Fi à distance ainsi que des applications pour craquer leurs mots de passe. Arnaud Cassagne, Directeur des opérations de Newlode, nous a dévoilé quelques-unes de ces applications : « Parmi les outils utilisés par les hackers pour attaquer des réseaux Wi-Fi figurent NetStumbler qui permet de trouver des réseaux ouverts, Aircrack et AirSnort qui servent quant à eux à cracker les clés WEP et WPA, et enfin Airjack permettant de faire des dénis de services sur des réseaux Wi-Fi. »

Fort de ce constat, il convient d’abord de modifier immédiatement les identifiants (login et mot de passe) fournis par défaut. Facilement récupérables sur Internet, ces identifiants permettent ni plus ni moins d’accéder à l’interface administrateur et de prendre le contrôle total d’un routeur. Il est donc vivement conseillé de définir un mot de passe complexe combinant une série de lettres, de chiffres et de caractères spéciaux. L’une des astuces consiste à composer une phrase facile à se rappeler avec différents caractères : « Mai$Qu1V@ALa? », par exemple. Mieux vaut également brouiller les pistes en changeant le nom du réseau (SSID) par défaut et mettre un nom qui ne soit pas identifiable (par exemple web_surf, Mabox…). Afin de compliquer la tâche d’éventuels attaquants, il est possible de masquer la diffusion du SSID via les paramètres du routeur afin qu’il ne soit pas visible dans le voisinage.

Le moteur de recherche d’objets connectés Shodan (©Shodan)

Sélectionner un protocole de sécurité fiable : activer un chiffrement complexe

Depuis de nombreuses années, les experts conseillent de délaisser le vieux protocole de chiffrement WEP au profit du WPA2 ou idéalement du WPA3 si tant est qu’il soit disponible. Longtemps considérée comme la meilleure protection Wi-Fi, le WPA2 lancé en 2014 a pris du plomb dans l’aile suite à la découverte de failles de sécurité critiques, dont celle baptisée Krack qui permettait de prendre le contrôle d’un réseau Wi-Fi à distance et d’y insérer une charge malveillante. Même si les fabricants se sont empressés de colmater la brèche, la Wi-Fi Alliance (l’organisme en charge des protocoles Wi-Fi) s’est empressé d’accélérer le développement du nouveau protocole WPA3. Lancé officiellement au mois de juin 2018, le WPA3 est déployé progressivement sur les routeurs certifiés. Plus simple à configurer, ce protocole dispose de nouvelles fonctionnalités de sécurité censées rendre les réseaux Wi-Fi inviolables, y compris ceux comportant des mots de passe faibles.

Dans tous les cas de figure, il est indispensable d’activer l’un de ces deux protocoles via les options de sécurité de l’interface de l’administration de la box ou du routeur. De cette manière, les informations échangées sur le réseau, comme le mot de passe, sont chiffrées et a priori inviolables. Il est important d’instaurer un mot de passe complexe de 10 à 12 caractères minimum et de le changer régulièrement. Sans oublier de toujours faire les mises à jour pouvant contenir d’importants correctifs de sécurité.

Les options de l’interface d’administration du routeur Orbi de Netgear (©Netgear)

Utiliser le filtrage MAC : contrôler chaque appareil connecté

À l’heure où les équipements connectés au réseau sans fil se multiplient dans les foyers, cette mesure de sécurité n’est pas vraiment la plus pratique à mettre en place. Le filtrage MAC (Media Access Control) consiste à sélectionner un à un les équipements que l’on souhaite autoriser à se connecter au réseau Wi-Fi. Chaque dispositif équipé d’une interface réseau (ordinateur, smartphone, tablette, imprimante, enceinte connectée…) possède en effet une adresse MAC unique. Les routeurs disposent d’une option pour filtrer ces adresses afin de définir les équipements qui peuvent se connecter au réseau sans fil. Les équipements ne figurant pas dans la liste des adresses MAC autorisées ne peuvent pas accéder au réseau.

Créer un réseau Wi-Fi invité : protéger l’accès à ses données personnelles

Créer un réseau Wi-Fi fait trop rarement partie des conseils sur les mesures de sécurité à prendre pour protéger un réseau Wi-Fi. Il s’agit pourtant d’une mesure de précaution essentielle, car le code Wi-Fi du routeur ne permet pas seulement d’accéder à Internet, mais potentiellement à tous les contenus stockés sur les ordinateurs, NAS et autres disques durs connectés au réseau. La majorité des box des FAI (Freebox Delta/Revolution, Livebox Orange, etc.) dispose aujourd’hui d’une option permettant de créer un réseau Wi-Fi indépendant dédié aux invités avec sa propre clé WPA2 ou WPA3. Il faut également veiller à configurer le réseau invité de façon à ce qu’il soit limité à l’accès à Internet. Pour cela, il faut désactiver l’accès au réseau local dans les paramètres du routeur.

Depuis début 2018, la Freebox Revolution permet de créer un réseau invité (©Freebox OS)

Désactiver le WPS : une option potentiellement dangereuse

Le WPS (Wi-Fi Protected Setup ou Paramètre de Protection Wi-Fi en français) est une fonctionnalité pratique pour connecter rapidement de nouveaux équipements au réseau Wi-Fi. L’une des méthodes de connexion les plus courantes consiste à appuyer en même temps sur le bouton physique « WPS » du routeur et le bouton physique ou virtuel de l’appareil à ajouter pour l’appairer automatiquement au réseau Wi-Fi. Selon les équipements, la liaison peut être établie par le biais d’un code PIN à saisir, une connexion en champ proche NFC, ou encore une clé USB contenant les données de connexion.

Ce mode de connexion souffre toutefois d’une mauvaise réputation en termes de sécurité, car le signal peut-être relativement simple à intercepter pour un attaquant aguerri. Des failles de sécurité critiques permettant de craquer les mots de passe Wi-Fi via le WPS avaient notamment été découvertes sur les box d’Orange et SFR. Pour limiter les risques, il faut toujours vérifier que le WPS est éteint par défaut.

Installer un serveur ou un routeur VPN : verrouiller complètement un réseau Wi-Fi !

Installer un serveur VPN (Virtual Private Network) directement sur un routeur ou une box constitue sans doute la meilleure façon de protéger un réseau local. Cette méthode réservée aux utilisateurs avancés permet de chiffrer l’ensemble des données qui transitent par les équipements de la maison, y compris les objets connectés ne pouvant pas gérer nativement un VPN. Une fois n’est pas coutume, Free a été le premier opérateur à proposer une option pour créer un serveur VPN permettant ensuite d’y connecter tous les équipements du foyer. Pour ce faire, il est vivement conseillé de souscrire à un abonnement VPN payant auprès d’un fournisseur connu et reconnu comme ExpressVPN, NordVPN, Vypr.VPN, ou HideMyHass, par exemple. Mieux vaut éviter les VPN gratuits qui n’offrent aucune garantie et qui sont susceptibles de collecter illégalement toutes les données qui transitent par leurs serveurs. Les services gratuits se révèlent par ailleurs beaucoup trop lents pour gérer les connexions de plusieurs appareils.

ExpressVPN propose des routeurs préconfigurés permettant de protéger tous les équipements connectés au réseau Wi-Fi (©ExpressVPN)

Longtemps réservés aux entreprises, les routeurs VPN commencent seulement à se démocratiser auprès du grand public. ExpressVPN est l’un des premiers fournisseurs à proposer des routeurs préconfigurés. Il propose de puissants routeurs Asus, Linksys ou Netgear avec son application ExpressVPN préinstallée (à partir de 220 €). Ce service offre une connexion sans fil stable et sécurisée grâce notamment à un système de reconnexion automatique. D’une manière générale, les principaux fournisseurs de VPN offrent des débits de plus en plus rapides, proches de ceux de la connexion d’origine. Cette solution ultime n’est pas donnée, mais elle offre sans aucun doute le plus haut niveau de sécurité possible pour un réseau Wi-Fi privé.

Source lesnumeriques.com: https://www.lesnumeriques.com/vie-du-net/comment-bien-securiser-son-reseau-wi-fi-a4279.html

Quitter la version mobile