Sommaire
Homme consultant les paramètres de sécurité WiFi sur un ordinateur portable dans un bureau à domicile

Sécurité wifrad : paramètres, vérifications et réflexes à adopter

Web & Tech

On branche une box, on connecte tous les appareils de la maison, et on n’y pense plus. Jusqu’au jour où un voisin se retrouve sur le réseau, ou qu’un poste affiche un comportement bizarre. La sécurité wifi repose sur des paramètres précis, pas sur des habitudes vagues. Voici les réglages, vérifications et réflexes concrets pour verrouiller un réseau domestique ou de petite structure.

Chiffrement wifi : WPA3, WPA2-AES et ce qu’on laisse activé par erreur

Le premier réflexe quand on accède à l’interface d’administration de sa box ou de son routeur, c’est de vérifier le type de chiffrement actif. Beaucoup de box livrées par les opérateurs restent configurées en WPA2-TKIP, voire en mode mixte WPA/WPA2. Ce sont des configurations héritées, moins robustes.

A lire aussi : ENT Unicaen : connexion à l'Université de Caen

Le minimum à exiger aujourd’hui est le WPA2-AES. Si le routeur le propose, on passe directement en WPA3, qui renforce l’échange de clés et complique les attaques par dictionnaire. Sur les box récentes (livrées depuis deux ou trois ans), l’option est souvent disponible dans les paramètres avancés du wifi.

Un point souvent négligé : le WPS doit être désactivé. Ce protocole de connexion simplifiée par bouton ou code PIN est devenu une surface d’attaque documentée. Des méthodes d’exploitation récentes, présentées dans des conférences de sécurité, ont confirmé la faiblesse structurelle du WPS. Sur la plupart des interfaces d’administration, la désactivation se fait en une case à décocher.

A lire en complément : Comment espionner un portable à distance sans rien dépenser

Femme vérifiant les appareils connectés à son réseau WiFi depuis une application de sécurité sur smartphone

Paramètres de la box à vérifier après l’installation wifi

Une box neuve ou un routeur fraîchement installé embarque des réglages par défaut qui ne sont pas pensés pour la sécurité. On prend l’habitude de les passer en revue dès la mise en service.

Mot de passe du réseau wifi

Le mot de passe wifi imprimé sur l’étiquette de la box est connu de quiconque a accès physiquement à l’appareil. On le remplace par une phrase de passe longue, facile à retenir mais difficile à deviner. Un minimum de douze caractères, avec majuscules, chiffres et un caractère spécial, reste la recommandation standard.

Mot de passe d’administration de la box

On l’oublie presque systématiquement. L’accès à l’interface d’administration (souvent 192.168.1.1 ou 192.168.0.1) est protégé par un identifiant générique type admin/admin. Changer ce mot de passe empêche toute modification non autorisée des paramètres réseau, DNS ou pare-feu.

Nom du réseau (SSID)

Garder le SSID par défaut (du type « Livebox-A3F2 » ou « Freebox-xyz ») donne des informations sur le modèle de box utilisé. On le renomme avec un nom neutre, sans indication de marque, d’adresse ou de nom de famille.

Filtrage MAC et réseau invité

Le filtrage par adresse MAC n’est pas une protection forte (une adresse MAC se falsifie), mais il ajoute une couche. Plus utile : activer le réseau wifi invité pour isoler les appareils de passage. Les objets connectés (caméras, assistants vocaux) gagnent aussi à être placés sur ce réseau secondaire, séparé du réseau principal où circulent les données sensibles.

Attaque par point d’accès wifi cloné : le piège en mobilité

En dehors du domicile, le risque change de nature. Les bilans de réponse à incident publiés par des CERT privés et des opérateurs télécom signalent une augmentation significative des attaques par point d’accès wifi jumeau malveillant (evil twin) dans les gares, aéroports, hôtels et espaces de coworking.

Le principe est simple : un attaquant crée un réseau wifi portant le même nom qu’un hotspot légitime. Le téléphone ou l’ordinateur s’y connecte automatiquement si la mémorisation des réseaux est activée. L’attaquant intercepte alors le trafic, y compris les identifiants de messagerie ou de VPN.

Les réflexes à adopter en mobilité :

  • Désactiver la connexion wifi automatique aux réseaux ouverts dans les paramètres du téléphone et de l’ordinateur
  • Supprimer régulièrement les réseaux wifi mémorisés qu’on n’utilise plus (cafés, hôtels, salons)
  • Utiliser un VPN dès qu’on se connecte à un réseau public, même s’il semble connu
  • Vérifier auprès de l’établissement le nom exact du réseau wifi avant de s’y connecter

Vue de dessus d'un routeur WiFi entouré d'une checklist de sécurité réseau annotée à la main sur un bureau

Vérifications périodiques sur un réseau wifi domestique

Configurer correctement un réseau ne suffit pas si on ne revient jamais dessus. Quelques vérifications régulières permettent de repérer une anomalie avant qu’elle ne devienne un problème.

La liste des appareils connectés est accessible depuis l’interface d’administration de la box. On la consulte une fois par mois pour repérer un appareil inconnu. Un nom de périphérique qu’on ne reconnaît pas mérite une investigation rapide (et, dans le doute, un changement de mot de passe wifi).

Les mises à jour du firmware de la box ou du routeur corrigent des failles de sécurité. La plupart des opérateurs poussent ces mises à jour automatiquement, mais certains routeurs tiers nécessitent une action manuelle. On vérifie la version du firmware dans les paramètres système.

Autre point négligé : le pare-feu intégré à la box. Il est activé par défaut chez la majorité des opérateurs, mais des règles de redirection de ports ouvertes pour un usage ponctuel (jeux en ligne, serveur temporaire) restent parfois actives des mois après. Chaque port ouvert inutilisé est une porte d’entrée potentielle.

Réflexes en cas de comportement suspect sur le réseau wifi

Un ralentissement inhabituel, des déconnexions répétées ou un appareil qui apparaît puis disparaît de la liste des connexions : ces signaux faibles ne doivent pas être ignorés.

La première action est de changer immédiatement le mot de passe wifi. Cela déconnecte tous les appareils, y compris un éventuel intrus. On en profite pour vérifier que le chiffrement est toujours en WPA2-AES ou WPA3, et que le WPS n’a pas été réactivé par une mise à jour.

Si le doute persiste, on consulte les journaux de connexion de la box (disponibles sur certains modèles) et on contacte le support de l’opérateur. Les retours varient sur ce point selon les opérateurs, certains fournissant des logs détaillés, d’autres non.

Sécuriser un réseau wifi n’exige pas de compétences avancées, mais demande de la rigueur sur quelques paramètres précis. Le chiffrement, les mots de passe, la séparation des réseaux et la vigilance en mobilité forment un socle solide. Le plus efficace reste de bloquer trente minutes après chaque installation ou changement de matériel pour passer en revue chaque réglage, plutôt que de découvrir un problème après coup.