Sécuriser un routeur wifi: 5 mesures de sécurité à mettre en place immédiatement
Table des matières
Article invité et sponsorisé proposé par Simon du site Le-routeur-wifi
Le routeur WiFi est le cœur du réseau à la maison : c’est lui qui permet de connecter tous les appareils entre eux et à internet. Cependant, il n’est pas inviolable et comme tout bon « cœur » il peut même être un point faible s’il n’est pas correctement protégé !
Sécuriser un routeur Wifi
Je vous propose aujourd’hui de mettre en place quelques mesures de sécurité simples pour limiter les tentatives de connexion externes sur votre réseau… Chacune des solutions proposées est plus ou moins efficace pour protéger votre réseau, mais sachez tout de même qu’aucune ne permet une protection totale… Je vous décris ici l’utilité de chacune de ces mesures, je ne vous expliquerais pas cependant comment les mettre en pratique car cela dépend en grande partie de votre routeur WiFi.
1. Utilisez un VPN : Parcourez internet masqué !
Les VPN ou « Virtual Private Network » en Anglais, sont des outils permettant de connecter deux réseaux locaux différents par un protocole de tunnel. Ce tunnel semblera un simple lien point-à-point et un logiciel espion ne verra donc pas le tunnel.
Les VPN sont utilisés de deux manières différentes :
- Le VPN sur PC : Les VPN sur PC permettent d’encapsuler dans le tunnel toutes les données qui transitent sur le PC, ou alors, juste les données d’une application sélectionnée. Ce sont les VPN les plus utilisés aujourd’hui mais leurs limitations d’utilisation vont vite les rendre obsolètes.
- Le VPN sur routeur : Il est aussi possible d’installer un VPN directement sur votre routeur, la différence ? Le routeur peut appliquer l’utilisation du tunnel VPN pour TOUS les appareils connectés à la maison… Même ceux qui ne permettent pas l’installation directe d’un VPN (comme les montres connectées ou les consoles de salon).
Le VPN pour routeur permet donc une utilisation plus poussée et permet même d’utiliser un VPN sur des appareils ne le supportant pas : l’encapsulage des données se faisant maintenant au niveau du routeur et non plus de l’appareil, il suffit que l’appareil puisse se connecter à un routeur pour utiliser le VPN dessus.
Cela dit, remarque importante : le service VPN utilisé doit absolument être de confiance. Il est inutile d’utiliser un service additionnel qui traitera potentiellement des données confidentielles si celui-ci ne certifie pas une certaines sécurité des données.
2. Cacher le SSID réseau : Connectez-vous à un réseau fantôme !
Le SSID du réseau est le petit nom que vous pouvez lui donner pour le retrouver facilement au moment de vous connecter. Il est donc possible de le personnaliser pour faciliter son identification mais il est aussi possible de le cacher pour rendre le réseau plus difficile à repérer.
Si vous procédez à cette modification, le nom de votre réseau ne s’affichera plus dans la liste des « réseaux disponibles » lorsque vous essayez de connecter un nouvel appareil… Et c’est là tout l’intérêt de cette protection, car maintenant pour vous connecter au réseau vous allez entrer non seulement le mot de passe comme d’habitude, mais aussi entrer le SSID du réseau pour l’identifier.
Malheureusement comme je vous le disais en début d’article cette mesure n’est pas suffisante pour protéger votre réseau, il existe en effet des programmes appelés « sniffers » qui permettent de surveiller l’activité sur les réseaux à proximité. Avec un tel programme il est possible de récupérer le SSID du réseau et rendre cette protection supplémentaire caduque.
L’idée étant donc de gérer le nom SSID en plus des bonnes pratiques classiques : mot de passe puissant, etc.
3. Désactivez le DHCP : Le poste-frontière du routeur !
Le saviez-vous ? Dans votre routeur se trouve un programme remplissant le rôle de « poste-frontière » : le DHCP.
Un poste-frontière pour sécuriser un routeur wifi, comment ça ? Vous vous en doutez il n’y a pas de douaniers miniatures dans le boîtier, cependant il y a un programme appelé le DHCP (Dynamic Host Configuration Protocol) qui permet d’assurer la configuration automatique des paramètres IP des appareils connectés sur le réseau. Pour faire simple : Le DHCP distribue les adresses IP (indispensables pour naviguer sur internet) aux différents appareils connectés sur le réseau du routeur.
Mais si je le désactive, c’est l’espace Shengen et tout le monde entre et sort de mon réseau comme il veut, non ? En fait, pas du tout : c’est même l’inverse qui se produit… On ne peut pas utiliser son routeur sans un système pour distribuer les IP et désactiver le DHCP va suspendre l’attribution automatique des adresses IP, il va donc falloir que nous attribuions les adresses IP à la main.
Pour cela il faut faire la liste de TOUS les appareils que l’on veut connecter au réseau et on y associe une IP de la plage du routeur.
Vous voulez rendre la vie impossible aux hackers ? Mettez quelques caractères spéciaux bien Français dans votre SSID (EDIT: dans votre mot de passe, merci Mirabellette) «ç, à, é, è… » Ces caractères propres à la langue Française ont moins de chance de figurer dans les dictionnaires des pirates anglophones…
4. Filtrez les adresses MAC : Seuls vos appareils peuvent se connecter !
Chaque appareil connecté (capable d’utiliser internet) dispose d’une adresse MAC qui lui est propre pour l’identifier et l’autoriser ou lui bloquer la connexion internet.
Il existe une fonctionnalité sur tous les routeurs WiFi récents pour appliquer un filtre aux adresses MAC qui se connectent au réseau. Le principe est très simple : Vous récupérez les adresses MAC de tous les appareils qui vous voulez connecter à internet, Vous entrez la liste des adresses MAC dans la white-list du routeur et vous black-listez toutes les autres adresses MAC du réseau. Si une personne extérieure essaye de se connecter au réseau : son appareil est refusé. (EDIT: à condition de ne pas négliger le cas du MAC spoofing consistant à usurper l’adresse MAC, merci à Schwarzer)
J’avais mis en place cette sécurité supplémentaire chez moi, mais elle présente un inconvénient majeur : les invités. Étant donné que seuls VOS appareils sont autorisés à se connecter vous devrez ajouter une adresse MAC supplémentaire de la liste des appareils en White-List à chaque fois que quelqu’un veut se connecter chez vous. Pour plus de sécurité il faudra d’ailleurs supprimer l’adresse MAC de la liste des appareils autorisés une fois que votre invité aura terminé d’utiliser internet…
5. Baissez la puissance de votre routeur : Moins de WiFi pour une utilisation plus privée
Au fil de mes années d’étudiant j’ai passé pas mal de temps en résidence étudiante, avec un WiFi gratuit très approximatif et des connexions mal sécurisées de tous les côtés… Le paradis d’un jeune Geek à la recherche d’internet pas trop cher !
J’avais trouvé à l’époque une connexion complètement ouverte à laquelle me connecter pour profiter d’un débit bien plus confortable que la connexion gratuite de la résidence. En cherchant sa source je me suis rendu compte que c’était un voisin deux étages plus haut qui émettait le signal.
Tout ça pour vous faire comprendre qu’un routeur puissant c’est cool, mais encore faut-il savoir l’utiliser correctement.
Si vous vivez en résidence étudiante avec des murs aussi fins que ceux que j’avais, le signal WiFi n’aura aucun mal à les traverser pour se diffuser à plusieurs mètres autours de chez vous. Cela peut aussi se produire dans un appartement et même dans une maison si vous êtes proche de vos voisins !
Pour éviter ce problème il n’y a pas 36 solutions : on va brider notre routeur ! Dans les paramètres de la majorité des routeurs récents, il est possible de trouver un réglage pour la puissance de l’émission du WiFi. Pour montrer les performances avancées de leurs routeur, les constructeurs placent toujours cette valeur au maximum, mais ce n’est pas forcément le meilleur choix.
Une conclusion qui peut tout changer
Les bonnes pratiques sont certes des freins à un piratage ou certes des barrières de sécurité utiles. Mais le bon sens et la méfiance prévaudront toujours sur les outils ou mesures techniques que vous employez.
Dernière note importante, certains points peuvent également rendre le réseau plus difficile à utiliser lorsque vous avez des invités souhaitant se connecter à votre réseau. C’est le classique problème entre sécurité et ergonomie. À vous donc de faire le bon choix.
J’espère que cet article vous aura aidé à trouver les fonctionnalités de sécurité manquante ou à régler sur votre routeur pour naviguer l’esprit tranquille. Vous pouvez également observer les excellents commentaires ci-dessous pour obtenir plus de précisions sur certains points.
PS: Le réseau fait partie intégrante du hacking éthique, voici comment débuter en hacking.