Votre réseau wifi, c’est la porte d’entrée numérique de votre maison. Sauf que contrairement à la porte d’entrée physique, la plupart des gens ne pensent jamais à la verrouiller correctement. Ils branchent leur box, tapent le mot de passe collé dessous sur une étiquette, et voilà, c’est parti pour des années sans y retoucher. Vous voyez le problème.
| Priorité absolue | Changer le mot de passe par défaut de votre box dès l’installation |
| Protocole recommandé | WPA3 si votre box le supporte, WPA2-AES au minimum |
| À désactiver | Le WPS et l’administration à distance, deux portes d’entrée inutiles |
| Réseau invité | Indispensable pour les visiteurs ET pour vos objets connectés |
| Erreur classique | Garder le nom de réseau par défaut (Livebox-XXXX, Freebox-XXXX) qui identifie votre matériel |
| Bonne habitude | Vérifier régulièrement les appareils connectés à votre réseau |
Pourquoi sécuriser son wifi est devenu aussi important que fermer sa porte à clé ?
Je sais ce que vous pensez. « Je suis dans un pavillon en zone pavillonnaire, qui voudrait pirater mon wifi ? » La réponse honnête : probablement pas un hacker professionnel qui cible spécifiquement votre maison. Mais un voisin qui cherche à se connecter gratuitement, un adolescent du quartier qui teste ses premières bidouilles, ou un individu mal intentionné qui cherche une connexion anonyme pour des activités qu’il préfère ne pas faire avec la sienne, ça, c’est une réalité beaucoup plus courante qu’on ne le croit.
Et le problème, c’est que quand quelqu’un accède à votre réseau wifi, il ne se contente pas de consommer votre débit. Il peut potentiellement intercepter ce qui circule dessus, accéder à vos fichiers partagés, ou dans le pire des cas, utiliser votre connexion pour des activités illégales dont vous porteriez la responsabilité. C’est là que ça devient sérieux.
Je me souviens d’un dossier un peu particulier, lors d’une réunion de coordination avec un bailleur social de la région lyonnaise. Un locataire s’était retrouvé avec une facture de dépassement de données aberrante et une convocation de son FAI pour des téléchargements illicites qui n’étaient pas les siens. Son réseau wifi était ouvert, au sens littéral du terme : aucun mot de passe, aucun chiffrement. N’importe qui dans l’immeuble pouvait s’y connecter. L’affaire a été réglée, mais la frayeur a été réelle.
Les bases pour sécuriser son wifi : par où commencer concrètement
Tout commence par l’interface d’administration de votre box. C’est une page web accessible depuis votre navigateur en tapant une adresse IP locale, généralement 192.168.0.1 ou 192.168.1.1 selon votre opérateur. C’est là que se pilote tout ce qui concerne la sécurité de votre réseau.
La première action, et de loin la plus importante : changer le mot de passe wifi par défaut. Celui imprimé sous votre box est souvent long et compliqué, ce qui est bien. Mais il est aussi identique pour tous les appareils du même modèle sortis de la même série, et des listes de ces mots de passe par défaut circulent librement sur internet. Créez un mot de passe personnel d’au moins 16 caractères, mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Notez-le quelque part de physique, pas uniquement dans votre téléphone.
Deuxième action : vérifier votre protocole de chiffrement. Le chiffrement, c’est le système qui encode les données échangées entre vos appareils et votre box pour que personne de l’extérieur ne puisse les lire. Les protocoles à connaître :
- WEP : à bannir absolument, il date du début des années 2000 et se contourne en quelques minutes avec des outils disponibles gratuitement
- WPA et WPA2 : le WPA2 reste correct si vous choisissez l’option AES (et non TKIP, plus ancien)
- WPA3 : le standard actuel, le plus robuste, résistant aux attaques par force brute (quand un programme essaie des milliers de combinaisons jusqu’à trouver le bon mot de passe)
Si votre box est récente, elle propose très probablement le WPA3 ou un mode mixte WPA2/WPA3, ce qui permet aux appareils plus anciens de continuer à fonctionner. C’est l’option à choisir en priorité.
Troisième action : changer le nom de votre réseau. Le SSID, c’est-à-dire le nom visible par tout le monde autour de vous, ne doit pas permettre d’identifier votre opérateur ni votre modèle de box. « Livebox-3A2F » ou « Freebox-Dupont » sont de mauvaises idées. Le premier indique le modèle exact à un éventuel attaquant qui peut alors chercher les failles spécifiques à cet équipement. Le second indique votre nom. Choisissez quelque chose de neutre et de non identifiable.
Désactiver ce qu’il faut désactiver
Votre box est livrée avec des fonctionnalités activées par défaut qui simplifient la vie mais fragilisent la sécurité. Deux méritent une attention particulière.
Le WPS (Wi-Fi Protected Setup) est une fonction qui permet de connecter un appareil à votre réseau en appuyant simplement sur un bouton de la box, sans saisir de mot de passe. Pratique à première vue. Sauf que cette fonction utilise un code PIN de 8 chiffres qui peut être trouvé par force brute en quelques heures. Désactivez-le, tout simplement. La manipulation se fait dans les paramètres wifi de votre interface d’administration.
L’administration à distance permet de gérer votre box depuis l’extérieur de votre réseau domestique, via internet. Si vous n’avez pas de raison technique précise d’en avoir besoin, désactivez cette option. Elle crée une exposition inutile.
Le réseau invité : l’outil que tout le monde devrait utiliser
C’est probablement la fonctionnalité la moins connue et la plus utile pour sécuriser son wifi au quotidien. Un réseau invité, c’est un second réseau wifi distinct du vôtre, qui donne accès à internet mais qui est totalement isolé de vos appareils personnels. Vos invités se connectent dessus, ils naviguent, ils regardent leurs vidéos, et ils ne peuvent pas accéder à votre ordinateur, votre NAS (disque dur réseau, si vous en avez un), ni à aucun de vos fichiers.
Ce que beaucoup de gens ne savent pas, c’est que le réseau invité n’est pas uniquement fait pour les visiteurs humains. Il est aussi idéal pour y connecter tous vos objets domotiques, ampoules connectées, prises intelligentes, thermostats, caméras. Ces appareils sont souvent les maillons les plus faibles en termes de sécurité : ils reçoivent rarement des mises à jour, leurs firmwares (le logiciel interne de l’appareil) peuvent contenir des failles non corrigées. En les isolant sur un réseau séparé, vous limitez considérablement les risques qu’une faille dans une ampoule connectée puisse compromettre votre ordinateur.
À LIRE AUSSI : Système domotique : ce qu’il faut savoir avant de se lancer
Sur un chantier de réhabilitation en Île-de-France, j’avais discuté avec un technicien qui installait des équipements domotiques dans une résidence. Il m’avait expliqué qu’il refusait systématiquement de connecter les objets connectés au réseau principal des copropriétaires, justement pour cette raison. « Un thermostat piraté, ça ne fait pas chauffer plus fort. Mais ça peut ouvrir une porte sur tout le reste du réseau. » Je n’avais rien à ajouter.
Surveiller ce qui se passe sur votre réseau
Une fois les réglages de base effectués, une bonne habitude consiste à regarder de temps en temps la liste des appareils connectés à votre box. Cette liste est accessible dans l’interface d’administration, souvent sous un intitulé comme « appareils connectés » ou « clients réseau ».
Voici ce qu’il faut faire :
- Identifier chaque appareil de la liste et vérifier qu’il vous appartient bien
- Repérer des noms inconnus ou des appareils avec des noms génériques bizarres
- En cas de doute, changer immédiatement votre mot de passe wifi
Des applications gratuites comme Fing permettent de faire ce scan depuis votre smartphone en quelques secondes et d’avoir une vue claire de tout ce qui est connecté à votre réseau.
Et n’oubliez pas les mises à jour du firmware de votre box. Les grandes box françaises (Livebox, Freebox, BBox, SFR Box) se mettent généralement à jour automatiquement. Mais si vous avez un routeur additionnel ou un répéteur wifi, vérifiez manuellement que son logiciel interne est à jour. C’est souvent là que les failles s’accumulent sans qu’on y fasse attention.
Votre wifi, c’est comme le double de clés de votre maison : vous savez combien vous en avez donné, mais pas forcément à qui ils ont été recopiés depuis. Autant vérifier de temps en temps.
