Accès sécuriséLe Wifi se démocratise : la plupart des routeurs qui sont vendus aujourd’hui sont livrés avec une borne WiFi car cela facilite l’installation des réseaux domestiques en abolissant les câbles disgracieux. Tout semble aller pour le mieux dans le meilleur des monde. Mais voilà, la plupart des gens ne pense pas à sécuriser leur point d’accès, ce qui laisse la porte ouverte à n’importe qui captant leur signal pour télécharger des fichiers illégaux ou commettre des exactions sur un serveur distant. Et en cas de litige, c’est à la porte du propriétaire de la ligne WiFi que la police viendra sonner. D’où l’importance de sécuriser votre connexion WiFi, ce que nous allons faire étape par étape. Cela prend environ 10 minutes.

Etape 1 : sécuriser l’accès au routeur

La connexion Wifi, tout comme la connexion filaire, est gérée par le routeur. Or, par défaut, n’importe qui peut accèder à votre routeur : il suffit de connaître votre IP. Imaginons l’utilisateur lambda, connecté sous l’IP 12.34.56.78. S’il est derrière un routeur, vous pouvez vous connecter à l’interface d’administration de son routeur en tapant dans votre navigateur. Bien évidemment, cette page est protégée par un login et un mot de passe mais les réglages d’usine sont généralement :

User : admin
Password : password

Il vous faut changer cette combinaison login/mot de passe au plus tôt : à quoi servirait de sécuriser tout le réseau si tout le monde peut modifier les réglages du routeur à sa guise . Ouvrez votre navigateur et pointez sur l’adresse du routeur, généralement ou , entrez dans l’interface d’administration et changez le mot de passe. Apprenez-le par coeur, vous en aurez besoin à chaque fois que vous voudrez modifier les options du routeur.

A lire :  MySQL : résoudre l'erreur "mysql_connect(): Headers and client library minor version mismatch"

Etape 2 : mettre à jour le firmware du routeur

Vérifiez que le firmware de votre routeur est à jour : pour cela, consultez le site du fabricant. La mise à jour du firmware apporte souvent des améliorations, que ce soit dans la tenue de la ligne ADSL ou dans l’ajout de fonctionnalités. Cela corrige également les éventuels bugs ou failles de sécurité.

Etape 3 : changer le nom SSID

Le SSID – ou Service Set Identifier – permet d’identifier le réseau sans fil. Changez le nom par défaut pour un nom différent, histoire d’éviter que tous les gens du quartier utilisent le même identifiant pour des réseaux différents. Cela peut entraîner des problèmes de connexion plus tard. Il ne sert à rien de désactiver la diffusion du nom du réseau : celui-ci est affiché en clair dans chacune des trames envoyées.

Etape 4 : utiliser un protocole de cryptage

Votre routeur possède des options de cryptage : activez-les. Il existe plusieurs protocoles de cryptage:

  • WEP ou Wired Equivalent Privacy : est désormais obsolète, il peut être craqué en moins de 5 minutes par analyse de trames. Malgré tout, cela reste mieux qu’aucun encryptage du tout – le cryptage se fait sur 64 bits (appelé aussi cryptage 40 bits) ou 128 bits. Le WEP a donc été supplanté par le Wi-Fi Protected Access (WPA) en 2003, puis par le WPA2 en 2004.
  • WPA ou WiFi Privacy Access : respecte la majorité de la norme IEEE 802.11i et a été prévu comme une solution intermédiaire pour remplacer le WEP en attendant que la norme 802.11i soit terminée. WPA a été conçu pour être utilisé en collaboration avec un serveur d’authentification 802.1X chargé de distribuer les différentes clés à chaque utilisateurs. Il peut aussi être utilisé dans un mode moins sécurisé, appelé pre-shared key (PSK), dans lequel tous les utilisateurs partagent une même phrase secrète. Les données sont chiffrées en utilisant l’algorithme de chiffrement par flot RC4, avec une clé de 128 bits et un vecteur d’initialisation (initialization vector ou IV en anglais) de 48 bits. Une des améliorations majeures du WPA par rapport au WEP est le protocole Temporal Key Integrity Protocol (TKIP), qui échange de manière dynamique les clés lors de l’utilisation du système. Ce protocole, associé au vecteur d’initialisation beaucoup plus grand que dans le WEP, empêche certaines attaques sur WEP aujourd’hui bien connues.
  • WPA2 est la version de la norme IEEE 802.11i certifiée par la Wi-Fi Alliance. WPA2 inclut tous les éléments obligatoires de la norme 802.11i (en) [1]. En particulier, les algorithmes Michael et RC4 sont remplacés respectivement par un algorithme d’authentification de message, CCMP, qui est considéré comme complètement sécurisé et par AES.
A lire :  Ubuntu : résoudre l'erreur "xulrunner-bin: error while loading shared libraries: libhunspell-1.2.so.0"

Utilisez donc le WPA2 si disponible, le WPA à défaut et le WEP en dernier recours. Choisissez une clé supérieure à 128 bits si possible et un mot de passe (également appelé passphrase) au moins égal à 8 caractères, contenant chiffres, lettres et caractères spéciaux. Pour une sécurité renforcée, je vous recommande le générateur de clés WPA sécurisées.

Etape 5 : réduire le nombre d’IP attribuées par le serveur DHCP

Votre routeur fait office de serveur DHCP : il attribue à chaque machine de votre réseau une adresse IP interne. Il est intéressant d’attribuer une IP fixe à chacune de vos machines, notamment pour la redirection de ports grâce au protocole NAT. Vous pouvez connecter jusqu’à 254 machines, utilisant 192.168.0.2 comme première adresse IP interne (jusqu’à 192.168.0.254 pour la dernière). Réduisez cet intervalle au nombre de machines que vous connectez habituellement sur votre réseau.

Etape 6 : derniers réglages

  • Désactivez la configuration du routeur à distance, il y a 99% de chances que vous n’ayez jamais besoin de ce service et cela ferme la porte aux malveillants.
  • Désactivez les réponses aux pings envoyés sur le port WAN, cela rend votre réseau non-visible aux utilitaires de traffic.
  • Désactivez le serveur DMZ : cela représente un grave problème de sécurité car si actif, toutes les connexions non redirigées vers les ports définis sont redirigées vers l’IP de la DMZ. A déconseiller !
  • Réduisez la portée du signal WiFi si vos équipements se trouvent suffisamment près du routeur pour garder un bon signal. Il ne sert à rien “d’arroser le quartier”, cela attire la convoitise.
  • Activez le scan des ports et la protection contre les attaques DoS.
A lire :  Serveur dédié : mettre à jour le noyau Debian de la Kimsufi

Note : je n’ai pas parlé du filtrage des machines du réseau par adresse MAC pour la simple et bonne raison qu’il est extrêmement facile de modifier l’adresse MAC d’un équipement réseau. De ce fait, cela ne représente plus aujourd’hui une mesure de sécurité adéquate.

Voilà, votre réseau sans-fil est maintenant plus sécurisé qu’il ne l’était au départ. Rappelez-vous toujours qu’avec du temps et les bons outils, il sera toujours possible de s’y infiltrer. Mais les quelques protections de base décrites ici devraient déjà vous protéger des attaques les plus communes. Bon surf !

Pour développer votre projet WordPress ou Woocommerce, faites appel à mon expertise pour réaliser un site rapide, performant et fonctionnel.

Contactez-moi

Si vous avez trouvé une faute d’orthographe, informez-nous en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée s’il vous plaît.

Articles en rapport:

Sécurisez votre point d’accès WiFi

par Matt Lecture: 6 min

Pin It on Pinterest

Share This

Spelling error report

The following text will be sent to our editors: