Comment configurer votre routeur pour rendre votre réseau domestique vraiment sécurisé

routeur-sécurité

Les paramètres de routeur par défaut mettent votre réseau en danger. Non seulement des étrangers dans votre voisinage pourraient utiliser votre Wi-Fi sans votre permission, mais leur téléchargement gratuit pourrait par la suite réduire votre bande passante et épuiser votre allocation de données.

Plus inquiétant encore, leurs actions vous causent même des ennuis s’ils utilisent votre réseau pour des activités illégales, qu’il s’agisse de télécharger du matériel protégé par des droits d’auteur ou de pirater vos appareils. Les paramètres par défaut pourraient également inviter des pirates en herbe à se connecter au panneau d’administration de votre réseau et à détourner vos paramètres.

Nous avons résumé les paramètres de routeur standard qui peuvent empêcher les sangsues et les accès non autorisés à votre réseau.

Paramètres de sécurité de base du routeur

Voici les paramètres minimaux liés à la sécurité. Ils sont faciles à configurer. Connectez votre ordinateur à votre routeur à l’aide d’un câble LAN et connectez-vous à l’aide de l’adresse IP du routeur et, à moins que vous ne les ayez déjà modifiées, du nom d’utilisateur et du mot de passe de l’administrateur fournis par le fabricant.

Si l’interface de votre routeur ne révèle pas immédiatement les paramètres répertoriés ci-dessous ou ne ressemble pas aux exemples de captures d’écran, je vous recommande de consulter le manuel de votre routeur ; vous pouvez probablement le trouver en ligne. De nombreux fabricants, dont Linksys et Netgear, proposent également des pages d’assistance détaillées.

Modifier les informations d’identification de l’administrateur par défaut

Le nom d’utilisateur et le mot de passe par défaut que vous utilisez pour vous connecter à votre routeur sont souvent les mêmes pour des milliers d’autres appareils et ils peuvent être recherchés en ligne. Connectez-vous donc à votre routeur et changez les deux. (Comment changer mon mot de passe Wi-Fi ?)

Puisque vous utilisez un navigateur pour vous connecter à votre routeur, vous pouvez stocker les nouveaux identifiants de connexion dans un gestionnaire de mots de passe comme LastPass. Si seuls vous ou les membres de votre famille avez un accès physique à votre routeur, il n’y a aucun mal à apposer un autocollant avec le nom d’utilisateur et le mot de passe sur votre routeur.

Exemples de paramètres pour un routeur Linksys :

Paramètres du routeur Linksys

Définir un mot de passe ou une phrase de passe sans fil

Lorsque vous êtes connecté à votre routeur, assurez-vous d’avoir défini un mot de passe pour votre Wi-Fi. Comme mentionné ci-dessus, un réseau Wi-Fi ouvert peut avoir toutes sortes de conséquences négatives. Cependant, un mot de passe facile à déchiffrer est presque aussi mauvais que pas de mot de passe du tout. Pour être sûr, utilisez toujours des mots de passe cryptés WPA2 car tout le reste est trop facile à contourner. Lorsque vous êtes connecté à votre routeur, assurez-vous d’avoir défini un mot de passe pour votre Wi-Fi. Comme mentionné ci-dessus, un réseau Wi-Fi ouvert peut avoir toutes sortes de conséquences négatives. Cependant, un mot de passe facile à déchiffrer est presque aussi mauvais que pas de mot de passe du tout. Pour être sûr, utilisez toujours des mots de passe cryptés WPA2 car tout le reste est trop facile à contourner.

activer-wpa2-on-router.png

Désactiver le WPS

Wi-Fi Protected Setup (WPS) est une norme sans fil qui permet de configurer très facilement une connexion sans fil cryptée. Pour permettre à un appareil d’accéder à votre réseau sans fil, soit vous appuyez sur un bouton du routeur et de votre appareil, soit vous entrez le numéro de 4 à 8 chiffres imprimé sur un autocollant sur votre routeur.

Le problème est que cette fonctionnalité est activée par défaut et qu’il n’y a pas de limite au nombre de fois que vous pouvez entrer un code erroné, WPS est craquable par la force brute. Avec les bons outils, disponibles en ligne, il ne faut que quelques minutes ou quelques heures pour compromettre votre réseau sans fil. Une fois le code WPS déchiffré, votre clé Wi-Fi est également révélée. Le problème est que cette fonctionnalité est activée par défaut et qu’il n’y a pas de limite au nombre de fois que vous pouvez entrer un code erroné, WPS est craquable par la force brute. Avec les bons outils, disponibles en ligne, il ne faut que quelques minutes ou quelques heures pour compromettre votre réseau sans fil. Une fois le code WPS déchiffré, votre clé Wi-Fi est également révélée.

Pour être à l’abri de cette vulnérabilité, vous devez la désactiver manuellement. Recherchez le paramètre correspondant dans le panneau d’administration de votre routeur et désactivez-le.

désactiver-insecure-wps.png

Malheureusement, la désactivation du WPS peut ne rien faire. De nombreux fabricants n’offrent pas d’option pour désactiver s’il est désactivé, ou WPS continue de fonctionner même s’il a été désactivé.

Modifier le nom SSID par défaut

Le SSID est le nom de votre réseau sans fil. Vos appareils utilisent le SSID pour reconnaître les réseaux précédemment utilisés et essaieront de se connecter à tout réseau correspondant pour lequel ils ont stocké des données de connexion. Avec un SSID par défaut, vous configurez potentiellement vos appareils pour qu’ils se connectent par défaut à de nombreux réseaux étranges.

De plus, si le SSID par défaut révèle votre routeur, les pirates pourraient être en mesure d’identifier le modèle, ce qui les amènerait à découvrir des vulnérabilités basées sur le routeur dans votre réseau.

macwiscanner

Ne soyez pas tenté de masquer votre SSID ! Contrairement aux recommandations courantes, masquer votre SSID est une mauvaise idée car les appareils essayant de se connecter à votre réseau essaieront essentiellement de correspondre à n’importe quel AP (point d’accès) existant. Désormais, un réseau malveillant pourrait se faire passer pour votre réseau et obtenir l’accès à votre appareil. Au lieu de masquer votre SSID, assurez-vous de suivre notre recommandation et de lui donner un nom unique.

Changer l’IP du routeur par défaut

Ci-dessus, nous vous avons dit de changer vos identifiants de connexion par défaut. C’est un moyen simple et efficace d’empêcher tout accès non sollicité à votre routeur. Pour rendre encore plus difficile pour les pirates de trouver le panneau d’administration de votre routeur, changez la passerelle interne par défaut ou l’IP comparative. Si vous utilisez LastPass pour stocker vos données de connexion, mettez également à jour l’adresse IP.

Désactiver l’administration ou la gestion à distance

Lorsque l’accès à distance est activé, n’importe qui sur Internet peut accéder à votre routeur et modifier ses paramètres. Pour empêcher tout accès à distance non sollicité, vous devez désactiver cette fonction.

Notez que cela permet toujours à toute personne suffisamment proche pour attraper votre Wi-Fi d’accéder au panneau d’administration, à condition qu’elle connaisse les informations de connexion. Si votre routeur propose cette option, configurez-la pour autoriser l’accès au panneau d’administration uniquement avec une connexion filaire au routeur. Il s’agit d’une fonctionnalité rare et vous devrez peut-être mettre à niveau ou modifier le micrologiciel de votre routeur pour l’obtenir.

Paramètres de sécurité avancés du routeur

Ceux d’entre vous suffisamment confiants pour plonger un peu plus dans la sécurisation de vos routeurs voudront peut-être envisager les paramètres suivants. Ils sont également recommandés si votre routeur est situé dans un environnement à haut risque, par exemple dans un immeuble d’habitation ou à proximité d’un espace public.

Mise à jour du firmware

Généralement, le micrologiciel est une sorte de logiciel codé sur le matériel pour l’aider à exécuter des opérations et à communiquer avec des périphériques. Chaque fois qu’une vulnérabilité de routeur est révélée, les fabricants publient généralement un nouveau micrologiciel pour combler la faille de sécurité. C’est pourquoi il est recommandé de vérifier et de mettre à jour périodiquement le micrologiciel de votre routeur. La plupart des routeurs standard sont livrés avec une option de mise à jour de routeur intégrée, généralement disponible sous l’administration du routeur.

Génie NETGEAR

Notez que la mise à jour de votre micrologiciel peut restaurer les paramètres par défaut, ce qui signifie que vous devrez réappliquer toutes les modifications que vous avez apportées précédemment. Si possible, effectuez une sauvegarde de vos paramètres personnalisés avant de mettre à jour le micrologiciel.

Passer à la bande 5 GHz

La bande standard est de 2,4 GHz, qui va plus loin. En utilisant la bande 5 GHz, vous réduisez la portée de votre réseau Wi-Fi et donc le risque qu’un méchant le capte et tente de s’introduire. Cela réduit également les interférences, améliore la vitesse et augmente la stabilité de votre réseau.

Malheureusement, tous les appareils ne prennent pas en charge la bande 5 GHz. Une solution ici, si vous vouliez être méticuleux, serait de connecter ces appareils à l’aide d’un câble Ethernet ou de mettre à niveau votre routeur vers 802.11ac et de créer une configuration à double réseau. Vous auriez un réseau pour chaque bande qui pourrait déplacer la majeure partie de votre trafic vers la bande 5 GHz. Bien sûr, cela n’augmenterait pas réellement votre sécurité car vous offririez maintenant deux points pour attaquer votre réseau.

Désactiver PING, Telnet, SSH, UPnP et HNAP

Recherchez les paramètres respectifs dans l’interface de votre routeur et désactivez-les. Plutôt que de fermer ces ports, utilisez les paramètres furtifs (si disponibles) qui se traduiront par des tentatives d’accès à votre réseau depuis l’extérieur qui se heurteront à un silence, masquant ainsi le port. Un moyen efficace de masquer votre routeur est de l’empêcher de répondre aux commandes PING.

Activer le pare-feu du routeur

Si votre routeur possède son propre pare-feu, activez-le. Vous ne devriez pas compter UNIQUEMENT sur le pare-feu de votre routeur, mais considérez-le comme une couche de protection supplémentaire.

erreurs-de-sécurité-courantes-pare-feu

Désactiver le filtre MAC sans fil

En bref, les adresses MAC sont faciles à usurper et le filtrage MAC n’en vaut donc pas la peine.

Paramètres de sécurité du routeur Pro

Enfin, voici les paramètres pour ceux d’entre vous qui souhaitent prendre toutes les mesures nécessaires pour sécuriser leur réseau.

Installer un micrologiciel alternatif

Le micrologiciel de routeur tiers ajoute non seulement des fonctionnalités supplémentaires, mais est également plus sécurisé que le dernier micrologiciel fourni par le fabricant de votre routeur. Les firmwares alternatifs sont moins souvent affectés par les vulnérabilités. Les micrologiciels open source populaires incluent DD-WRT et Tomato basés sur Linux. Le micrologiciel de routeur tiers ajoute non seulement des fonctionnalités supplémentaires, mais est également plus sécurisé que le dernier micrologiciel fourni par le fabricant de votre routeur. Les firmwares alternatifs sont moins souvent affectés par les vulnérabilités. Les micrologiciels open source populaires incluent DD-WRT et Tomato basés sur Linux.

jj-wrt

Avant d’installer un nouveau micrologiciel, assurez-vous d’en trouver un compatible avec votre routeur, puis passez en revue les instructions étape par étape pour l’installer.

Modifier le DNS par défaut (serveur de noms de domaine)

Plutôt que d’utiliser le serveur DNS par défaut de votre FAI, choisissez un serveur OpenDNS ou Google Public DNS. Il peut améliorer votre vitesse Internet et la sécurité de votre réseau. Plutôt que d’utiliser le serveur DNS par défaut de votre FAI, choisissez un serveur OpenDNS ou Google Public DNS. Il peut améliorer votre vitesse Internet et la sécurité de votre réseau.

Soyez prudent avec le réseau Wi-Fi pour les invités

Encore une fois, les recommandations ici sont contradictoires. Certains disent qu’il est préférable de désactiver les réseaux invités car ils ne sont pas sécurisés et les mots de passe par défaut peuvent être trouvés en ligne. Si vous pouvez, cependant, créer une connexion personnalisée et faire expirer le réseau invité après un certain temps, c’est une excellente option pour fournir aux invités un accès temporaire à votre réseau, tout en gardant privé tout dossier ou périphérique partagé de votre réseau.

Votre routeur est-il sûr ?

Combien de ces paramètres de sécurité de routeur aviez-vous déjà utilisés et lesquels ne connaissiez-vous pas auparavant ? Si vous cherchez plus de conseils, consultez le livre Networking All-in-One For Dummies pour une aide supplémentaire.

Votre routeur n’est pas le seul appareil connecté que vous souhaitez sécuriser. Découvrez ces 5 conseils pour sécuriser vos appareils intelligents et Internet des objets.

Crédits image : Paramètres Linksys via Linksys, NETGEAR genie via NETGEAR

Leave a Comment

Your email address will not be published. Required fields are marked *