Dossier

10 astuces pour protéger votre réseau domestique

12 décembre 2019

Votre (modem-)routeur est la porte d'entrée de votre réseau domestique. Pourtant, il est rare qu’il soit par défaut paramétré de manière optimale pour votre sécurité. Mieux vaut donc prendre en main ses réglages vous-même. Voici 10 astuces très simples pour s'y prendre efficacement et avoir l'esprit tranquille.

Pour augmenter la sécurité de votre modem-routeur, il faut tout d'abord savoir comment accéder à ses paramètres. Vous en aurez besoin pour suivre les étapes suivantes. La méthode ci-dessous fonctionne pour les routeurs de tous les fournisseurs d'accès belges, à l'exception de Telenet. Vous êtes client chez Telenet ? Allez sur www.mytelenet.be pour trouver les paramètres de votre routeur.

Accédez au menu des paramètres de votre routeur

1. Trouvez l'adresse IP de votre routeur

Au préalable, vous devez vous connecter à votre routeur par wifi ou avec un câble Ethernet. Souvent, l'adresse IP est semblable à 192.168.1.1, 192.168.100.1 ou 192.168.0.1 (vous pouvez parfois aussi utiliser une URL comme http://fritz.box).

Sous Windows, voici la marche à suivre :

  • Cliquez sur la loupe dans la barre des tâches, tapez cmd et faites Entrée
  • Dans la fenêtre qui s'ouvre (l'invite de commandes) tapez ipconfig et faites Entrée
  • Vous trouverez l'adresse IP de votre routeur sous Passerelle par défaut

Et voici comment y parvenir sous MacOS :

  • Sur le bureau, cliquez en haut à gauche sur Pomme > Préférences Système
  • Vous trouverez l'adresse IP du routeur sous l'onglet TCP/IP dans Réseau > Avancé

2. Tapez l'adresse IP dans votre navigateur

Ouvrez votre navigateur et tapez l'adresse IP obtenue à l'étape 1 dans la barre d'adresse. Lorsque vous appuyez ensuite sur Entrée, vous aboutissez sur la page d'accueil de l'interface web.

3. Connectez-vous à l'interface web

Utilisez à cet effet le nom d'utilisateur et mot de passe qui se trouvent (généralement) sur un autocollant sur le routeur. Certains modèles demandent de définir vous-même vos identifiants de connexion. N'oubliez pas de vous déconnecter de l'interface web quand vous n'avez plus besoin d'y être.

Nos 10 astuces

Maintenant que vous savez comment accéder aux réglages du routeur, vous êtes prêt à suivre nos 10 astuces pour protéger votre réseau.

1. Changez le mot de passe d'accès aux paramètres du routeur

Parfois, lors de la première connexion à l'interface web de votre routeur, on vous demande de changer le mot de passe. Mais faites-le aussi si vous n'y êtes pas invité. En effet, non seulement le mot de passe se trouve sur un autocollant sur votre routeur, mais en outre il est souvent identique pour tous les produits du même type et n'importe qui peut alors le retrouver en ligne par une simple recherche.

"Admin" et "password" sont des exemples de mots de passe par défaut qui sont faibles, mais hélas encore souvent utilisés pour des routeurs. Veillez à créer un autre mot de passe, robuste, qui diffère de celui de votre wifi.

2. Modifiez le mot de passe du wifi

Sur certains routeurs, le mot de passe par défaut du wifi est trop court ou trop simple. Mais même s'il est long et compliqué, peut-être voudrez-vous le transformer en un mot de passe qui vous est propre... Ne fût-ce que pour éviter de devoir jouer les acrobates pour lire un autocollant à l'envers sur votre routeur à chaque fois qu'un invité le demande.

Quelle qu'en soit la raison, il est aussi très important que le mot de passe que vous choisissez vous-même ne soit pas plus faible que celui par défaut. C'est pourquoi une phrase de passe est une bonne idée. Mais attention aux pièges : un mot de passe plus long n'est plus sûr que s'il est aussi suffisamment impossible à deviner. Il faut donc éliminer sur-le-champ des phrases existantes, comme des proverbes, paroles de chansons, titres, etc. qui sont aussi vite piratées que « 123456 ». Mieux vaut donc faire parler sa créativité avec une phrase entièrement inventée, longue et contenant des chiffres, des signes de ponctuation et des caractères spéciaux pour plus de robustesse.

Si votre routeur émet sur deux fréquences (2,4 GHz et 5 GHz), pensez à changer le mot de passe wifi des deux réseaux. Vous pouvez vérifier les fréquences dans les paramètres de votre routeur.

Pour découvrir d'autres conseils sur les mots de passe forts, consultez notre site Cybersimple.
3. Modifiez le nom de votre réseau wifi

Mieux vaut aussi modifier le SSID par défaut de votre réseau wifi. Souvent, il se compose du nom de la marque de votre routeur ou de celui de votre fournisseur, suivi d'un code alphanumérique.

L'algorithme de cryptage WPA2 qui protège votre connexion wifi utilise le SSID ainsi que votre mot de passe wifi pour crypter la liaison. Il existe de longues listes de combinaisons de SSID très fréquents et de leurs mots de passe possibles, qui facilitent l'accès aux pirates. Mieux vaut donc imaginer un nouveau nom original pour votre réseau wifi. Évitez déjà d'y intégrer votre nom, votre adresse ou d'autres informations.

Encore une fois, si votre routeur émet sur les deux fréquences, réglez le SSID des réseaux 2,4 Ghz et 5 GHz.

4. Désactivez l'UPNP

Imaginez que vous vouliez atteindre un appareil de votre réseau domestique, p. ex. une caméra de surveillance, lorsque vous n'êtes pas chez vous. Pour que cela marche, vous devez ouvrir sur votre routeur un "port" qui permet un tel accès à partir d'internet. L'UPnP (Universal Plug and Play) est une fonction souvent disponible sur les périphériques réseau, qui fait en sorte qu'un port soit "ouvert" sur votre routeur sans que vous deviez le configurer vous-même.

Si l'UPnP est actif p. ex. sur votre caméra et votre routeur, vous avez un accès direct à votre caméra depuis l'extérieur de votre réseau. La fonction est donc pratique car vous ne devez pas modifier vous-même de paramètres, mais elle constitue en même temps un risque inutile pour la sécurité. En effet, des pirates peuvent abuser de ces ports ouverts pour pénétrer votre réseau. C'est la raison pour laquelle certains fabricants n'autorisent plus d'accès direct mais vous l'offrent à travers une plateforme en ligne (via le cloud).

Vérifiez si l'UPnP est disponible pour vos périphériques réseau (via leur interface web) et désactivez la fonction si elle est active. Faites-le à la fois pour votre routeur et pour vos autres périphériques réseau. Attention : la désactivation n'est pas toujours possible et certains routeurs activent l'UPnP d'office, sans vous laisser le choix de couper la fonction.

5. Désactivez l'accès à distance

Certains routeurs vous autorisent à accéder à distance au menu des paramètres ("remote access"). C'est potentiellement dangereux car d'autres personnes peuvent s'offrir un accès à votre routeur et ainsi pénétrer dans votre réseau domestique et les appareils qui y sont connectés, voire espionner votre trafic internet.

Vous voulez tout de même utiliser la fonction ? Alors, choisissez un mot de passe robuste pour l'interface web de votre routeur.

6. Désactivez le WPS, ce bouton qui contourne le mot de passe

Le WPS (Wi-Fi Protected Setup) est une fonction qui permet de connecter plus facilement des appareils à un réseau wifi.

La plupart des routeurs disposent d'un bouton WPS qui permet, pendant quelques minutes, de se connecter sans mot de passe. Il en existe aussi qui nécessitent l'utilisation d'un code PIN. Sur ce dernier type, il est plus sûr de désactiver totalement la fonction WPS car un code PIN peut être assez facilement piraté et une personne malveillante peut ainsi contourner votre mot de passe robuste pour obtenir un accès à votre réseau.

7. Vérifiez les appareils connectés à votre réseau

Vous pouvez voir dans les paramètres du routeur les appareils qui y sont connectés. Vérifiez en premier lieu si des appareils inconnus apparaissent dans cette liste, mais demandez-vous ensuite si tous ces appareils doivent effectivement être connectés à internet : moins il y a d'appareils connectés, moins il y a de points d'accès potentiels pour un hacker.

Sur beaucoup de routeurs, vous pouvez p. ex. paramétrer les moments où les appareils ont accès à internet et la quantité de données qu'ils peuvent consommer.

8. Gardez vos appareils à jour

De nouvelles failles de sécurité sont régulièrement découvertes dans le matériel et les logiciels.

En installant chaque fois les mises à jour de sécurité les plus récentes, vous colmatez les brèches avant que quelqu'un d'autre puisse en abuser et vous gardez vos appareils en sécurité. La faille "Krack" (Key Reinstallation Attack) dans la protection WPA2 des réseaux wifi, découverte en 2017 par la KU Leuven, est un bon exemple de la gravité que peuvent atteindre les conséquences. Présente sur tous les appareils (à moins qu'ils n'aient été mis à jour) disposant d'une connexion wifi, elle avait pour conséquence de permettre à une personne malintentionnée de consulter des informations (mots de passe, numéros de cartes (de crédit), données à caractère personnel, fichiers, photos, messages…) qui, normalement, sont envoyées cryptées sur le réseau wifi, voire d'injecter un logiciel malveillant.

Il importe donc de contrôler régulièrement les mises à jour du firmware de votre routeur. Sur de nombreux modèles, l'opération est automatique, mais ce n'est pas toujours le cas. Vérifiez donc périodiquement les nouvelles mises à jour du firmware dans le menu des paramètres de votre routeur.

9. Créez un réseau pour vos invités
Un réseau invité (comme son nom le laisse présager) est un réseau wifi à part, strictement séparé de votre propre réseau. Vos invités peuvent ainsi accéder à votre connexion internet, mais pas aux fichiers et appareils partagés, comme des imprimantes et disques durs réseau. Vous pouvez donc communiquer sans souci le mot de passe de votre réseau invité. De nombreux routeurs offrent cette possibilité (via leurs paramètres).
10. Utilisez un câble Ethernet
Pour les appareils que vous ne déplacez pas, comme des ordinateurs de bureau, téléviseurs ou imprimantes, préférez un câble Ethernet au wifi. Un réseau sans fil, même sécurisé, peut être piraté par quelqu'un qui est à portée. Le wifi envoie et reçoit des signaux radio dans une vaste zone et c'est un risque de sécurité potentiel. Des hackers peuvent bien plus difficilement intercepter les données qui passent par un câble car il est nécessaire d'y accéder physiquement.