Comment sécuriser sa connexion Wi-Fi

Nos box et autres modems-routeurs disposent d’une connexion Wi-Fi, en plus d’une connexion Ethernet (filaire). Il est certain que la connexion sans fil offre aujourd’hui des débits convenables (norme 802.11ac) et propose de nombreuses fonctionnalités. Mais elle présente aussi des inconvénients communs aux ondes radio : parasites, fluctuation du débit, coupures. Et elle souffre d’un problème majeur, qui est celui de sa vulnérabilité : un réseau wifi est facilement piratable.

 

Le Wifi est le talon d’Achille de nos réseaux domestiques, grâce auquel on peut s’introduire dans notre intimité, intercepter toutes nos données numériques, et y mener d’autres opérations préjudiciables.
Les risques et leurs remèdes sont détaillés dans ce rapport de l’ANSSI (2013).

Et il vaut mieux ne pas se fier à la sécurité des dispositifs WPS (Wifi Protected Setup) que vantent pourtant encore les fabricants d’appareils Wifi, qui poussent à se décharger du problème de sécurité sur leur technique ! Si votre box ou votre routeur en est pourvue, il est conseillé de la désactiver par l’US-CERT.gov, car trop facilement contournable.Voici un article de Métro qui explique pourquoi en français.

Comme je me connecte surtout en Ethernet chez moi, je ne m’en suis pas trop inquiété jusqu’ici, mais j’ai aussi un « vieux » portable, dont je me sers suffisamment pour être obligé de laisser active la connexion sans fil sur ma box, et pire pour la laisser avec une protection cryptographique faible, puisque ma carte wifi, sur cet appareil, n’accepte au mieux que le protocole WPA-PSK/TKIP, dont je reparle plus bas.

Je me suis donc préoccupé de la manière de limiter quand même les risques. Voici donc quelques précautions que l’on peut prendre. Certes, elles ne nous protègeront ni des services secrets ou policiers, ni des cybercriminels, mais les premiers ont d’autres chats à fouetter, et les seconds, en matière de phishing, pratiquent plutôt la pêche au gros ! Restent les apprentis hackers et les passants ou voisins indélicats, et là on peut effectivement « faire quelque chose ».

Cela passe pour l’essentiel par l’interface de contrôle de la box (du routeur, ou du point d’accès Wi-Fi), et la doc d’accompagnement de votre matériel vous donne les renseignements indispensables pour vous y connecter. J’illustrerai mon tuto avec la Freebox Révolution (V.6) et son interface Freebox O.S. 3.1, parce que j’ai cette box et surtout parce qu’on ne peut pas accéder à l’interface des boxes que l’on n’a pas.
Je fournis cependant en fin d’article des liens vers des tutos pour les autres boxes.

N’activer le Wi-Fi sur sa box que si on ne peut pas s’en passer.

Ou ne l’activer que quand on en a besoin. Sur toutes les box, il existe des moyens matériels (interrupteur ou autre) ou logiciels (par l’interface d’accès à la box), qui permettent de couper le Wifi (1a), et sur ma freebox par ex., de programmer les plages horaires d’inactivité de la semaine, par ex. la nuit (1b). Et en plus, cela éliminera une source d’ondes radio non négligeable sur cette période !

interfacefreeboxwifi Fig. 1 : fenêtre de la connexion Wifi de la Freebox OS 3.1

Limiter l’accès à votre réseau domestique.

Si vous voulez que vos invités puissent accéder de chez vous à internet en Wifi, évitez quand même de leur donner votre mot de passe d’accès à votre réseau domestique (donc à leur ouvrir l’ensemble de votre vie privée numérique). En ce qui me concerne, en tant que client Free, j’ai mis en place une solution FreeWifi, qui consiste à activer sa box en tant que hotspot, ce qui me permet de ne fournir à mes invités que le mot de passe à ce hotspot. Il est certain que l’on peut trouver facilement sur internet des listes de mots de passe à FreeWifi (ou équivalent chez les autres opérateurs), mais cela n’interfère pas sur la sécurité de son réseau domestique, autant que je sache. Sur l’image ci-dessus, on voit dans la barre du haut l’onglet Freewifi, qui permet d’activer ou au contraire d’interdire celui-ci.

Sécuriser identifiant et clé de sécurité

Ne pas garder le SSID écrit sur la box et encore moins le code wifi qui permettent d’établir la première connexion, ou les identifiant et mot de passe fournis par défaut. Il faut aller sur l’interface de la box (dont l’adresse est indiquée sur le mode l’emploi et sur le boitier) et choisir un identifiant personnel (compréhensible par vous, mais qui ne permet pas de vous identifier de l’extérieur : par ex. « portable de Toto ») et choisir une « phrase de passe » longue et introuvable – sauf par vous. J’ai écrit un précédent article sur « Mots de passe : le délire ! » Dans l’esprit de cet article, trouver une phrase (d’une vingtaine de caractères) qui raconte un événement personnel, tout en attaché, avec majuscules, nombres et caractères spéciaux.

Choisir la norme de chiffrement la plus élevée qu’offre la carte wifi.

Chez moi, je l’ai dit plus haut, c’est la norme WPA-PSK/TKIP, mais on a fait bien mieux depuis la date de fabrication de mon portable. Il suffit dans l’interface de votre box de dérouler les options de chiffrement, et de prendre la dernière de la liste, actuellement WPA2-PSK/AES. Si ce choix ne marche pas, remonter dans la liste jusqu’à trouver le meilleur protocole accepté par la carte Wifi.
Voici ce que cela donne dans Freebox O.S. 3.1.1, icône Wifi/configuration réseau :

type_de_protectionfigure 2 : la fenêtre Configuration du réseau indiquant les types de protection

Filtrer les connections Wifi.

Quand on regarde dans le systray (zone de notification/barre des tâches), et que l’on est en connexion Wifi (si on est en Ethernet, les connections Wifi ne sont pas visibles), on a quelque chose comme chez moi :

connectionswifiportablefigure 3 : dans le systray

On peut par exemple vouloir interdire l’accès de ces connexions de voisinage (même si en soi elles sont parfaitement naturelles : vous même apparaissez dans la liste des points d’accès de vos voisins, sauf paramétrage spécifique de votre part). Ce qui est possible en réalisant un « filtrage des adresses MAC« . Rien à voir avec Apple, l’adresse MAC est l’adresse physique unique dont est pourvu chaque appareil, et qui permet de l’identifier, comme peut l’être le numéro de moteur de votre voiture.
On trouve facilement l’adresse MAC de ses propres appareils, et celle des autres aussi, contrairement à des idées reçues qui circulent sur le Net. Il existe différentes manières de procéder, la plus simple étant d’aller dans l’interface de sa box : pour la Freebox V6, on va dans Freebox O.S. , où l’on peut trouver les adresses MAC dans 2 endroits :

  • en cliquant sur Périphériques réseau, tous les appareils du réseau domestique apparaissent. En cliquant sur chacun, on va sur une fenêtre qui donne notamment l’adresse MAC.
  • en cliquant sur Paramètres de la Freebox, on ouvre une interface générale de gestion, dont les connexions Réseau. Choisir l’icône Wifi, et dans la fenêtre qui s’ouvre, sélectionner dans la barre du haut l’option Radar. Le « radar » détecte les connexions de voisinage, et donne leur nom (SSID) et adresse MAC (on aperçoit cet onglet dans les 2 figures ci-dessus).

Si votre box ne propose pas cette option, il existe de petits utilitaires qui s’en chargent. J’écarte personnellement les solutions payantes (non seulement pour le coût, mais surtout parce qu’elles s’accompagnent d’un service personnalisé, qui rend captif d’une structure inconnue). J’utilise personnellement la solution gratuite (mais pas libre au sens GNU/GPL), WifiInfoView, de chez Nirsoft, qui marche de XP à 8.1. C’est un utilitaire qui ne s’installe pas (= un exécutable), léger et pratique.
Téléchargez-le sur le site de l’éditeur, ce qui présente l’inconvénient d’être en anglais, et l’avantage de fournir le fichier de langues pour sa traduction (tout en bas de la page), et surtout d’éviter les cochonneries habituelles des sites de téléchargement. Placez le fichier, une fois dézippé, dans le même dossier que wifiInfoView.exe. Moi je ne l’ai pas traduit, mais la capture d’écran ci-dessous vous montre que ce n’est pas forcément indispensable.

wifiinfoview-2figure 4 : l’interface de WifiInfoView

Si vous cliquez sur une des connexions, vous aurez toutes les infos possibles dans la partie basse de l’écran. Remarquez au passage que, outre l’adresse MAC (1ère flèche), le programme offre quantités d’informations dans les autres colonnes, et dans la colonne de la 2ème flèche, vous remarquerez aussi qu’il détecte plusieurs connexions non ou très peu sécurisées (WEP). Ce qui confirme pour 2015 le constat du document de l’ANSSI dont j’ai fourni le lien en début d’article : « Début 2013, près de la moitié des réseaux Wi-Fi n’utilisent aucun moyen de chiffrement ou utilisent un moyen de chiffrement obsolète. »

Une fois que vous avez récolté les adresses MAC, vous pouvez réaliser le filtrage. Vouloir bloquer les adresses externes qui sont repérées consiste à établir une liste noire, comme le proposent certaines boxes : Dans la Freebox O.S., dans les paramètres Wifi (voir la figure 1 en début d’article), suivre la flèche n° 2, Gérer le filtrage MAC ; un clic ouvre cette fenêtre ci-dessous, et il faut cliquer sur Ajouter une règle de filtrage :

liste_blancheounoirefigure 5 : filtrage MAC

On tape alors les 6 séries de 2 chiffres, sans oublier les  » : » qui les séparent, puis on indique dans Type de filtrage « liste noire ».
Mais de mon point de vue, ce n’est pas la meilleure solution de filtrage. Il vaut mieux faire la liste exhaustive de vos périphériques pour les mettre en liste blanche. Parce que la liste noire ne comprend évidemment que les points d’accès déjà établis, et non le pirate de passage qui ne s’est pas encore manifesté.
En utilisant la procédure ci-dessus, c’est un peu fastidieux. Il est donc plus simple d’aller, depuis l’interface générale, dans l’icône « Périphériques réseau », de double-cliquer sur chacun des appareils du réseau domestique, et de choisir de le mettre en liste blanche. Ça prend 2 mn.

adresses_macfigure 6 : les 2 façons d’opérer le filtrage MAC

Conclusion

Voilà comment mieux protéger vos connexions Wifi. C’est insuffisant contre les pros, mais même les pros préfèrent les solutions qui ne leur donnent aucun mal. Et se souvenir que « c’est l’occasion qui fait le larron » : La sécurité informatique obéit aux mêmes ressorts que la sécurité immobilière et des autres biens matériels : vous ne laissez pas votre voiture dans la rue avec la clé sur le contact, si ?

Mais si vous avez des exigences plus fortes de sécurité informatique, le rapport de l’ANSSI conclut : « il reste préférable d’utiliser des connexions filaires. À défaut, la confidentialité des informations devra être assurée par l’utilisation de moyens de chiffrement complémentaires tels qu’IPsec ou TLS. » Autrement dit, installez un VPN…

Tutos pour livebox, neufbox, bbox

Livebox :
– http://www.pcastuces.com/pratique/securite/securiser_wifi/page1.htm
– http://assistance.orange.fr/livebox-2-filtrage-mac-1599.php
Neuf Box :
– NB6 (Evolution) : http://www.n9ws.com/forum/viewtopic.php?f=173&t=120892
– et pour la NB4 : http://assistance.sfr.fr/internet_box-nb4/connexion/gestion-wifi-interface/fc-473-50159
BBox  :
– http://www.assistance.bouyguestelecom.fr/internet-bbox/installation-bbox/raccordement-ordinateur-bbox
– http://www.assistance.bouyguestelecom.fr/internet-bbox/depanner-connexion-internet/reseau-wifi-bbox-non-visible
C’est tout ce que j’ai trouvé.