Créa-blog

#100JoursPourCoder
Projet Créa-code

Ressources pour développeur web

Théme de la semaine : l’OSINT

Protéger son Wi-Fi et sécuriser ses failles

Temps de lecture estimé : 10 minutes
Accueil Sécurité Protéger son Wi-Fi et sécuriser ses failles

Nous utilisons tous le Wi-Fi au quotidien. Que ce soit pour naviguer sur Internet, télétravailler, regarder un film en streaming ou gérer un serveur depuis un terminal, la connexion sans fil est devenue un pilier de notre vie numérique. Pourtant, derrière ce confort apparent se cachent de nombreuses failles potentielles.

Un réseau Wi-Fi mal sécurisé, c’est comme une porte d’entrée laissée ouverte sur votre maison numérique. Des intrus peuvent s’y connecter, espionner vos échanges, détourner vos données, voire accéder à vos fichiers sensibles.

Pour éviter ces risques, il est essentiel de comprendre comment fonctionne la sécurité Wi-Fi, quels protocoles ont été utilisés au fil du temps (WEP, WPA, WPA2, WPA3), et surtout, quelles sont les bonnes pratiques à adopter pour protéger efficacement votre réseau domestique ou professionnel.

Dans ce guide, nous allons démystifier les notions de sécurité sans fil et vous expliquer, pas à pas, comment renforcer votre Wi-Fi de manière simple, concrète et durable.

Comprendre la base : qu’est-ce qu’un réseau Wi-Fi ?

Avant de parler de sécurité, il faut comprendre ce que l’on protège. Le Wi-Fi est un réseau local sans fil (WLAN) qui permet à plusieurs appareils de communiquer entre eux et avec Internet via un routeur. Ce dernier joue un rôle central : il agit comme un pont entre votre réseau local et le monde extérieur.

Chaque appareil connecté au Wi-Fi (ordinateur, smartphone, tablette, console de jeu, téléviseur connecté, serveur local, etc.) communique avec le routeur grâce à des ondes radio. Ces ondes transportent vos données, qui peuvent contenir des informations sensibles : mots de passe, numéros bancaires, documents professionnels, ou simplement votre historique de navigation.

Sans mécanisme de protection, ces données peuvent être interceptées. C’est pourquoi les protocoles de chiffrement ont été inventés : ils permettent de coder les informations échangées pour qu’un tiers ne puisse pas les comprendre, même s’il parvient à les capter.

Les protocoles de sécurité Wi-Fi : évolution et vulnérabilités

Les protocoles Wi-Fi servent à authentifier les appareils et chiffrer les données transmises. Ils ont évolué au fil du temps pour corriger les failles découvertes par les experts en cybersécurité.

a) WEP (Wired Equivalent Privacy)

Le protocole WEP est le plus ancien, apparu à la fin des années 1990. À cette époque, il représentait une tentative de rendre les réseaux sans fil aussi sûrs que les réseaux filaires. En pratique, WEP chiffre les données avec une clé de 40 ou 104 bits, combinée à un vecteur d’initialisation (IV) de 24 bits. Ce système semblait robuste, mais il s’est révélé vulnérable à de nombreuses attaques.

En effet, les chercheurs ont découvert que le même IV pouvait être réutilisé, ce qui permettait à un pirate de décrypter la clé en quelques minutes à l’aide d’un simple ordinateur portable. Aujourd’hui, le protocole WEP est considéré comme obsolète et dangereux. Même un terminal basique avec des outils gratuits (comme Aircrack-ng) peut en venir à bout.

Par exemple, si un particulier garde son vieux routeur configuré en WEP parce qu’il fonctionne encore. En quelques minutes, un voisin curieux pourrait capter le trafic Wi-Fi, extraire les paquets et trouver la clé d’accès. Une fois connecté, il pourrait accéder au serveur domestique de la personne, espionner les fichiers partagés, voire détourner la bande passante pour ses propres usages.

Conclusion sur WEP : à éviter absolument. Si votre routeur affiche encore cette option, il est temps de la désactiver définitivement.

b) WPA (Wi-Fi Protected Access)

Face aux faiblesses du WEP, le protocole WPA a été introduit en 2003. Il a apporté des améliorations majeures, notamment l’utilisation du TKIP (Temporal Key Integrity Protocol), qui modifie la clé de chiffrement à chaque paquet de données. Cela rend les interceptions plus complexes, car un pirate ne peut plus simplement attendre que la même clé soit réutilisée.

Cependant, WPA reste une solution temporaire, car le protocole TKIP est basé sur les fondations du WEP. Il a donc hérité de plusieurs faiblesses structurelles. Les outils modernes permettent encore de casser le WPA en cas d’utilisation d’un mot de passe faible.

Si votre mot de passe Wi-Fi est quelque chose comme « 12345678 » ou « wifi-maison », un attaquant peut utiliser une attaque par dictionnaire pour le deviner. En lançant un outil comme Hashcat depuis un terminal Linux, il teste des millions de combinaisons par seconde jusqu’à trouver la bonne clé.

Conclusion sur WPA : bien qu’il ait marqué un progrès, WPA n’est plus considéré comme sécurisé pour protéger un réseau domestique ou professionnel moderne.

Pour en savoir plus, consultez notre Dictionnaire des termes essentiels du hacking et pentesting.

c) WPA2 : le standard devenu incontournable

Le protocole WPA2, lancé en 2004, est rapidement devenu le standard mondial. Il remplace TKIP par AES (Advanced Encryption Standard), un algorithme de chiffrement extrêmement robuste utilisé dans la plupart des systèmes gouvernementaux et bancaires. Deux modes existent :

  • WPA2-Personal (PSK) : pour les particuliers, basé sur une clé partagée (le mot de passe Wi-Fi)
  • WPA2-Enterprise : pour les entreprises, utilisant un serveur d’authentification (RADIUS) et des certificats pour identifier les utilisateurs.

WPA2 a considérablement réduit les risques d’attaque. Cependant, il n’est pas parfait. En 2017, une faille baptisée KRACK (Key Reinstallation Attack) a été découverte. Cette attaque permettait à un pirate de forcer le réutilisation de certaines clés de chiffrement, compromettant ainsi la confidentialité du trafic.

Les constructeurs ont depuis corrigé cette faille via des mises à jour, mais beaucoup de routeurs anciens ne reçoivent plus de correctifs.

Si votre box Internet date de plusieurs années et n’a jamais été mise à jour, elle peut encore être vulnérable à KRACK. Dans ce cas, un pirate à proximité pourrait intercepter votre trafic Wi-Fi, récupérer vos identifiants de connexion ou surveiller l’activité d’un terminal connecté à un serveur distant.

Conclusion sur WPA2 : solide, mais à condition que le routeur et les appareils soient mis à jour régulièrement.

d) WPA3 : la nouvelle génération

Le protocole WPA3, introduit en 2018, vient combler les lacunes de ses prédécesseurs. Son objectif est simple : rendre le Wi-Fi plus sécurisé, même pour les utilisateurs peu expérimentés.

Les principales améliorations sont :

  • Un nouveau mode d’authentification appelé SAE (Simultaneous Authentication of Equals), qui remplace le PSK et protège contre les attaques par dictionnaire hors ligne.
  • Un chiffrement renforcé, même pour les connexions ouvertes (par exemple dans les cafés ou les gares).
  • Une meilleure protection contre les attaques de force brute.
  • Une confidentialité accrue, même si un attaquant connaît une ancienne clé.

Avec WPA3, même si un pirate enregistre le trafic Wi-Fi entre votre ordinateur et votre serveur personnel, il ne pourra rien en faire sans participer activement à une session de connexion au moment précis où vous entrez votre mot de passe.

Conclusion sur WPA3 : c’est aujourd’hui la norme à privilégier.
Si votre routeur et vos appareils la prennent en charge, activez-la sans hésiter. Elle représente le meilleur niveau de protection accessible au grand public.

Identifier les failles d’un réseau Wi-Fi

Même avec un protocole moderne comme WPA2 ou WPA3, un réseau peut rester vulnérable si sa configuration n’est pas rigoureuse. La sécurité Wi-Fi repose autant sur le matériel que sur les habitudes de l’utilisateur.

Voici quelques points cruciaux à surveiller :

  1. Les mots de passe faibles ou partagés : un mot de passe trop simple est la première faille d’un réseau.
  2. Les routeurs non mis à jour : un micrologiciel obsolète peut contenir des failles connues publiquement.
  3. Les ports ouverts inutilement : certains appareils laissent des ports accessibles pour le contrôle à distance (accès SSH ou FTP), ce qui permettrait à un pirate d’entrer dans le réseau.
  4. Les serveurs locaux mal sécurisés : un terminal connecté au réseau, qui héberge un serveur web ou FTP non protégé, peut exposer des données confidentielles.
  5. Les réseaux invités : utiles mais risqués, s’ils ne sont pas isolés du réseau principal.

Les bonnes pratiques pour sécuriser efficacement son Wi-Fi

Comprendre les protocoles, c’est une étape essentielle. Mais dans la pratique, la sécurité de votre Wi-Fi dépend surtout de la façon dont vous configurez votre routeur et de vos habitudes d’utilisation. Même le meilleur protocole peut être inefficace si votre mot de passe est trop simple, ou si vous laissez un serveur accessible depuis l’extérieur sans précaution.

Voici, étape par étape, les pratiques à adopter pour sécuriser durablement votre réseau sans fil.

a) Changer le mot de passe par défaut

Cela peut sembler évident, mais c’est la première erreur que commettent la plupart des utilisateurs. Lorsque vous installez une box Internet ou un routeur Wi-Fi, celui-ci est livré avec des identifiants par défaut comme « admin/admin » ou « 1234 ». Ces informations sont publiques et facilement accessibles.

Un pirate n’a donc qu’à se connecter à votre réseau local (ou à distance dans certains cas) pour accéder à l’interface d’administration. À partir de là, il peut modifier la configuration, rediriger le trafic vers un serveur malveillant ou installer un accès caché.

Ce qu’il faut faire :

  • Changez immédiatement les identifiants d’administration du routeur.
  • Utilisez un mot de passe long, combinant majuscules, minuscules, chiffres et caractères spéciaux.
  • Évitez les mots de passe issus de votre vie personnelle (date de naissance, prénom d’un proche, etc.).

Si votre routeur est accessible à l’adresse 192.168.1.1, tapez cette adresse depuis votre terminal, puis rendez-vous dans la section « Administration » ou « Management ». Vous trouverez une option pour modifier le mot de passe d’accès.

b) Utiliser un chiffrement moderne (WPA2 ou WPA3)

Le protocole de chiffrement est la colonne vertébrale de votre sécurité Wi-Fi. Si votre routeur est encore configuré en WEP ou en WPA, votre réseau est vulnérable, même avec un mot de passe complexe.

Ce qu’il faut faire :

Formation web et informatique - Alban Guillier - Formateur

Des formations informatique pour tous !

Débutant ou curieux ? Apprenez le développement web, le référencement, le webmarketing, la bureautique, à maîtriser vos appareils Apple et bien plus encore…

Formateur indépendant, professionnel du web depuis 2006, je vous accompagne pas à pas et en cours particulier, que vous soyez débutant ou que vous souhaitiez progresser. En visio, à votre rythme, et toujours avec pédagogie.

Découvrez mes formations Qui suis-je ?
  • Ouvrez l’interface d’administration du routeur depuis un navigateur.
  • Recherchez la section « Sécurité Wi-Fi » ou « Wireless Security ».
  • Sélectionnez WPA2-PSK (AES) au minimum, ou WPA3-Personal si votre matériel le permet.

À éviter :

  • Les modes mixtes (WPA/WPA2) qui autorisent encore des connexions plus faibles.
  • Les protocoles TKIP, devenus obsolètes.

Astuce : Si certains anciens appareils ne se connectent plus après l’activation de WPA3, configurez un second réseau invité avec un chiffrement plus ancien, sans le relier à votre réseau principal.

c) Mettre à jour régulièrement le firmware de votre routeur

Comme tout système informatique, un routeur possède un micrologiciel (firmware). Ce logiciel gère la communication entre les terminaux et le serveur Internet de votre fournisseur d’accès. Lorsqu’une faille est découverte, les constructeurs publient des mises à jour de sécurité.

Malheureusement, la plupart des utilisateurs ignorent ces correctifs. Résultat : des milliers de routeurs dans le monde restent exposés à des vulnérabilités connues depuis des années.

Ce qu’il faut faire :

  • Connectez-vous à l’interface du routeur.
  • Cherchez la section « Mise à jour du micrologiciel » ou « Firmware Update ».
  • Téléchargez et installez la dernière version proposée.
  • Si votre routeur est ancien et n’est plus mis à jour, envisagez de le remplacer.

Bon à savoir : Certaines box récentes (comme celles des opérateurs français) se mettent à jour automatiquement. Mais si vous utilisez un routeur tiers, c’est à vous d’en vérifier la maintenance.

d) Désactiver le WPS (Wi-Fi Protected Setup)

Le WPS est une fonctionnalité pratique à première vue : elle permet de connecter un appareil au Wi-Fi en appuyant simplement sur un bouton, sans entrer de mot de passe. Cependant, cette fonction introduit une faille critique. Le code PIN associé au WPS peut être deviné par force brute en quelques heures seulement.

Ce qu’il faut faire :

  • Dans l’interface d’administration, désactivez complètement le WPS.
  • Connectez vos appareils manuellement avec le mot de passe.

Cela prend quelques secondes de plus, mais évite une faille sérieuse.

e) Cacher ou segmenter votre réseau

Certains utilisateurs choisissent de masquer le nom de leur réseau (SSID) pour éviter qu’il n’apparaisse dans la liste des Wi-Fi disponibles. Cette méthode ne rend pas le réseau invisible (les outils spécialisés le détectent toujours), mais elle ajoute une petite barrière contre les curieux.

Une autre approche plus efficace consiste à segmenter son réseau. Cela signifie séparer les appareils selon leur usage. Par exemple :

  • Un réseau pour les ordinateurs et serveurs.
  • Un réseau invité pour les visiteurs.
  • Un réseau isolé pour les objets connectés (caméras, assistants vocaux, etc.).

Ainsi, si un appareil est compromis, il ne pourra pas accéder au reste du réseau.

Par exemple, imaginons que votre caméra connectée soit piratée. Si elle est sur un réseau isolé, elle ne pourra pas communiquer avec votre terminal principal ni avec votre serveur de fichiers.

f) Surveiller les appareils connectés

Un autre réflexe important est de vérifier régulièrement les appareils connectés à votre Wi-Fi. La plupart des routeurs proposent une section appelée « Appareils connectés » ou « DHCP Clients », qui affiche la liste complète des équipements ayant une adresse IP locale.

Si vous y trouvez un terminal inconnu, c’est peut-être le signe d’une intrusion.

Ce qu’il faut faire :

  • Identifiez chaque appareil (par exemple : téléphone, PC, serveur NAS, TV connectée…).
  • Supprimez ou bloquez ceux que vous ne reconnaissez pas.
  • Changez immédiatement votre mot de passe Wi-Fi si un intrus est détecté.

Pour en savoir plus, consultez notre tutoriel complet sur DHCP : Comprendre la Gestion Automatique des Adresses IP

g) Sécuriser les serveurs et services internes

Beaucoup d’utilisateurs hébergent aujourd’hui des serveurs domestiques (NAS, serveurs web, FTP, ou encore SSH) sur leur réseau. Ces outils sont puissants, mais ils représentent aussi un point d’entrée potentiel pour un pirate.

Bonnes pratiques à adopter :

  • Désactivez l’accès à distance (WAN) si vous n’en avez pas besoin.
  • Utilisez des mots de passe robustes et des clés SSH plutôt que de simples identifiants.
  • Mettez à jour régulièrement vos systèmes et logiciels serveurs.
  • Si vous accédez à distance, privilégiez un VPN pour créer un tunnel sécurisé entre votre terminal et le serveur.

Tester la sécurité de son réseau Wi-Fi

Une fois votre réseau configuré, il est intéressant de vérifier concrètement son niveau de protection. Pour cela, plusieurs outils existent, souvent utilisés par les administrateurs systèmes pour auditer leurs infrastructures.

a) Wireshark

Wireshark est un analyseur de paquets. Il permet d’observer en détail les échanges entre votre terminal et le routeur. Vous pouvez ainsi vérifier si les données sont bien chiffrées, identifier les protocoles utilisés et repérer d’éventuelles anomalies.

Lancez Wireshark, sélectionnez votre carte Wi-Fi, puis observez le trafic.
Si vous voyez des données en clair (comme des adresses ou des mots de passe visibles), c’est que votre chiffrement est mal configuré.

b) Nmap

Nmap est un outil de diagnostic réseau très complet. Il scanne les adresses IP connectées à votre réseau et détecte les ports ouverts, les services actifs, et parfois même le type de système d’exploitation utilisé.

Exemple d’usage depuis un terminal :

nmap -sV 192.168.1.0/24

Cette commande scanne tout votre réseau local. Elle vous permet de savoir quels appareils sont actifs, quels serveurs tournent dessus et si certains services risquent d’être accessibles depuis l’extérieur.

c) Wifite et Aircrack-ng

Ces outils sont souvent utilisés à des fins éducatives pour tester la robustesse des protocoles. Ils permettent de simuler une attaque contre votre propre réseau, afin de voir s’il résiste à une capture de paquets ou à une attaque par dictionnaire.

Attention : Ces tests doivent être réalisés uniquement sur votre propre réseau, car leur utilisation sur des réseaux tiers est illégale.

Ils permettent toutefois de comprendre concrètement pourquoi un mot de passe faible ou un protocole obsolète comme WEP est dangereux.

Pour comprendre et utiliser ces outils, consultez notre guide sur Le Sniffing : comprendre, détecter et se protéger.

Sécurité avancée : aller plus loin

Pour les utilisateurs plus avancés, notamment ceux qui hébergent un serveur local ou travaillent dans le développement web, certaines mesures peuvent renforcer encore la sécurité.

  • Désactiver l’administration à distance du routeur.
  • Configurer un DNS sécurisé (par exemple Cloudflare 1.1.1.1 ou Quad9).
  • Installer un pare-feu local sur chaque terminal.
  • Activer le filtrage MAC, bien que contournable, pour limiter les connexions autorisées.
  • Surveiller les logs du routeur pour repérer toute tentative de connexion suspecte.

Enfin, si vous gérez un serveur accessible en ligne, pensez à chiffrer toutes les communications (HTTPS, SFTP, SSH) et à utiliser un certificat SSL valide.

Votre sécurité Wi-Fi, une responsabilité continue

Sécuriser son Wi-Fi n’est pas une tâche unique à faire une fois pour toutes, c’est une démarche continue. Les menaces évoluent, les protocoles changent, et de nouveaux outils apparaissent régulièrement. Mais avec les bons réflexes, vous pouvez garder une longueur d’avance.

Rappelez-vous : le meilleur protocole ne servira à rien sans une configuration rigoureuse. Changer vos mots de passe, tenir vos équipements à jour, surveiller vos appareils connectés et comprendre les bases du chiffrement, c’est déjà franchir 90 % du chemin.

En maîtrisant ces aspects, vous protégez non seulement votre réseau domestique, mais aussi vos terminaux professionnels, vos serveurs et vos données personnelles.
Vous gagnerez en sérénité et en performance, tout en développant une vraie culture numérique responsable.

La cybersécurité ne se résume pas à des pare-feux complexes ou des antivirus sophistiqués : elle commence chez vous, dans le paramétrage de votre Wi-Fi.

Articles relatifs

  1. Le Sniffing : comprendre, détecter et se protéger
    Lorsque nous naviguons sur Internet, nous avons souvent l’impression que nos échanges sont privés. Pourtant, dans certaines conditions, nos données peuvent être interceptées sans que nous le sachions. Ce procédé…
  2. Tutoriel nmap : Scan des ports, audit, test et intrusion
    Ce guide synthétise, étape par étape, une initiation à l’utilisation de nmap. Vous y apprendrez à utiliser ces différentes commandes, comprendre à quoi sert le scan de ports, tester les…
  3. DNS : comprendre les enregistrements A, AAAA, CNAME, MX …
    Découvrez le fonctionnement du DNS, les enregistrements A, AAAA, CNAME, MX, et apprenez à configurer, diagnostiquer et sécuriser votre domaine facilement. Un guide complet et clair pour tous les débutants….
  4. Attribut sandbox HTML5 : Sécurité et contrôle. Guide complet
    Découvrez comment l’attribut sandbox en HTML5 renforce la sécurité de vos iframes. Apprenez à l’utiliser efficacement, ses valeurs, ses limites et les meilleures pratiques pour protéger vos sites web….