Sécuriser son Réseau Wi-Fi à Domicile : Le Guide Complet 2024
Mot de passe Wi-Fi faible, WPS activé, firmware obsolète, DNS non chiffré : votre réseau domestique est peut-être une passoire. Ce guide vous explique comment le sécuriser efficacement en 30 minutes.
Pourquoi votre réseau Wi-Fi domestique est une cible
Un réseau Wi-Fi mal sécurisé expose non seulement votre connexion internet à des utilisateurs non autorisés, mais surtout vos appareils connectés (PC, NAS, caméras, assistants vocaux) à des attaques locales. Un attaquant sur votre réseau peut intercepter le trafic non chiffré, accéder à vos partages réseau et compromettre vos appareils IoT souvent mal protégés.
Étape 1 : Changer les identifiants par défaut du routeur
L'accès à l'interface d'administration du routeur (généralement 192.168.1.1 ou 192.168.0.1) utilise des identifiants par défaut (admin/admin, admin/password). Ces combinaisons sont publiques et les premières testées lors d'une attaque. Changez immédiatement le mot de passe admin — utilisez un gestionnaire de mots de passe (Bitwarden, 1Password).
Étape 2 : Protocole Wi-Fi — WPA3 ou WPA2-AES
- WPA3 : standard actuel, résistant aux attaques par dictionnaire offline. Activez-le si votre routeur le supporte (la plupart des routeurs > 2020).
- WPA2-AES : acceptable si votre routeur ne supporte pas WPA3. Évitez WPA2-TKIP (vulnérable).
- WEP et WPA1 : à bannir absolument — cassables en quelques minutes.
- Mode mixte WPA2/WPA3 : bon compromis pour la compatibilité avec les appareils anciens.
Étape 3 : Désactiver le WPS
Le WPS (Wi-Fi Protected Setup) permet de connecter des appareils par un code PIN à 8 chiffres. La faille Pixie Dust et les attaques bruteforce rendent ce code cassable en quelques heures. Désactivez systématiquement le WPS dans les paramètres Wi-Fi de votre routeur.
Étape 4 : Mettre à jour le firmware du routeur
Les routeurs grand public reçoivent rarement des mises à jour automatiques. Vérifiez manuellement la disponibilité d'un firmware récent sur le site du fabricant et appliquez-le. Les failles non patchées (ex. : Unauthenticated RCE sur les routeurs TP-Link, ASUS, Netgear) sont régulièrement exploitées.
Étape 5 : Créer un réseau invité isolé
Configurez un VLAN/réseau invité séparé pour vos appareils IoT (ampoules connectées, thermostats, caméras) et vos visiteurs. Ce réseau ne doit pas pouvoir communiquer avec votre réseau principal. La plupart des routeurs modernes (Asus, TP-Link, Netgear) intègrent cette fonction.
Étape 6 : DNS chiffré (DoH ou DoT)
Par défaut, vos requêtes DNS sont en clair — votre FAI peut voir tous les domaines que vous visitez. Configurez un DNS chiffré : DNS over HTTPS (DoH) ou DNS over TLS (DoT) avec Cloudflare (1.1.1.1), Quad9 (9.9.9.9) ou NextDNS. Certains routeurs modernes supportent DoH nativement.
Bonus : désactiver l'administration à distance
L'accès distant à l'interface admin du routeur (Remote Management) est inutile pour un usage domestique et représente une surface d'attaque. Désactivez-le dans les paramètres WAN du routeur.