Comment mieux protéger son réseau Wi-Fi : nos conseils

Accéder à sa box ou à son routeur

Avant tout, commencez par vous connecter à votre box ADSL/fibre, ou à votre routeur si vous en possédez un. Ouvrez votre navigateur (Firefox, Chrome, IE, Opera, Safari...) et dans la barre d'adresse, entrez l'IP de votre box. Elle se présente généralement sous la forme "192.168.xxx.xxx". Chez SFR par exemple, elle a pour adresse 192.168.1.1. En revanche, chez Free, c'est encore plus simple : il vous suffit d'entrer http://mafreebox.freebox.fr dans la barre d'adresse, et le tour est joué.
Entrez ensuite votre identifiant (admin, dans la plupart des cas) et votre mot de passe (identique à la clé Wi-Fi, que vous trouverez inscrite au dos de la box ADSL ou du routeur). Vous pouvez dès lors accéder à la configuration de de votre appareil. Notez qu'il existe, en cas de problème, un autre moyen de vous connecter à la box, sans entrer l'identifiant ni le mot de passe. Il vous suffit d'appuyer sur le petit bouton "service" de votre box, afin de supprimer pendant quelques minutes le système de protection par mot de passe.

Posez une question dans la catégorie Dossiers du forum
Cette page n'accepte plus de commentaires
37 commentaires
    Votre commentaire
  • vanbergerking
    GETMAC !? je dirais ipconfig /all où l'adresse mac est à la ligne "adresse physique"
    1
  • mitch074
    Ouh là... Joli ramassis d'ânerie, et qui oublie un énorme écueil, en plus!
    - filtrer par adresse MAC: c'est devenu complètement inutile, car la meilleure manière de s'introduire sur un réseau est de spoofer un des appareils ayant l'autorisation, donc de reproduire son adresse MAC - facilement exécutable, puisque désormais la plupart des puces wi-fi sont intégralement programmables. Exit également la "protection" de la suppression du DHCP par la même occasion. En plus, désactiver le DHCP demande de configurer ses DNS manuellement.
    - dissimuler le SSID: pas faux, par contre si vous vous en servez, vous verrez les batteries de vos appareils mobiles fondre au soleil: comme la borne n'émet plus de SSID, c'est les mobiles qui passent leur temps à sonder.
    - mot de passe: NE PAS UTILISER DE TERMES! Utilisez un générateur de mot de passe aléatoire, et prenez-vous par la main pour le saisir sur tous vos appareils - c'est plus long certes, mais au moins ça ne réduit pas de 95% la protection proposée!
    - WPA/WPA2: le WPA a été cassé, effectivement, mais sur le WPA2, seule la méthode de cryptage TKIP est vulnérable - un WPA2/AES ne peut encore actuellement être battu que par attaque brute.

    Passez donc en WPA2/AES, avec un bon mot de passe et le WPS désactivé, et vous aurez une protection élevée avec un confort d'utilisation plus que raisonnable.
    0
  • Nerolevoli
    +1 avec mitch074.

    Conseils à la con où l'on parle justement de toutes les "astuces" techniques qui comportent des failles. Mais j'avoue que je le voyais gros comme une maison quand j'ai cliqué sur le nom du dossier.


    Juste une contre proposition pour le mot de passe :

    Utilisez plutôt une phrase facile à retenir pour vous. Faites en sorte que celle-ci comporte des espaces et/ou de la ponctuation. Vous pouvez également remplacer certaines lettres par des chiffres (ex: e --> 3). Cela peut avoir l'avantage d'être facile pour vous, et très difficile pour un robot de retrouver le pass.
    -1
  • tatawin33
    +1 mitch, a ceci près:
    - le wpa n'est pas cassé du tout c'est une légende urbaine, des chercheurs ont tout juste réussi à décoder partiellement certains paquets
    - le ssid s'il n'est pas diffusé par le point d'accès l'est par les appareils connectés. donc inutile de le cacher effectivement
    ce long article peut se résumer ainsi:
    1) si possible utiliser exclusivement wpa2/aes
    2) avec une clé de 63 caractères, générée aléatoirement avec tous ceux utilisables (espace, caractères spéciaux, etc)
    3) désactiver toutes les saloperies dont le nom ressemble à wps, easy pairing, etc
    4) inutile de s'occuper du reste, les options par défaut suffiront
    0
  • Adrien Bonnel
    J'adore cette partie : Il existe pour cela des services lignes comme celui proposé par Galipe.net, celui de SkyMinds, ou encore celui deDelahaye.fr.

    Qui vous dit que les sites en question ne stockent pas les clés générées et ne les diffusent pas ensuite ? Ou alors qu'elles ne seront pas diffusées par un pirate qui a pris le contrôle ? Certes là on part sur de la paranoïa pure et dure, mais quand on diffuse un article de ce genre, il faut y songer. Il est donc préférable d'utiliser un générateur, libre de préférence, tel que Wi-Fi Password Key Generator (http://securityxploded.com/wifi-password-key-generator.php), soit effectivement utiliser le Leet Speak.
    1
  • baron_violet
    @mitch074
    Et comment fais-tu pour connaître l'adresse MAC sans être sur le lan si le wifi est protégé en WPA2 ? Tu as un playstation magique, non ?
    0
  • FuN_KeY
    Je suis consterné par cet article, les conseils sont vraiment pas bon et datent du début des années 2000...

    Le filtrage MAC et les IPs fixes ne servent à rien à par à se faire chier. Quelqu'un qui a casser la clef de cryptage spoofera une MAC/IP en 60 seconde chrono, vu que ces infos passeront désormais en clair dans les trames.

    Ensuite, cacher le SSID n'est pas non plus une mesure efficace. Un wifi est visible même caché s'il y a du trafic. Cela péjore juste la batterie des périphériques clients car ils doivent faire des tentatives de connections plus couteuses pour déterminer la présence du wifi.

    Et, vous êtes complètement passé à côté du WPA Enterprise, qui lui offre la meilleure des protections, avec la possibilités d'avoir des credentials distincts pour différents utilisateur et un renouvellement fréquent des clefs.
    -1
  • shiven777
    " L'idéal, pour contrer toute menace, est de couper le serveur DHCP." trolololo ? wtf ? On peut aussi couper l'électricité...ça marche bien.
    0
  • baron_violet
    @FuN_KeY

    Spoofer, bien sûr, mais n'as tu que cela à faire chez un simple quidam ? Combien de temps vas-tu mettre à casser un mot de passe de 26 caractères qui change toutes les mois chez moi ? Tu vas rester dans ma cage d'escalier sans te faire repérer ?!

    Et puis ensuite, une fois la clé wifi cassée, une de mes cartes spoofée, tu vas faire quoi ? Te connecter à Internet depuis chez moi au lieu d'aller au mac do du coin pour mettre à jour ton profil facebook ? Attaquer mon syno qui va te blacklister tout de suite ? Te connecter à ma TV qui est sur un vlan particulier ?

    En théorie, on peut tout, mais même la "neuseua" US va plutôt implémenter une porte dérobée plutôt que de perdre un temps considérable à tenter de pénétrer un wlan correctement configuré...

    La question ici n'est pas de se protéger des super hacker comme toi, car évidement rien n'est à l'abri d'un gros malin, mais plutôt de savoir si tu as les ressources pour le faire (temps, matériel etc...), mais plutôt de mettre en œuvre des méthodes de base pour protéger efficacement les utilisateurs lambda des hackers du dimanche.

    A bon entendeur...
    0
  • baron_violet
    Désolé pour les doublons, j'attends depuis au moins 1h30 le mail de confirmation pour activer mon compte...
    0
  • FuN_KeY
    @baron_violet
    L'article discute de la sécurité du wifi, et non de ce que je pense faire de mon temps libre. Supposer que les gens ont autre chose à faire que de hacker son wifi peut être vue comme une mesure de sécurité; mais c'est loin d'être très efficace. C'est même tellement faible que ca n'a même pas été abordé dans cet article :-)

    Ensuite, sache que les attaques sur WPA/WPA2 sont de type offline. Il est du coup tout à fait possible de craquer ton wifi tout en étant à 1000km au chaud.

    Ce qu'on peut faire ensuite? C'est très varié, ca va du détournement de virement bancaire jusqu'à l'échange d'images pédophiles en passant par la jonction à un botnet.

    Et finalement, un hacker (du dimanche ou pas...) qui s'est donné la peine de tomber la clef WPA ne rencontrera aucune résistance à tomber le filtrage MAC/IP car c'est juste trivial. C'est comme mettre une porte en balsa derrière une porte blindée. Si ca n'était pas contraignant ca passerait encore, mais c'est justement loin d'être le cas.
    0
  • baron_violet
    Parce que tu penses que mes stations et serveurs ne sont pas protégées par mot de passe ?
    Que mes partitions ne sont pas cryptées ?
    Que j'utilise les gestionnaires de mots de passe de mes browsers au lieu d'un clavier virtuel pour entrer mes mots de passe ?
    Que je possède pas de sonde pour détecter une intrusion avant spoof d'une IP ?
    Que je ne sais pas qu'un bot doit acquérir des droits type root pour s'installer ?

    Et c'est quoi une attaque "wifi offline" sur un émetteur/récepteur qui "pisse" dans un radius en forme d'oeuf et qui rencontre des obstacles ? Je te le demande car j'ai juste 20 ans de métier en informatique...

    Tiens, soyons triviaux à deux, je te file mon adresse IP et on voit ce que tu sais faire, ça te va ? Chiche !
    0
  • baron_violet
    "Supposer que les gens ont autre chose à faire que de hacker son wifi peut être vue comme une mesure de sécurité; mais c'est loin d'être très efficace. C'est même tellement faible que ca n'a même pas été abordé dans cet article :-)"
    Certes, mais n'as-tu pas besoin de TEMPS pour hacker un wifi protégé par WPA, c'est justement l'obstacle principal, au contraire, le jeu en vaut-il la chandelle (temps dépensé pour y arriver) ?
    0
  • baron_violet
    D'ailleurs, tu ne m'as pas répondu :
    "Combien de temps vas-tu mettre à casser un mot de passe de 26 caractères" ?
    Avec quelle distrib ?
    0
  • baron_violet
    Mon temps, je vais le consacrer à la fin du masters de Londres.
    Ce sujet est évidement un "marronnier" journalistique, néanmoins, l'application des conseils de l'article est si non l'assurance d'une absence d'intrusions certaines, au moins un bon début pour se mettre à l'abri de 99,99% de ces dernières (sauf si vous habitez près de chez un hacker de talent, auquel cas et s'il vous en veux ;-)
    A implémenter donc, à mon humble avis.
    0
  • FuN_KeY
    Pour ce qui est de casser un mot de passe de 26 caractère, je ne peux pas te répondre. En pur brut force ca prendra du temps certain, avec un dictionnaire et des combinaisons adéquates ca peut aller plus vite; c'est pas déterministe. J'ai regardé en vitesse, mais il y aurait même des rainbows tables pour accélérer le tout (ca me surprend, il me semblait que c'était fortement salé).

    Ensuite oui, pour réduire les problèmes il est possible de changer la clef WPA genre tous les mois; mais personnellement je ne connais personne qui fait ca car c'est horriblement chiant; il faut se repalucher tous les appareils; surtout sur les console, smartphones, TV, ...

    Vu que les tentatives sont du pur calcul (hashage & co) il faut juste de la puissance CPU.

    Pour ce qui est de l'attaque offline, j'ai peut-être été ambigu. L'attaque ne peut pas être réalisée complètement offline. Il faut être à porté du wifi durant 5 secondes pour capturer un authentification. Ensuite le reste de l'attaque peut être conduit hors ligne.

    Ensuite, une fois sur le réseau c'est fini. Pour installer un malware il suffit de manipuler le contenu HTTP des requêtes de ton client pour te faire downloader une merde au lieu de ton beau driver; tu taperas toi-même ton mdp admin pour l'installer.

    L'accès au filer se fera en rejouant des hash interceptés sur le réseau; ca va aller très vite. Le cryptage n'y pouvant rien, ceci étant une mesure contre le vol, dès que le share est monté en CIFS/NFS c'est mort.

    Non, je n'ai aucune intention de hacker qui que ce soit; ce n'est pas le débat. Tout ce que je veux dire c'est que les systèmes informatiques sont souvent plus vulnérables que tu sembles le croire. Un réseau compromis peut rapidement amené un nombre de désagréments important comme je l'ai expliqué plus haut.

    Et, encore une fois pour remettre les choses dans leur contexte, quelqu'un qui lit cet article cherche à faire comme il faut avec son wifi de manière raisonnable, et donc à se prémunir des pirates du dimanche. Il existe des recommandations simples, efficaces et moins contraignante que celles décrites dans l'article (p.ex faire du routage entre le réseau cablé & le wifi). Et, quoi que tu en penses, le WPA Entreprise (RADIUS) aurait du être mentionné. Et oui, le WPA/WPA2 et la désactivation du WPS sont pertinents; mais la désactivation du DHCP, le mac filtering et le fait de masquer le SSID ne le sont pas
    0
  • baron_vert
    Ce brassage de vent commence à me souler et je vais en terminer avec un autre pseudo puisque je n'ai toujours pas reçu de mail pour confirmer mon inscription.

    "Pour ce qui est de casser un mot de passe de 26 caractère, je ne peux pas te répondre."

    - C'est bien le problème, surtout lorsque l'on n'utilise jamais de mots du dictionnaire français ou anglais et qu'ils sont bien mélangés avec chiffres majuscules et autres signes utilisables ou pas, en fonction du matos.

    "Ensuite oui, pour réduire les problèmes il est possible de changer la clef WPA genre tous les mois; mais personnellement je ne connais personne qui fait ca".

    -Après ne t'étonne surtout pas que certains se fassent pirater leur wifi et que je force mes utilisateurs à changer de mot de passe de session sur leur station, sans réutiliser le dernier, avec certaines contraintes typographiques et ce, très régulièrement. C'est chiant, mais c'est comme ça et j'ai l'aval de mon DSI, sur ma recommandation. Reste un problème, le social engineering, mais on forme les gens par rapport à cela, en pure perte parfois...

    "Pour ce qui est de l'attaque offline, j'ai peut-être été ambigu. L'attaque ne peut pas être réalisée complètement offline. Il faut être à porté du wifi durant 5 secondes pour capturer un authentification. Ensuite le reste de l'attaque peut être conduit hors ligne."

    -Tu va récupérer le beacon et ensuite quoi ? Comme l'a dit un des intervenants, tu peux même éteindre ton wifi lorsque tu ne l'utilises pas et si ton routeur ne gère pas cette fonction, tu utilises une simple prise avec timer, au matin, le routeur ou le wifi repart et c'est tout. La probabilité de récupérer le beacon est inexistante si le routeur est éteint...

    "Ensuite, une fois sur le réseau c'est fini."
    - Avec ce que je viens de te dire, tu ne peux pas entrer sur mon lan, et tu me parles d'installer un malware dans mon browser, juste en ayant un accès à mon lan ?
    C'est justement lorsque tu te connectes à un site web exploitant une "exploit" de ton browser (ou par exemple un .pdf etc.) non encore inventorié par les anti-virus ou les sites de type zataz.com, que tu te fais installer un virus ou un malware, pas en accédant seulement au réseau ! Et tu crois que je télécharge mes drivers sur je_vais_vous_hacker.com ? Non, chez le fabricant en checkant l'intégrité du fichier en question, sans le mettre en prod de suite.

    "L'accès au filer se fera en rejouant des hash interceptés sur le réseau; ca va aller très vite. Le cryptage n'y pouvant rien, ceci étant une mesure contre le vol, dès que le share est monté en CIFS/NFS c'est mort."

    - D'abord c'est quoi un "filer" ? Un shell ? Et en tant que root ?!
    Ensuite, je vérifie EVIDEMENT que je n'ai pas de partitions cachées sur mes disques, tu crois quoi ? ET cela va très vite ? Combien de temps, encore ?!
    Par ailleurs, "des hash interceptés sur le réseau", tu crois qu'on ne remarque pas une carte réseau qui sniffe tout le trafic en mode promiscuité ?! Tu crois que je vais laisser passer une carte sniffant tout le trafic réseau longtemps ????!!!!!

    "moins contraignante que celles décrites dans l'article (p.ex faire du routage entre le réseau cablé & le wifi)"

    -Moi pas comprendre du tout ce que toi vouloir dire, désolé.

    "Et, quoi que tu en penses, le WPA Entreprise (RADIUS) aurait du être mentionné."

    - Mais je n'en pense que du bien, mais combien d'utilisateur lambda implémentent-ils un serveur radius ??!!
    Plus encore, comment faire si ton routeur fourni par fon FAI ne le propose pas (l'authentification par serveur radius) ? Le mettre en mode bridge, acheter puis configurer un routeur qui en est lui capable, puis installer et configurer un serveur radius.
    Bien sûr, c'est BEAUCOUP plus simple que de changer régulièrement son mot de passe wifi sur ses appareils domestiques ;-).
    C'est ça tes "recommandations simples, efficaces et moins contraignante que celles décrites dans l'article" ?
    Ben chapeau bas, pour être simples, elles sont simples tes recommandations !!!!

    "Et, encore une fois pour remettre les choses dans leur contexte, quelqu'un qui lit cet article cherche à faire comme il faut avec son wifi de manière raisonnable, et donc à se prémunir des pirates du dimanche."

    - Nous y sommes, l'article ("sécuriser votre réseau wifi" est effectivement un marronnier journalistique récurrent) vise à sécuriser à minima un réseau personnel et là je dis bravo, car je suis sidéré par le nombre de gens qui n'implémentent même pas ces mesures de base, à commencer par un simple mot de passe d'ouverture de session...
    Complète cela par un bon anti-virus (c'est incroyable le nombre de gens qui n'en n'ont pas et qui ne mettent pas à jour leur système d'exploitation et leurs applis).

    Vouloir se prémunir des malveillants sans s'impliquer un minimum dans les problématiques de sécurité n'est juste pas possible.

    Je suis désolé, mais tes explications avec des mots savants mais sans le simple début du comment faire, ne me convainquent pas du tout.

    Sur ce, j’ai une vie à vivre, vu que tu ne veux pas me faire l’honneur de vouloir hacker mon réseau perso, je me casse…
    0
  • Adrien Bonnel
    Anonymous a dit :
    jusqu'à l'échange d'images pédophiles

    C'est le pire des cas qui pourrait se produire selon moi.
    0
  • FrodonVerts
    Plutot que regarder ma 9box toutes les 2 minutes pour voir si y'a un pirate connecté, j'utilise le soft Achiwa, ça s'installe en 2s et ça fait le boulot à ma place ;-)
    0
  • FuN_KeY
    @baron_vert
    C'est pas moi qui rédige l'article, je parle de concepts. Pour de beaux totu plein de capture il y a google.

    Ensuite, pour ton histoire de DSI tout ca. Une entreprise qui n'implémente pas du WPA entreprise (qui résout ce genre de problèmes et plus) et qui possède plus de 20 users en wifi fait purement et simplement de la merde (sauf si réseau Guest). Et ce quelles que soit les vagues tentatives de bidouillages (arrêt du wifi entre certaines heures, ...)

    Pour l'attaque du WPA, il n'est pas question du capturer un beacon, mais une authentification; ca n'est pas tout à fait pareil.

    Et ensuite oui, une fois sur le LAN il est tout à fait possible de te faire installer n'importe quoi. Au risque d'encore utiliser des mots "compliqués" il est tout à fait possible de détourner le flux entre ton PC et le router vers une autre machine. Cette machine peut ensuite complêtement manipuler le flux HTTP, et alors que tu penses downloader ton dernier driver nvidia tu ramasses un beau virus.

    Le promiscuous est complètement passif, je me demande bien comment tu veux le détecté, d'autans plus si l'addresse IP/MAC est spoofée pour être celle d'un périphérique connu.

    Je comprend pas bien pourquoi tu t'obstines à démontrer que j'ai tord. Si réellement tu veux y parvenir explique-moi simplement quelle est la plus-value de la suppression du DHCP et du filtrage MAC. J'ai jamais dit qu'un particulier devait implémenter le WPA Enterprise. Simplement dans un article qui traite de la sécurité du wifi sa simple mention me parait nécessaire, pour ceux qui souhaiteraient approfondir.

    Tout ce que j'ai voulu dire avec cela, c'est que dans des zones à forte densités il faut faire attention car un réseau wifi hacké sont souvent sous-estimées. Suffit d'un étudiant en informatique un peu malsain et pas trop con dans un gros immeuble.
    1