Depuis que je suis rentré de vacances, j’ai constaté un changement chez mes voisins: un certain nombre d’entre eux ont installé un réseau Wifi. Pour la plupart, il n’y a aucune sécurité. Si ma connexion tombait en panne, j’aurais le choix parmi une demi-douzaine de réseaux ouverts ! C’est bien d’habiter en appartement… Les gens qui n’y connaissent rien en informatique peuvent acheter une LiveBox, dans ce cas il y aura un système minimal de sécurité préinstallé (WEP). Ou bien ils peuvent suivre les conseils avisés d’un ami informaticien et acheter un routeur d’un fabricant tiers pour mettre en place leur réseau domestique. Dans ce cas, il n’y aura aucune sécurité par défaut, le réseau sera ouvert et représentera un trou de sécurité béant.
Les gens croient au plug ‘n’ play, mais cela n’existe pas en matière de réseau. Avoir un réseau ouvert dans un immeuble en plein Paris, c’est s’exposer à des détournements de sa connexion. Si quelqu’un utilise votre ligne, la première conséquence est que votre bande passante sera réduite. S’il se met à télécharger sur les réseaux P2P, non seulement votre vitesse de navigation sera considérablement ralentie (vous aurez plus l’impression d’être connecté en 56K qu’en ADSL), mais vous pourrez avoir de sérieux ennuis selon le contenu téléchargé. Vous êtes responsable des données qui transitent par votre connexion… et allez prouver que ce n’était pas vous qui étiez connecté !
Il vous faut donc impérativement sécuriser votre réseau Wifi. Ce n’est pas compliqué dans l’absolu, mais c’est totalement inaccessible aux novices. Cet article a pour but d’expliquer un certain nombre de techniques pour renforcer la sécurité de votre réseau. Si vous suivez toutes ces instructions votre réseau sera très bien protégé pour un réseau domestique, la plupart des gens qui ont sécurisé leur réseau n’ayant pas mis en oeuvre le tiers de ces techniques.
Théorie et définitions
Je tiens à expliquer dans un premier temps quelles sont les principales techniques à mettre en oeuvre pour sécuriser un réseau Wifi, pour ensuite passer à une démonstration pratique. Les techniques sont exposées de la plus essentielle à la moins importante ; mais gardez quand même à l’esprit que chaque nouvelle technique mise en oeuvre renforce un peu plus la sécurité globale du réseau.
Protéger l’accès par un mot de passe et crypter les données en transit
La première technique à mettre en oeuvre est l’activation du cryptage automatique des données qui transitent par Wifi. Vous avez pour cela 2 protocoles de cryptage: WEP et WPA. Le WEP est relativement célèbre puisqu’il est actif sur la plupart des “Box” (LiveBox, FreeBox, etc…) vendues. Il est néanmoins totalement obsolète. Il n’arrêtera que quelqu’un qui n’y connait rien ; il ne m’arrête pas (en 10 minutes, c’est expédié). Pour vous en persuader, tapez “wep hacking” sur Google, et vous trouverez de nombreuses pages vous expliquant comment casser une protection WEP. Il faut donc utiliser le protocole WPA qui est beaucoup plus difficile (mais pas totalement impossible…) à hacker (“hacker” signifie ici “faire tomber les sécurités”). De plus, le WEP nuit à la fiabilité du réseau et à sa portée, alors que ce n’est pas le cas pour le WPA.
Le cryptage WPA, comme le WEP, fonctionne sur un principe simple: un mot de passe automatiquement utilisé par le routeur pour crypter les données, et le même mot de passe utilisé par l’ordinateur pour les décrypter. Comme tout mot de passe, il ne doit pas pouvoir être trouvé d’après vos données personnelles. Ne mettez pas votre nom ou date de naissance… Le mot de passe doit également être assez long et alphanumérique (des chiffres et des lettres). Par exemple: kjsd8976dhs7ww4hpzx8bqj09dmH6d3b est un excellent mot de passe 
Changer le nom du réseau
C’est ce qui m’a donné l’idée d’écrire cet article. Je me connecte souvent, en province, à un réseau appelé NETGEAR (nom par défaut donné par les routeurs de cette marque à tout nouveau réseau). Les Mac sous OS X gardent en mémoire les réseaux fréquemment utilisés et s’y connectent automatiquement. Mon réseau à Paris a été indisponible pendant les quelques secondes qu’a nécessité le redémarrage de mon routeur. J’ai eu le malheur d’allumer mon ordinateur pendant ce temps, et il s’est automatiquement connecté à un réseau du voisinage appelé NETGEAR. J’étais donc sur le réseau de mon voisin, sans même m’en être rendu compte.
D’où l’impératif suivant: changez le nom du réseau ! Le nom de votre chat conviendra parfaitement, si vous ne passez pas votre temps à lui courir après dans le jardin en hurlant son nom…
Désactivez la diffusion SSID
Les routeurs sont paramétrés par défaut pour diffuser le nom de votre réseau, cela s’appelle la diffusion du SSID. Tout ordinateur Mac ou PC pourra alors sélectionner votre réseau dans la liste des réseaux disponibles et s’y connecter en entrant le mot de passe associé. Désactivez la diffusion du SSID. Le nom du réseau ne sera plus diffusé, et il faudra entrer manuellement son nom pour pouvoir s’y connecter. Pour entrer manuellement le nom, il faut déjà savoir que le réseau existe et, en plus, connaître son nom… c’est bête, mais imparable !
Il existe des logiciels qui permettent de repérer les réseaux qui ne diffusent pas leur SSID. Masquer son SSID est donc nécessaire, mais non suffisant : cela permet de réduire les risques, mais pas de se protéger contre une attaque ciblée.
Filtrez les adresses MAC
Chaque appareil doté de capacités Wifi possède une adresse MAC unique et immuable. L’adresse MAC, du type 00:0F:76:EB:83:D9, est l’empreinte digitale de votre matériel. Vous pouvez paramétrer votre routeur pour n’accepter que les connexions venant de certaines adresses MAC, et rejeter toutes les autres. Les LiveBox de Wanadoo sont configurées automatiquement pour mettre en oeuvre le filtrage des adresses MAC: quand vous mettez une LiveBox en mode “association”, elle enregistre une nouvelle adresse MAC autorisée.
Le filtrage des adresses MAC constitue une protection supplémentaire nécessaire mais non suffisante. Il est en effet possible de récupérer l’adresse MAC d’un périphérique autorisé par le routeur, puis de se connecter en usurpant cette adresse (en utilisant un logiciel de virtualisation, par exemple).
Changer le mot de passe du logiciel d’administration
Vous accedez au logiciel d’administration de votre routeur depuis votre navigateur, en entrant un login (nom d’utilisateur) et un password (mot de passe). Par défaut, il s’agit souvent des couples {admin,admin} (pour les LiveBox par exemple) ou {admin,password} (pour les routeurs Netgear par exemple).
Imaginez la situation suivante: je tombe sur votre réseau Netgear qui s’appelle tout bêtement “NETGEAR” et qui n’a aucune protection. Je me connecte, j’accède à l’interface d’administration avec {admin,password}, je fais mes petites modifications et je change ce couple nom d’utilisateur / mot de passe. Vous perdez le contrôle de votre connexion: je peux désormais l’utiliser, mais pas vous. Changez donc impérativement le nom d’utilisateur et le mot de passe.
Réduction de la portée du réseau
Certaines bornes Wifi peuvent être paramétrées pour réduire leur champ d’action. C’est la protection la plus drastique, elle est même totale et définitive: s’il n’y a pas de couverture, il est impossible de se connecter au réseau. L’inconvénient est que vous ne pouvez pas savoir exactement quel est le rayon de couverture du réseau.
Serveur RADIUS
L’installation d’un réseau RADIUS est une technique de protection avancée (notamment utilisée sur le matériel CISCO). Cette technique étant destinée avant tout aux entreprises je n’en parlerai pas plus ici, mais vous savez au moins que ça existe.
En pratique
Pour ce cas d’école, je vais reproduire un schéma simple: une LiveBox connectée à la prise téléphonique et faisant office de modem ADSL. Une borde Airport connectée à la LiveBox et qui s’occupe du routage des données. Enfin, une autre borne Airport branchée à la chaîne hifi et à l’imprimante, et communiquant sans fil avec la première borne. Installer un tel réseau prendra approximativement 10 minutes.
Voici le schéma de ce réseau:
La première chose à faire est de désactiver le réseau Wifi sur la LiveBox (car elle fait tout mal… c’est un vrai désastre ce truc). Pour cela, tapez l’adresse http://192.168.1.1/ dans votre navigateur, puis identifiez vous. Vous accèderez à la page d’accueil du logiciel d’administration de la LiveBox. Cliquez sur Réseau sans fil dans le menu principal (1). Cliquez ensuite sur le bouton Désactiver qui se transformera en Activer immédiatement après cela (2). L’état de la diffusion Wifi de la LiveBox devrait maintenant être passé à désactivé (3).
Branchez la première borne Airport à la LiveBox par Ethernet (cable droit), en utilisant la prise rouge. Installez également la seconde borne Airport, qui ne sera pour l’instant connectée à aucun appareil. Lancez l’Utilitaire Admin Airport situé dans Application/Utilitaires sur Mac ou dans le menu démarrer de Windows, après installation des drivers fournis sur le CD allant avec la borne Airport. Vous devriez voir les deux bornes dans la liste, avec leurs noms d’origine: Base Station XXXX. Dans l’image ci-dessous, les noms originaux ont été changés.
|
Sélectionnez la borne branchée à la Livebox et paramétrez là ainsi: (voir les images ci-contre, cliquer dessus pour agrandir)
|
 |
 |
|
 |
Rendez vous ensuite sur l’onglet Accès et entrez les adresses MAC de vos différents ordinateurs comme montré dans l’image ci-dessous.
Pour finir, rendez vous sur l’onglet WDS, activez la borne en tant que borne principale, permettez l’accès aux clients sans fil et cliquez sur le bouton ” + ” pour ajouter automatiquement votre seconde borne Airport (dont le nom est donné dans la liste des bornes disponibles, voir ci-dessus). Validez en cliquant sur “Mettre à jour” pour que vos deux bornes Airport se configurent et redémarrent.
Votre réseau est prêt ! Il ne vous reste plus qu’à vous connecter.
{ 20 comments… read them below or add one }
Bonjour,
Je possede une borne airport, g autoriser mon voisin a se connecter dessus, je le connais depuis longtemps et en meme temps on partage les frais.
Je penses qu’en ce moment quelqu’un utilise a mon insu mon reseau. Comment le savoir ?, existe t-il un moyen de savoir qui est connecte a mon reseau par le bie d’un logiciel ?
Par contre je v mettre en pratique des que possible votre solution pour les reseaus wifi.
Informations très instructives, pour un récent utilisateur de wifi et de la borne Airport. Ceci dit j’ai un autre problème à résoudre, je ne suis pas parvenu à permettre la connection automatique à mon réseau wifi au démarrage de l’ordinateur.
PC ou Mac ? Pour les mac, normalement le système demande, à la première connexion, s’il doit à l’avenir se connecter automatiquement à ce réseau. Cette option peut être modifiée dans les préférences système. Sous PC/Windows, la connexion est aussi automatique si le réseau est dans la liste des réseaux connus.
Bonjour,
très instructif votre article. (idem celui sur la réparation des autorisations sous Mac OS X)
Lorsque j’essaie d’appliquer vos recommandations à ma configuration (freebox, PC en Ethernet sur la freebox, PowerBook en Wifi avec une carte USB D-LINK DWL-122) je fais face à plusieurs questionnement :
- Comment desactiver la diffusion du SSID sur la page de gestion du service routeur du site de free (il n’en ai pas fait mention)
- Le driver de la D-LINK DWL-122 ne propose pas de protection WPA mais propose uniquement le WEP
- Le gestionnaire de réseau du PowerBook reconnait la clé USB comme un port Ethernet (en1)(?????) et affiche un “ID Ethernet” de la forme XX:XX:XX:XX:XX:XX. Est-ce la même chose que ce que vous appelez l’adresse MAC ? – On trouve mention des adresses MAC dans la rubrique “baux DHCP permanents” de la page de gestion des fonctions routeur de la freebox. Est-ce bien ce qui permet de filtrer les adresses MAC ?
- Est ce que le mot de passe du logiciel d’administration est celui que j’utilise lorsque je m’identifie sur la page d’acceuil de free.fr afin d’accéder, entre autre, aux configuration routeur et Wifi de la freebox…
En bref, de toutes vos préconnisation je n’arrive qu’à en appliquer qu’une, le changement de nom du réseau. J’ai bien renseigné un champs “baux DHCP permanent” avec une adresse IP Ethernet mais je ne suis pas sure d’avoir vraiment filtré les adresse MAC en faisant cela.
Merci en tout cas pour vos articles, très clairs, très bien écrit.
Je ne connais pas du tout la Freebox. Je vais donc essayer de répondre en disant ce qui me semble logique, mais ça ne signifie pas que ce sera exact.
- Je ne sais pas si c’est possible avec la Freebox. Il te faudra chercher un peu: “réseau caché”, “ne pas diffuser le nom”, etc…
- Peut-être une mise à jour du firmware est-elle disponible ? Sinon il faut mieux se connecter avec une carte Airport, ça évite bien des ennuis sous mac.
- oui — il semblerait que oui
- Il semblerait que l’administration de la Freebox passe par le site de Free, qu’il n’y ait pas d’interface d’administration en local par défaut. Ca me semble bien étrange comme affaire, mais ça correspond avec ce que tu décris dans la première question (“service routeur du site de free”).
Ce n’est pas étonnant de ne pas arriver à tout faire avec une “box”. Perso, je n’aime pas les “box” (et je ne me prive pas de le dire dans l’article), et je préfère les laisser en mode modem uniquement pour les connecter à un vrai routeur qui gèrera le wifi et/ou le routage. La borne Airport Express est un tel routeur.
ok, merci pour ta réponse.
en effet, pas de gestionnaire de réseau en local, tout passe par le site de free, il faut ensuite débrancher et rebrancher la freebox pour qu’elle se mette à jour à la réinitialisation.
je continu à chercher
je transmettrai si j’arrive à trouver comment cacher le réseau
en tout cas, on dirait donc que j’ai réussi à filtrer les adresses MAC, merci.
fxr
Un petit mot pour les possesseurs de routeur Linksys ?
Merci
Les routeurs Linksys ont en principe toutes les fonctionnalités de protection présentées ci-dessus. Pour les activer et les paramétrer, le principe est le même : se connecter à l’interface d’administration (quelque chose comme http://192.168.1.1/ ou http://192.168.1.245/ selon les modèles) et rechercher les options à modifier. Pour plus de précisions, les manuels sont disponibles ici : ftp://ftp.linksys.com/international/userguides/
Merci beaucoup !
Trés beau site à propos !
De rien, et merci à toi
Bonjour,
Ce tuto est trés interessants.
Une petite question
Dans cette configuration, qui distribue les adresses IP (DHCP)? La livebox ou la borne airport connectée en ethernet ?
Ne doit t’on pas désactiver l’option serveur DHCP de l’un des deux matériel ?
Cordialement
Dans le cas du schéma ci-dessus, c’est la LB qui fait office de serveur DHCP (on peut d’ailleurs voir que les deux bornes AP ont des adresses du type 192.168.0.X).
Merci pour cette réponse
Cordialement
Bravo pour ce tuto tres interessant.
J’aimerai avoir quelques precisions supplementaires au sujet de la question de itram21.
A quel niveau desactive-t-on l’option serveur DHCP dans une borne AP?
Pourrais-tu aussi mettre une copie ecran de ton parametrage ‘reseau’ pour la borne ‘Apple Biblio’?
J’aimerai aussi voir ci-possible une copie ecran de ton parametrage ‘internet’ pour la borne ‘Apple Biblio’.
Merci.
Bonjour! J’ai un PC fixe relié par cable Ethernet à ma LiveBox et j’ai réussi à créer un réseau sans fil avec un autre PC portable. Mais impossible de relier les 2 ordinateurs afin de procéder à un transfert de fichiers et à les synchroniser …pourtant la fonction routeur (DHCP activée) de la LiveBox est opérationnelle. Quand je clique (depuis le portable) sur “visualiser les périphériques du réseau” la boite de dialogue répond qu’elle voit le PC portable et la LiveBox mais pas l’autre PC…!? Que dois-je faire ? Merci de bien vouloir m’éclairer
Félicitations pour votre site très instructif !
Bruno
@Brubois : il faut d’abord vérifier que les deux ordinateurs appartiennent au même groupe de travail (workgroup) ; il faut ensuite vérifier qu’un firewall ne bloque par les ports nécessaires au partage ; il faut finalement se rendre dans le voisinage réseau de Windows pour voir les ordinateurs du réseau.
@Boris : pour utiliser une borne AP en tant que serveur DHCP, il faut qu’elle soit configurée pour “créer un réseau sans fil” ; les autres bornes devront alors être configurées pour “participer à un réseau sans fil” ou WDS.
Bonjour,
Je me connecte à internet, chez moi, via une connexion numericable diffusée par ma borne airport. Je suis sur mac OS X.4, ma wifi fonctionne très bien. J’ai donné les codes d’accès à mon réseau à mon ami qui est sur PC (XP) sur son ordi il identifie mon réseau, il y est soit disant connecté mais n’a pas du tout accès à internet.
Chez lui, il a un routeur et avec ses codes je me connecte immédiatement. Pourquoi est-ce différent dans ma configuration ? Je dois changer des paramètres de mon mac ou bien ??
merci des conseils !
Il n’y a rien à changer sur ton mac puisqu’il se connecte parfaitement à la fois chez toi et chez ton ami. C’est lui qui doit changer la configuration de son PC… Il peut notamment essayer de modifier les réglages de connexion, d’abord en activant la communication avec le serveur DHCP du routeur et, si ça ne fonctionne pas, en spécifiant une adresse IP locale fixe qui sera sollicitée au routeur à chaque connexion.
Bonjour,
PC, Mac toujours 2 poids 2 mesures : mon ami possède un PC et une connexion Numéricable, il décide de se converir à l’airport et la connecte donc à son modem cable, à la place de son ancien routeur wifi.
Hic : son ordinateur, via l’interface de gestion airport (façon PC), ne détecte aucune borne à configurer.
En fait, l’airport fonctionne sa lumière est verte et mon mac s’y est directement connecté sans aucun souci !
Lui n’y arrive toujours pas avec son Pc, même après avoir coupé le pare-feu.
Que faire ?
(sur mac tout est tellement plus simple!)
Merci de vos réponses
Bonjour à tous,
un message pour ne pas perdre courage :
j’avais une config réseau wifi freebox avec 2 PC, 1 mac, 2 iphone connectés parfaitement, et une airport express “client” simple du réseau pour envoyer la zik d’Itunes sur la chaine. Tout celà marche parfaitement jusqu’à hier. Subitement airport express en orange clignotant. Le seul indice est que j’ai vu un msg sur la freeboxTV “maj adsl”. Tiens tiens… Après plusieurs heures avec les hotline apple et free, rien à faire. J’ai tout essayé, les deux configs principales : l’ancienne (airport express cliente du wifi freebox) ou l’alternative (réseau wifi freebox désactivé et création d’un réseau wifi piloté par l’airport express). Rien à faire jusqu’à 2 heures du mat : impossible de configurer l’airport express avec l’utilitaire : dans 90% il ne la détectait pas, et dans les 10% où il la détecte, impossible de mener la config à son terme (divers messages d’erreur de type réseau).
Et bien croyez moi ou pas, aujourd’hui dimanche, je reprends tout à zéro, et j’ai tout reconfiguré impec en 10 minutes.
Quelques indices :
- free n’est pas fiable, ils changent les configs sans vous prévenir et foutent la grouille sans vergogne
- la preuve, la seule chose que j’ai faite ce matin, et que je n’avais pas fait cette nuit, c’est de faire une réinit hardware (allumer / éteindre 5 fois et bien vérifier qu’on a les barres horizontales de haut en bas quand elle reboote) ; comme par hasard, après reboote le wifi ne marchait plus, il a fallu rebooter encore une fois
- et je confirme, cryptage WPA plutôt que WEP. Par contre, je ne sais pas si ça joue mais j’ai raccourci mon mot de passe à 10 car
Vu que ça marche, je n’ose pas essayer la config wifi piloté par l’airport express (wifi freebox désactivé) ; peut être un autre jour…
En tout cas, comme d’hab en informatique les mêmes règles :
- éteindre tous les appareils,
- les réinitialiser un par un en partant de la source (box adsl)
- laisser travailler les petits lutins la nuit
- passer plus de temps sur les forums qu’avec les hot lines
Bon courage à tous