Accéder illégalement à un réseau WiFi : Guide complet

1. Activez le chiffrement WPA3 (ou au minimum WPA2)

Le chiffrement est votre principale défense contre l’accès non autorisé. Utilisez toujours le chiffrement le plus fort géré par votre routeur.

Hiérarchie du chiffrement (du plus fort au plus faible) :

1. WPA3-Personnel (SAE) : Dernière norme avec sécurité renforcée (2018+)
2. WPA3-Entreprise : Niveau professionnel avec chiffrement 192 bits (le plus sécurisé)
3. WPA2-PSK (AES) : Norme actuelle, encore sécurisée avec un mot de passe fort
4. WPA2-Entreprise (RADIUS) : Authentification professionnelle
5. WPA-PSK (TKIP) : Ancienne norme, vulnérable aux attaques
6. WEP (n’importe quelle longueur) : À NE JAMAIS UTILISER – craquable en quelques minutes

Comment activer WPA3/WPA2 :

1. Accédez à l’interface d’administration du routeur (généralement 192.168.1.1 ou 192.168.0.1)
2. Connectez-vous avec les identifiants admin
3. Allez dans les paramètres de sécurité sans fil
4. Sélectionnez WPA3-Personnel ou WPA2-Personnel (AES)
5. Définissez un mot de passe fort (voir section suivante)
6. Enregistrez les paramètres et reconnectez tous les appareils

Avantages de WPA3 : Protection contre les attaques par dictionnaire hors ligne, confidentialité persistante (même si le mot de passe est compromis plus tard, les sessions précédentes restent chiffrées), intégration simplifiée des objets connectés, cryptographie renforcée (suite 192 bits pour l’Entreprise).

2. Créez des mots de passe WiFi ultra robustes

Votre mot de passe WiFi est la clé de tout votre réseau. Un mot de passe faible peut être craqué en quelques heures ou jours, tandis qu’un mot de passe fort peut prendre des siècles.

Exigences pour un mot de passe WiFi :

• Longueur : Minimum 20 caractères (25+ recommandé pour une sécurité maximale)
• Complexité : Mélange de majuscules, minuscules, chiffres et symboles spéciaux
• Aléatoire : Évitez les mots du dictionnaire, noms, dates ou séquences
• Unicité : Différent de tous vos autres mots de passe
• Pas d’informations personnelles : Évitez adresse, numéros de téléphone, noms de famille ou d’animaux

Exemples de force de mot de passe :

• FAIBLE : MonWiFi2025, Maison123, ReseauFamille
• MOYEN : MonMaison$WiFi2025!, Reseau_Johnson
• FORT : K9$mTqX7#vPz2@nL8!wR4
• TRÈS FORT : Cheval-Batterie-Agrafe-Bon-Pour-2025!$ÉléphantViolet

Méthodes de génération :

• Utilisez les générateurs intégrés aux gestionnaires de mots de passe (Bitwarden, 1Password)
• Outils en ligne : PasswordsGenerator.net
• Méthode de la phrase secrète : Combinez 5+ mots aléatoires avec chiffres et symboles
• Générateur aléatoire du routeur (certains routeurs modernes en disposent)

Gestion du mot de passe : Notez-le et stockez-le à un endroit physique sécurisé (coffre, tiroir verrouillé). Ne le partagez qu’avec les membres de confiance du foyer. Changez-le tous les 6 à 12 mois ou immédiatement en cas de compromission suspectée.

3. Désactivez le WPS (WiFi Protected Setup)

Le WPS constitue une faille de sécurité majeure. Même « désactivé » en logiciel, certains routeurs répondent encore aux requêtes WPS.

Pourquoi le WPS est dangereux :

• Le code PIN à 8 chiffres peut être cassé par force brute en 4 à 10 heures
• La vérification du code est divisée en deux moitiés de 4 chiffres (réduction des combinaisons à 11 000)
• L’attaque Pixie Dust peut casser les routeurs vulnérables en quelques secondes
• Une fois le code PIN WPS obtenu, le mot de passe WPA2/WPA3 complet est révélé
• Aucune complexité de mot de passe ne protège contre la vulnérabilité WPS

Comment désactiver correctement le WPS :

1. Accédez à l’interface d’administration du routeur
2. Cherchez les paramètres WPS (souvent sous Sans fil ou Sécurité)
3. Désactivez à la fois les méthodes WPS PIN et bouton-poussoir
4. Si le routeur dispose d’un bouton WPS physique, certains modèles restent vulnérables
5. Testez avec des outils comme wash (du paquet Reaver) pour vérifier que le WPS est vraiment désactivé
6. Si le WPS ne peut pas être entièrement désactivé, envisagez de remplacer le routeur

Méthodes de connexion alternatives : Utilisez des codes QR pour les invités, entrez manuellement le mot de passe ou utilisez le WiFi Easy Connect (DPP) sur les routeurs WPA3.

4. Modifiez les identifiants par défaut du routeur

Les identifiants admin par défaut sont accessibles publiquement via des bases de données en ligne. Les attaquants peuvent facilement prendre le contrôle complet du routeur si vous ne les changez pas.

Que modifier :

• Nom d’utilisateur admin : Remplacez « admin » par un nom unique
• Mot de passe admin : Utilisez un mot de passe fort (16+ caractères)
• SSID du routeur : Évitez de révéler le modèle du routeur dans le nom du réseau

Identifiants par défaut à éviter :

• admin/admin
• admin/motdepasse
• admin/1234
• root/admin
• administrateur/motdepasse

Bases de données d’identifiants par défaut : Des sites comme RouterPasswords.com et DefaultPassword.com listent des milliers d’identifiants par défaut. Supposez que les attaquants y ont accès.

Sécurité supplémentaire : Activez le verrouillage admin après des tentatives de connexion ratées, limitez l’accès admin aux connexions filaires uniquement (désactivez l’accès admin sans fil), implémentez une liste blanche IP pour l’interface admin.

5. Mettez à jour régulièrement le micrologiciel du routeur

Les mises à jour corrigent les vulnérabilités exploitées par les pirates. Un micrologiciel obsolète est l’une des failles de sécurité les plus courantes.

Pourquoi les mises à jour sont critiques :

• Correction des vulnérabilités connues (KRACK, Dragonblood, etc.)
• Patchs contre les débordements de tampon et exécution de code à distance
• Mise à jour des algorithmes et protocoles de sécurité
• Amélioration du pare-feu et de la détection d’intrusion
• Ajout de nouvelles fonctionnalités de sécurité

Comment mettre à jour le micrologiciel :

1. Vérifiez la version actuelle dans l’interface d’administration
2. Rendez-vous sur la page d’assistance du fabricant
3. Téléchargez la dernière version pour votre modèle exact
4. Accédez à l’interface admin du routeur
5. Allez dans la section Mise à jour ou Système
6. Téléversez le fichier et installez
7. Attendez le redémarrage (NE coupez PAS l’alimentation pendant la mise à jour)
8. Vérifiez que la nouvelle version est bien installée

Mises à jour automatiques : De nombreux routeurs modernes les prennent en charge. Activez cette fonction si disponible. Programmez-les pendant les heures creuses (ex. 3h du matin).

Pages de mise à jour des principaux fabricants :

• Assistance TP-Link
• Assistance Netgear
• Assistance ASUS
• Assistance Linksys
• Assistance D-Link

6. Masquez la diffusion du SSID (avec prudence)

Masquer votre SSID (nom du réseau) apporte une sécurité minimale mais peut décourager les attaquants occasionnels. Cependant, les attaquants déterminés peuvent toujours détecter les réseaux cachés.

Avantages du masquage :

• Le réseau n’apparaît pas dans les analyses WiFi standard
• Réduit les tentatives de connexion occasionnelles
• Dissuade les voisins non techniques
• Ajoute une couche d’obscurité mineure

Inconvénients et limites :

• Le réseau reste détectable avec des outils (airodump-ng, Kismet)
• Le SSID est révélé lors de la connexion (pendant la négociation)
• Peut provoquer des problèmes de connexion sur certains appareils
• Peu pratique pour les invités (doit entrer manuellement le SSID exact)
• Peut réduire la compatibilité avec les anciens appareils

Bonnes pratiques : Ne comptez pas sur le SSID caché comme mesure principale. Utilisez-le comme couche supplémentaire associée à un chiffrement fort et un mot de passe robuste. Concentrez-vous sur WPA3, mots de passe forts et WPS désactivé pour une sécurité réelle.

7. Activez le filtrage par adresse MAC

Le filtrage MAC autorise uniquement les appareils spécifiques à se connecter. Cependant, les adresses MAC peuvent être usurpées.

Fonctionnement :

• Chaque appareil réseau possède une adresse MAC unique
• Le routeur conserve une liste blanche d’adresses autorisées
• Les appareils non listés sont refusés
• Doit ajouter manuellement les nouveaux appareils

Étapes de mise en œuvre :

1. Collectez les adresses MAC de tous les appareils autorisés
2. Accédez à l’interface admin ? Paramètres sans fil
3. Activez le filtrage par adresse MAC
4. Sélectionnez le mode « Autoriser » (liste blanche)
5. Ajoutez chaque adresse MAC autorisée
6. Enregistrez et appliquez

Où trouver les adresses MAC :

• Windows : Invite de commandes ? ipconfig /all ? « Adresse physique »
• Mac : Préférences Système ? Réseau ? Avancé ? Matériel
• iPhone/iPad : Réglages ? Général ? Informations ? Adresse WiFi
• Android : Réglages ? À propos du téléphone ? État ? Adresse MAC WiFi

Limites : Les attaquants peuvent usurper les adresses MAC avec des outils comme macchanger. Ce filtrage ajoute de l’inconvénient sans bénéfice de sécurité fort. À utiliser comme mesure complémentaire, non comme défense principale.

8. Créez un réseau invité pour les visiteurs

Un réseau invité isolé permet aux visiteurs d’accéder à Internet sans toucher à vos appareils ni à vos données.

Avantages :

• Les visiteurs ont accès à Internet sans accès à vos appareils
• Empêche de voir dossiers partagés, imprimantes, objets connectés
• Limiter la bande passante pour les invités
• Partager un mot de passe simple
• Pouvoir désactiver le réseau invité à volonté
• Protège contre les appareils invités compromis

Configuration :

1. Accédez à l’interface admin du routeur
2. Trouvez la section Réseau invité ou WiFi invité
3. Activez la fonction
4. Définissez un SSID différent (ex. « VotreNom-Invité »)
5. Utilisez un mot de passe séparé (plus simple que le réseau principal)
6. Activez l’isolation AP (empêche les invités de se voir entre eux)
7. Définissez des limites de bande passante si désiré
8. Désactivez l’accès admin depuis le réseau invité

Options avancées : Accès horaire (réseau invité actif certaines heures), portail captif avec conditions d’utilisation, réseau invité sur VLAN séparé, code QR pour connexion facile.

9. Implémentez une segmentation réseau

Divisez votre réseau en segments isolés pour contenir les violations et protéger les appareils critiques.

Segments à créer :

• Réseau principal : Appareils personnels de confiance (ordinateurs, téléphones)
• Réseau IoT : Objets connectés (caméras, thermostats, assistants vocaux)
• Réseau invité : Appareils des visiteurs
• Réseau professionnel : Appareils de télétravail (si applicable)
• Réseau appareils non sécurisés : Appareils non mis à jour ou à faible sécurité

Pourquoi la segmentation est importante :

• Un objet connecté compromis ne peut pas accéder aux ordinateurs
• Limite la propagation des malwares entre segments
• Protège les données sensibles du réseau principal
• Permet des politiques de sécurité différentes par segment
• Facilite la surveillance et le dépannage

Méthodes de mise en œuvre :

• SSIDs multiples : La plupart des routeurs supportent 4 à 8 réseaux WiFi séparés
• VLANs : Pour une segmentation avancée (nécessite un switch géré)
• Routeurs séparés : Séparation physique avec plusieurs routeurs
• Règles de pare-feu : Configurez les politiques de communication entre segments

10. Surveillez régulièrement les appareils connectés

La surveillance régulière aide à détecter les accès non autorisés et les activités suspectes tôt.

Que surveiller :

• Liste des appareils connectés : Vérifiez tous les appareils actuellement connectés
• Appareils inconnus : Enquêtez sur les adresses MAC ou noms non reconnus
• Utilisation de la bande passante : Recherchez des modèles de consommation inhabituels
• Horaires de connexion : Notez quand les appareils se connectent (surtout aux heures inhabituelles)
• Affectations d’IP : Vérifiez que les baux DHCP correspondent aux appareils connus

Outils et méthodes :

• Interface admin du routeur : La plupart affichent la liste des appareils connectés
• Applications mobiles : Beaucoup de fabricants proposent des apps de surveillance
• Outils de scan réseau : Advanced IP Scanner, Angry IP Scanner
• Journaux du routeur : Revoyez les journaux de connexion
• Logiciels de surveillance : GlassWire, Fing

Réponse aux appareils non autorisés :

1. Changez immédiatement le mot de passe WiFi
2. Activez le filtrage MAC et ajoutez uniquement les appareils connus
3. Vérifiez les journaux du routeur
4. Scannez tous vos appareils contre les malwares
5. Mettez à jour le micrologiciel du routeur
6. Envisagez un signalement à la police si vol ou activité illégale suspectée

Risques du WiFi public :

• Attaques de l’homme du milieu : Interception des communications
• « Evil twin » : Faux points d’accès imitant des réseaux légitimes
• Interception de paquets : Capture de données non chiffrées
• Détournement de session : Vol de cookies de session
• Distribution de malwares : Par injection via réseaux compromis
• Suppression SSL : Réduction des connexions HTTPS à HTTP

Comment rester en sécurité sur WiFi public :

1. Utilisez toujours un VPN : Protection essentielle
   • VPN recommandés : NordVPN, ExpressVPN, ProtonVPN
   • Chiffre tout le trafic entre l’appareil et le serveur VPN
   • Cache votre adresse IP et votre localisation
   • Empêche le FAI et le réseau de voir votre activité
2. Vérifiez le nom du réseau : Demandez le nom officiel au personnel
3. Utilisez uniquement HTTPS : Vérifiez le cadenas dans la barre d’adresse
4. Désactivez le partage de fichiers : Désactivez la découverte réseau et le partage
5. Désactivez les connexions automatiques : Évitez la connexion auto aux réseaux ouverts
6. Évitez les opérations sensibles : Pas de banque, mail pro ou saisie de mots de passe
7. Préférez les données mobiles : Pour les activités sensibles
8. Gardez le pare-feu activé : Assurez-vous qu’il est actif
9. Mettez à jour les appareils avant : Installez les derniers correctifs
10. Oubliez le réseau après usage : Supprimez-le pour éviter la reconnexion auto

Autres mesures mobiles :

• Activez le chiffrement complet (FileVault, BitLocker, chiffrement appareil)
• Verrouillez l’écran avec biométrie ou code à 6+ chiffres
• Installez un antivirus/anti-malware
• Activez l’effacement à distance en cas de vol
• Utilisez un gestionnaire de mots de passe
• Activez l’authentification à deux facteurs
• Vérifiez les permissions des apps et supprimez les apps suspectes

Placement et sécurité physique du routeur :

• Emplacement central : Pour une couverture optimale
• Réduire les fuites de signal : Évitez les fenêtres ou murs extérieurs
• Contrôle d’accès physique : Gardez-le hors de portée des visiteurs
• Réduisez la puissance d’émission : Limitez la portée au-delà de votre propriété

Paramètres avancés du routeur :

• Désactivez UPnP : Peut être exploité par des malwares
• Désactivez la gestion WAN : Empêche l’accès depuis Internet
• Changez les serveurs DNS : Utilisez des DNS sécurisés :
  • Cloudflare : 1.1.1.1, 1.0.0.1
  • Google : 8.8.8.8, 8.8.4.4
  • Quad9 : 9.9.9.9, 149.112.112.112
• Activez le pare-feu du routeur : Configurez l’inspection SPI
• Désactivez la réponse au ping : Cache le routeur des scans Internet
• Redirection de ports prudente : Ouvrez uniquement les ports nécessaires
• Activez la journalisation : Surveillez les tentatives de connexion
• IP statique pour appareils critiques : Pour un contrôle plus facile

Surveillance et détection d’intrusion :

• Installez des outils : Wireshark, Snort
• Configurez des alertes pour nouvelles connexions
• Revoyez les journaux hebdomadairement
• Surveillez l’utilisation de bande passante
• Vérifiez les redirections de ports non autorisées
• Scannez régulièrement : Nmap

Outils légitimes de test :

• Scanners réseau : Nmap, Angry IP Scanner
• Scanners de vulnérabilités : OpenVAS, Nessus Home
• Analyseurs WiFi : inSSIDer, WiFi Analyzer
• Testeurs de robustesse : Testez vos propres mots de passe hors ligne
• Auditeurs de config routeur : RouterCheck, Routersploit

Que tester :

1. Force du chiffrement : Vérifiez WPA3 ou WPA2
2. Statut WPS : Confirmez qu’il est désactivé
3. Complexité du mot de passe : Testez hors ligne
4. Identifiants par défaut : Vérifiez qu’ils sont changés
5. Version du micrologiciel : Vérifiez les mises à jour
6. Ports ouverts : Scannez les ports inutiles
7. Isolation réseau invité : Vérifiez qu’elle fonctionne
8. Filtrage MAC : Testez sa configuration

1. Comment récupérer mon mot de passe WiFi ?

Plusieurs méthodes légitimes existent :

• Interface admin du routeur : Connectez-vous (192.168.1.1 ou 192.168.0.1) et consultez les paramètres sans fil
• Commande Windows : Invite de commandes ? netsh wlan show profile name="NOM_RESEAU" key=clear
• Trousseau Mac : Ouvrez Accès au trousseau ? cherchez le nom ? affichez le mot de passe
• Logiciel PASS WIFI : Analyse les bases de données et récupère les mots de passe WEP, WPA, WPA2, WPA3
• Réinitialisation du routeur : Réinitialisez aux paramètres usine (perte de tous les réglages)

2. Quelles sont les différences entre WEP, WPA, WPA2 et WPA3 ?

WEP (Wired Equivalent Privacy) :

• Introduit : 1997
• Chiffrement : RC4 avec clefs 64 ou 128 bits
• Sécurité : GRAVEMENT COMPROMIS – cassable en quelques minutes
• Statut : Obsolète, à ne jamais utiliser

WPA (WiFi Protected Access) :

• Introduit : 2003 (remplacement WEP)
• Chiffrement : TKIP
• Sécurité : Mieux que WEP mais vulnérable
• Statut : Déprécié, passez à WPA2/WPA3

WPA2 (WiFi Protected Access 2) :

• Introduit : 2004
• Chiffrement : AES-CCMP
• Sécurité : Fort avec mot de passe adéquat, vulnérable à KRACK
• Statut : Norme actuelle, minimum acceptable

WPA3 (WiFi Protected Access 3) :

• Introduit : 2018
• Chiffrement : SAE (Authentification Simultanée des Égaux)
• Sécurité : Le plus fort disponible, protège contre les attaques par dictionnaire hors ligne
• Statut : Dernière norme, à utiliser si disponible
• Fonctionnalités : Confidentialité persistante, chiffrement 192 bits (Entreprise), intégration IoT simplifiée

3. Est-il légal d’utiliser des outils de récupération de mot de passe WiFi ?

Usages légaux :

• Récupérer le mot de passe de votre propre réseau
• Administration réseau avec autorisation de l’employeur
• Audit de sécurité avec permission écrite
• Test d’intrusion sous contrat
• Usages éducatifs sur réseaux de test isolés

Actions illégales :

• Accéder au WiFi du voisin sans permission
• Utiliser des identifiants WiFi publics obtenus par piratage
• Exploitation commerciale des mots de passe récupérés
• Tout accès réseau non autorisé

Conséquences légales : L’accès WiFi non autorisé viole des lois comme le Computer Fraud and Abuse Act (États-Unis), le Computer Misuse Act (Royaume-Uni), et des législations similaires. Peines : amendes jusqu’à 250 000 $ et emprisonnement jusqu’à 20 ans selon la gravité.

4. Que faire si quelqu’un utilise mon WiFi sans permission ?

Actions immédiates :

1. Changez immédiatement le mot de passe WiFi (20+ caractères robustes)
2. Changez le mot de passe admin du routeur
3. Activez le filtrage MAC
4. Désactivez complètement le WPS
5. Mettez à jour le micrologiciel du routeur
6. Activez le chiffrement WPA3 ou WPA2-AES
7. Surveillez régulièrement la liste des appareils connectés
8. Activez un réseau invité uniquement pour les visiteurs
9. Envisagez un signalement à la police si vol ou activité illégale suspectée
10. Vérifiez vos appareils contre les malwares

5. Mon FAI peut-il voir ce que je fais sur mon réseau WiFi ?

Ce que le FAI voit :

• Tous les sites que vous visitez (noms de domaine)
• Vos heures de connexion et durée
• Votre consommation de données
• Quels appareils se connectent à Internet
• Requêtes DNS (sites recherchés)

Ce que le FAI ne voit pas (avec HTTPS) :

• Pages spécifiques dans les sites
• Identifiants de connexion
• Informations de paiement
• Messages et communications
• Données personnelles soumises sur sites HTTPS

Mesures de confidentialité supplémentaires :

• Utilisez un VPN pour chiffrer tout le trafic
• Utilisez DNS chiffré (DNS sur HTTPS ou TLS)
• Naviguez avec l’extension HTTPS Everywhere
• Utilisez le navigateur Tor pour l’anonymat maximum

6. Comment sécuriser les objets connectés sur mon réseau ?

Défis de sécurité IoT :

• Beaucoup ont des mots de passe par défaut faibles
• Mises à jour rares ou inexistantes
• Toujours connectés et à l’écoute
• Souvent dépourvus de fonctions de sécurité
• Peuvent être des points d’entrée pour des attaques

Stratégies de protection :

1. Créez un réseau IoT séparé (SSID différent)
2. Changez tous les mots de passe par défaut
3. Désactivez les fonctions inutiles (accès à distance, activation vocale)
4. Mettez à jour le micrologiciel régulièrement
5. Utilisez le réseau invité pour les objets non fiables
6. Implémentez des règles de pare-feu pour restreindre les communications IoT
7. Surveillez le trafic IoT pour activités anormales
8. Remplacez les objets qui ne reçoivent plus de mises à jour
9. Désactivez UPnP sur le routeur
10. Couvrez les caméras quand non utilisées

7. Qu’est-ce que l’attaque KRACK et suis-je encore vulnérable ?

KRACK exploite une faille dans la négociation WPA2 à 4 étapes. Découverte en 2017, elle affecte presque tous les appareils WiFi.

Fonctionnement de KRACK :

• L’attaquant manipule le processus de négociation
• Force la victime à réinstaller une clé de chiffrement déjà utilisée
• Réinitialise le nonce et les compteurs anti-rejeu
• Permet à l’attaquant de décrypter, rejouer et falsifier des paquets

Protection contre KRACK :

• Mettez à jour tous les appareils (correctifs fin 2017)
• Utilisez un VPN sur les réseaux WiFi
• Préférez les sites HTTPS
• Passez à WPA3 si possible (immunisé contre KRACK)
• Vérifiez les mises à jour sur les sites des fabricants

Risque actuel : La plupart des appareils modernes sont corrigés. Le risque principal concerne les anciens appareils sans mises à jour (objets connectés, smartphones anciens, systèmes hérités).