Sécuriser votre routeur pour éviter la prochaine coupure d'Internet

Protégez votre réseau domestique en renforçant les réglages du routeur, en segmentant les appareils IoT et en appliquant des mises à jour régulières. Même des actions simples comme changer un mot de passe par défaut et désactiver la gestion à distance réduisent fortement le risque que vos appareils servent à une attaque DDoS.

Contexte rapide

Un exemple concret a été l’attaque DDoS qui a ciblé un fournisseur DNS et a rendu provisoirement inaccessibles des services populaires. Les auteurs ont exploité des objets connectés mal configurés. Ces appareils sont, en pratique, des mini-ordinateurs reliés à Internet et souvent livrés avec des réglages par défaut peu sûrs.

Définitions utiles

• IoT: objets connectés à Internet, comme caméras ou réfrigérateurs intelligents.
• DDoS: attaque par déni de service distribué qui inonde un service pour le rendre indisponible.
• UPnP: protocole de découverte et de configuration automatique sur le réseau local.

Important

Si vous partagez votre réseau avec d’autres personnes, commencez par les actions les plus simples et rapides: changer les identifiants d’administration et activer le chiffrement Wi-Fi.

Liste de vérifications de base pour le routeur

1. Changer le nom d’utilisateur et le mot de passe par défaut

• Accédez à l’interface fournie par le fabricant via l’adresse indiquée dans la documentation ou au dos du routeur.
• Choisissez un nom d’utilisateur distinct et un mot de passe long, unique et gérable avec un gestionnaire de mots de passe.
• Activez l’authentification à deux facteurs si le routeur le propose.

2. Exiger un mot de passe pour le Wi-Fi et utiliser un chiffrement fort

• Activez le chiffrement WPA2 ou WPA3 si disponible.
• Évitez WEP et les réseaux ouverts sans mot de passe.
• N’affichez pas le mot de passe publiquement.

3. Renommer le point d’accès (SSID)

• Choisissez un SSID qui ne révèle pas le modèle du routeur ou le nom du fournisseur.
• Un nom neutre complique légèrement la tâche d’un attaquant qui cible un modèle précis.

4. Mettre à jour le firmware du routeur et des appareils IoT

• Vérifiez les mises à jour mensuellement si les notifications automatiques manquent.
• Appliquez les correctifs de sécurité dès leur disponibilité.

5. Désactiver UPnP sauf si nécessaire

• UPnP peut permettre à un appareil d’ouvrir des ports sans authentification.
• Désactivez-le si vous ne l’utilisez pas et testez le fonctionnement normal de vos services.

6. Désactiver la gestion à distance

• Coupez l’accès à l’interface d’administration depuis Internet.
• Si la gestion distante est indispensable, limitez-la à des adresses IP spécifiques et utilisez un VPN.

7. Vérifier les problèmes connus et les vulnérabilités

• Consultez les avis de sécurité du fabricant et des bases publiques de vulnérabilités.
• Évitez les appareils dont les failles restent non corrigées.

8. Rechercher et lire les avis et la politique du fournisseur

• Privilégiez des fournisseurs qui publient une politique de divulgation responsable et une documentation claire.
• La lisibilité de la politique de confidentialité est un indice de maturité.

Alternatives et approches complémentaires

• Segmentation du réseau

  • Créez un réseau invité pour les appareils IoT et un réseau principal pour les ordinateurs et téléphones.
  • Utilisez VLANs ou SSID multiples si votre routeur les supporte.

• Filtrage DNS ou DNS sécurisé

  • Orientez les appareils vers un résolveur DNS filtrant les menaces.
  • Le DNS sur HTTPS ou TLS peut protéger certaines communications DNS.

• Pare-feu et règles de filtrage sortant

  • Limitez les connexions sortantes des appareils IoT à ce qui est nécessaire.
  • Bloquez les communications vers des IP connues pour être malveillantes.

• VPN pour la gestion distante

  • Si vous devez accéder au réseau à distance, utilisez d’abord un VPN plutôt que la gestion Web exposée.

Quand ces mesures peuvent échouer

• Appareils obsolètes sans correctifs

  • Si le fabricant a abandonné l’appareil, même un réseau segmenté ne le rendra pas sûr.

• Compromission physique

  • Un attaquant ayant un accès physique à un appareil peut contourner de nombreuses protections.

• Erreurs de configuration

  • Des règles mal définies (par exemple règles NAT ou pare-feu permissives) peuvent laisser des portes ouvertes.

Important

La sécurité est multi-couches: aucune mesure unique ne suffit si l’écosystème matériel ou logiciel est défaillant.

Méthodologie rapide pour sécuriser un domicile en 30-60 minutes

1. Sauvegarder la configuration actuelle du routeur.
2. Changer identifiants d’administration et mot de passe Wi-Fi.
3. Activer WPA2/WPA3 et désactiver WPS si présent.
4. Désactiver UPnP et la gestion à distance.
5. Mettre à jour le firmware du routeur.
6. Créer un réseau invité pour IoT.
7. Inventorier les appareils connectés et noter les modèles.
8. Planifier des vérifications trimestrielles des mises à jour.

Playbook détaillé pour utilisateur domestique

• Avant de commencer

  • Lire la documentation du routeur.
  • Avoir un gestionnaire de mots de passe.

• Étapes

  • 1. Connectez-vous localement à l’interface d’administration.
  • 2. Sauvegardez la configuration courante.
  • 3. Changez le nom d’utilisateur et le mot de passe d’administration.
  • 4. Activez le chiffrement Wi-Fi fort et définissez un mot de passe unique.
  • 5. Créez un SSID séparé pour invités et appareils IoT.
  • 6. Désactivez UPnP et la gestion à distance.
  • 7. Vérifiez le firmware et appliquez les mises à jour.
  • 8. Redémarrez le routeur et contrôlez que les appareils se reconnectent.

Checklists adaptées aux rôles

Utilisateur grand public

• Changer mot de passe admin
• Activer WPA2/WPA3
• Créer réseau invité
• Vérifier mises à jour chaque trimestre

Utilisateur avancé

• Segmenter via VLAN
• Mettre des règles de pare-feu sortant
• Configurer DNS filtrant
• Surveiller les logs du routeur

Petite entreprise

• Remplacer firmware stock par solution supportée si nécessaire
• Plan de gestion des correctifs
• Accès administrateur restreint et journalisation centralisée

Niveaux de maturité pour la sécurité du réseau domestique

• Niveau 1 — Basique: mots de passe uniques et chiffrement Wi-Fi
• Niveau 2 — Intermédiaire: segmentation, mises à jour régulières, désactivation UPnP
• Niveau 3 — Avancé: pare-feu restrictif, DNS filtrant, VPN pour accès distant

Incident runbook: si un appareil est compromis

1. Isoler l’appareil en le déconnectant du réseau ou en le déplaçant vers le réseau invité.
2. Sauvegarder logs et captures d’écran si possible.
3. Vérifier si des mises à jour sont disponibles et appliquer si possible.
4. Réinitialiser l’appareil aux paramètres d’usine et changer mots de passe réseau.
5. Remplacer l’appareil si le fabricant ne fournit plus de correctifs.
6. Surveiller le réseau et les autres appareils pour signes d’activité malveillante.

Arbre de décision pour choisir une action

flowchart TD
  A[Souhaitez-vous une gestion distante?] -->|Oui| B{Pouvez-vous utiliser un VPN}
  A -->|Non| C[Désactiver la gestion distante]
  B -->|Oui| D[Configurer VPN et désactiver accès Web public]
  B -->|Non| E[Limiter l'accès à IP spécifiques ou désactiver]
  D --> F[Appliquer mises à jour et surveiller]
  E --> F
  C --> F

Glossaire rapide

• Firmware: logiciel embarqué dans le routeur qui contrôle son fonctionnement.
• SSID: nom public du réseau Wi-Fi.
• VLAN: réseau virtuel qui segmente le trafic sur un même équipement physique.

Conseils d’achat et de recherche

• Préférez des fabricants qui publient des correctifs réguliers et une politique de divulgation responsable.
• Lisez des avis techniques, pas seulement commerciaux.
• Évitez les modèles très bon marché sans communauté ni support.

Contre-exemples et limites

• Un routeur sécurisé ne protège pas un appareil infecté avant sa connexion initiale au réseau.
• Les appareils obsolètes ou bridés par le fabricant restent des risques même isolés.

Résumé

• Commencez par les réglages simples: identifiants, chiffrement Wi-Fi, UPnP et gestion distante.
• Segmentez vos appareils IoT et planifiez des vérifications de mises à jour régulières.
• Si un appareil est compromis, isolez-le, réinitialisez-le et remplacez-le si le support est absent.

Sources

Adapté d’un article de welivesecurity sur les attaques DDoS et la sécurité des objets connectés.