Vous savez, ce truc connecté à la prise principale de votre haut débit ? La clé Wi-Fi est imprimée dessus, et vous la redémarrez lorsque votre haut débit tombe en panne.
Votre routeur est l’appareil électronique le plus important de votre maison, car il contrôle ce qui peut entrer et sortir de votre réseau domestique.
C’est le gardien entre votre environnement réseau interne sécurisé et le Far West de l’internet non réglementé – et il est souvent négligé et extrêmement peu sûr.
Votre humble routeur domestique
Malheureusement, la plupart des routeurs fournis par les fournisseurs d’accès à l’internet (FAI) dans le cadre de votre contrat sont conçus et installés dans un souci de budget, et non d’efficacité et de sécurité. Même les appareils qui pourraient faire un travail décent sont susceptibles d’avoir des configurations par défaut non sécurisées ou même des portes dérobées de service et des microprogrammes bogués.
Tous les routeurs modernes sont dotés d’une fonction de pare-feu. La facilité avec laquelle l’utilisateur peut accéder au pare-feu et en modifier les paramètres varie d’un fabricant à l’autre. Dans certains cas, l’utilisateur ne peut même pas voir les paramètres du pare-feu. Ils sont fournis sous forme de boîte noire, configurés dans un format unique.
Ceux qui autorisent la modification de la configuration informent rarement les utilisateurs finaux que c’est possible. Même dans les rares cas où l’utilisateur est informé de la manière d’accéder aux paramètres du pare-feu, les utilisateurs nationaux en profitent rarement.
Si l’internet non réglementé est le Far West, votre pare-feu est le shérif. Il doit être correctement équipé et avoir les moyens de jouer son rôle correctement. Sinon, n’importe qui ou n’importe quoi peut s’introduire dans votre réseau.
Et cela peut inclure votre employeur.
Lire les petits caractères
De nombreuses organisations incluent dans les contrats de travail, dans leur politique d’utilisation acceptable ou dans leur politique de sécurité informatique une section stipulant qu’elles se réservent le droit d’analyser tout ce qui est connecté au réseau de l’entreprise. Cela semble tout à fait normal. Il s’agit de leur réseau et ils doivent en assurer la sécurité. Bien sûr, ils vérifieront ce qui s’y connecte.
Mais avec le passage généralisé au travail à domicile sous l’effet de la pandémie de COVID-19, les employés sont plus nombreux que jamais à se connecter au réseau de l’entreprise à partir de leur réseau domestique. Les organisations utilisent des logiciels de balayage des ports et des logiciels de test de pénétration pour sonder votre réseau, à la recherche de vulnérabilités, exactement comme le font les acteurs de la menace.
Bien entendu, si vos employeurs détectent des vulnérabilités dans votre routeur et votre réseau domestique, ils ne vous infecteront pas avec un ransomware. Mais le fait de savoir que quelqu’un a testé les défenses de votre routeur – l’équivalent numérique de secouer vos portes, d’essayer les fenêtres et de chercher la clé sous le paillasson – peut toujours vous mettre mal à l’aise et vous inspirer du ressentiment.
La première question que vous vous posez est probablement la suivante : ont-ils le droit de faire cela ? Si c’est écrit dans une politique ou un document contractuel qui vous régit, et que vous avez pris connaissance de la politique en question lors de votre initiation et chaque fois qu’elle a été modifiée et rééditée, alors oui, ils peuvent le faire. En l’absence d’une telle déclaration, non, ils ne peuvent pas. Il est illégal de procéder à un balayage des ports et à des tests de pénétration sur le réseau d’une personne sans son accord préalable, même si vos intentions sont bonnes.
C’est pourquoi nous disons qu’il faut lire les petits caractères. Une telle déclaration peut se trouver dans un document de politique générale qui s’applique à vous. Mais même si votre organisation a le droit de le faire, il serait poli et respectueux de sa part de vous en avertir d’abord.
Il n’est pas difficile de rédiger un bref communiqué expliquant qu’une analyse à distance bénigne va être effectuée sur les réseaux des travailleurs à domicile afin de s’assurer qu’ils sont suffisamment sûrs pour se connecter au réseau de l’entreprise. Et cela fait une énorme différence pour le moral des troupes. Malheureusement, il arrive souvent qu’une telle explication ne soit pas donnée du tout.
Comment rendre votre routeur plus sûr
Indépendamment de la personne qui tente d’entrer, que pouvez-vous faire pour renforcer vos défenses et rendre votre routeur aussi imprenable que possible ? Ce que vous pouvez faire dépend du fabricant et du modèle de votre routeur, mais il devrait y avoir au moins quelque chose dans cette liste pour tout le monde.
L’interface administrative, les menus et les paramètres varient d’une marque à l’autre et d’un modèle à l’autre, c’est pourquoi nous ne pouvons pas vous donner un guide étape par étape. Mais il ne devrait pas être trop difficile de trouver les paramètres appropriés de votre routeur pour les éléments de notre liste – si vous êtes autorisé à y accéder. Si votre FAI a verrouillé l’appareil et vous empêche d’accéder aux paramètres essentiels, reportez-vous au point 1.
1. Le routeur de votre fournisseur d’accès à Internet est-il inutile ?
En général, les routeurs fournis par les FAI sont moins sûrs que ceux qui sont vendus directement aux consommateurs, souvent par les mêmes fabricants. Les portes dérobées codées en dur sont courantes, et les correctifs de sécurité et les mises à jour du micrologiciel apparaissent souvent bien plus tard que les correctifs des modèles vendus directement aux consommateurs. Cela s’explique par le fait que le micrologiciel des routeurs fournis par les FAI est personnalisé pour ce FAI, et qu’il nécessite des correctifs personnalisés.
Rien ne vous empêche d’acheter votre propre routeur et de l’utiliser à la place. Conservez celui que votre fournisseur d’accès vous a envoyé et utilisez-le comme pièce de rechange. Si vous avez un problème avec votre haut débit et que vous vous demandez s’il s’agit d’un problème avec le routeur ou d’un problème dans l’infrastructure externe du haut débit, vous pouvez remplacer le routeur du FAI et voir si le problème disparaît. Si c’est le cas, le problème vient de votre routeur ; si ce n’est pas le cas, le problème vient de l’extérieur.
2. Modifier le mot de passe administrateur par défaut
Comme de nombreux routeurs sortent de l’usine avec un mot de passe administrateur par défaut, c’est une porte ouverte pour les acteurs de la menace. Leurs logiciels d’analyse tenteront d’identifier la marque et le modèle du routeur – en examinant les métadonnées des réponses de votre routeur à leurs sondages – et de rechercher les informations d’identification de l’administrateur par défaut.
La première fois que vous connectez votre routeur pour le configurer, remplacez le mot de passe de l’administrateur par un mot de passe sûr et robuste. Ou, mieux encore, par une phrase de passe composée de trois mots reliés par des signes de ponctuation. Et pendant que vous y êtes, assurez-vous que l’interface web de l’administrateur n’est pas accessible depuis internet. Vous n’allez pas faire de l’administration à distance sur votre routeur, alors ne donnez pas cette chance à quelqu’un d’autre.
3. Utilisez un routeur compatible avec le VPN
Si vous avez vraiment besoin d’un accès à distance à votre routeur, utilisez un routeur qui prend en charge les connexions de réseau privé virtuel (VPN). Limitez les connexions VPN à celles qui figurent sur une liste d’adresses IP approuvées ou à une plage d’adresses IP. Ainsi, si vous savez que vous pourriez avoir besoin d’une connexion VPN à votre routeur depuis votre bureau, ajoutez ce dernier aux adresses IP figurant sur la liste blanche.
4. Passez incognito même à la maison
Même lorsque vous vous connectez à votre routeur depuis l’intérieur de votre réseau, il est conseillé d’utiliser la navigation anonyme, le mode incognito ou tout autre nom utilisé par votre navigateur pour la navigation amnésique. De cette manière, votre navigateur ne mettra pas en cache les informations d’identification ou les adresses IP que d’autres personnes peuvent utiliser sur votre ordinateur pour accéder à votre routeur.
Ne laissez jamais votre navigateur se souvenir des informations d’identification du routeur. C’est à vous de vous en souvenir et de les saisir à chaque fois. Ou utilisez un gestionnaire de mots de passe protégé par un mot de passe.
5. N’accepter que les connexions provenant d’une adresse IP spécifique
Il est possible de lier certains routeurs de manière à ce qu’ils acceptent les connexions de l’administrateur à partir d’une seule adresse IP locale et qu’ils rejettent les connexions provenant de n’importe quelle autre adresse. Dans ce cas, utilisez une adresse IP qui ne fait pas partie du pool DHCP (Dynamic Host Configuration Protocol). Si votre ordinateur perd son adresse IP, qu’il la loue et qu’une nouvelle adresse IP lui soit attribuée – par votre routeur ! – vous ne pourrez plus accéder au routeur.
6. Utilisez un mot de passe Wi-Fi robuste
Choisissez un mot de passe Wi-Fi robuste et utilisez le paramètre de cryptage le plus puissant de votre appareil. Les routeurs les plus récents peuvent prendre en charge le Wi-Fi Protected Access 3 (WPA3), mais la plupart sont limités au Wi-Fi Protected Access 2 (WPA2).
7. Désactiver le WPS
Désactivez le Wi-Fi Protected Setup (WPS). Le principe du WPS était de simplifier la configuration du Wi-Fi et la connexion aux réseaux Wi-Fi pour les utilisateurs non techniques. Il était rarement utilisé et comportait une vulnérabilité qui permettait aux acteurs de la menace de compromettre les réseaux Wi-Fi.
Des correctifs ont été déployés, mais tous les modèles n’ont pas été corrigés et tous les fabricants n’ont pas réagi au problème. Il est plus sûr de le désactiver et d’utiliser une connexion filaire pour la configuration.
8. Désactivez les services que vous n’utilisez pas
Les routeurs prennent en charge toutes sortes de protocoles et de types de connexion. Il est presque certain que vous n’en avez pas besoin, alors éteignez-les. Moins il y a de portes et de fenêtres dans un bâtiment, plus il est difficile pour un cambrioleur d’y pénétrer. Il en va de même pour votre routeur. Fermez tous les ports et n’ouvrez que ceux que vous utilisez. Moins il accepte de types de connexion, plus vous êtes en sécurité.
Vous pouvez désactiver des services tels que Ping, Telnet, Universal Plug and Play (UPnP), Secure Shell (SSH) et Home Network Administration Protocol (HNAP).
9. Ne pas utiliser la gestion de routeur basée sur le cloud
Si votre routeur prend en charge cette fonction, désactivez-la. Vous ne voulez pas que votre routeur communique avec le nuage du fabricant. Cela place une couche supplémentaire entre vous et le routeur, à laquelle vous devez faire confiance. Vous allez administrer votre routeur localement, alors désactivez cette option.
10. Apportez régulièrement des correctifs à votre routeur
Vous avez l’habitude de recevoir des mises à jour pour votre ordinateur, et votre smartphone reçoit des correctifs au fur et à mesure que des vulnérabilités sont détectées et corrigées. Il en va de même pour votre routeur. Il s’agit d’un processus manuel pour la plupart des routeurs, mais certains peuvent être configurés pour “téléphoner à la maison” périodiquement et vérifier les mises à jour.
Si vous procédez à des mises à jour manuelles, consultez la page web d’assistance du fabricant de votre routeur. Une fois par mois est probablement suffisante.
11. Contrôler l’accès Wi-Fi
De nombreux routeurs vous permettent de configurer une liste d’identités d’appareils appelées adresses MAC (Media Access Control). Ces adresses sont propres à chaque appareil connecté au réseau. Cela signifie que seuls les appareils reconnus et autorisés peuvent se connecter à votre réseau Wi-Fi.
Si votre routeur le permet, mettez en place une connexion Wi-Fi pour les visiteurs. Cela permet aux visiteurs d’avoir un accès Wi-Fi à internet sans révéler ou exposer les autres appareils de votre réseau.
12. Segmentez votre réseau
Certains routeurs grand public permettent de configurer des réseaux locaux virtuels (VLAN) à l’intérieur d’autres réseaux. Par exemple, vous pouvez isoler les appareils de l’Internet des objets (IoT) du reste de votre réseau.
Les appareils IoT sont notoirement peu sûrs. Nombre d’entre eux enfreignent les mesures de sécurité les plus élémentaires, en s’exposant par exemple à internet avec des protocoles non protégés et des mots de passe administrateur non modifiables. Les isoler dans leur propre VLAN est un excellent moyen de les contenir.
13. Modifiez vos paramètres DNS
Modifiez les paramètres de votre système de noms de domaine afin qu’ils n’utilisent pas les valeurs par défaut fournies par votre fournisseur d’accès à Internet.
Vous pouvez utiliser les services suivants, qui jouissent d’une bonne réputation
- OpenDNS : 208.67.220.220 ou 208.67.222.222
- Google DNS : 8.8.8.8 ou 8.8.4.4
- Cloudflare : 1.1.1.1 ou 1.0.0.1
14. Envisager un micrologiciel personnalisé pour votre routeur
Les utilisateurs expérimentés peuvent envisager de supprimer complètement le micrologiciel du fabricant et de le remplacer par une alternative libre et gratuite. En général, ces logiciels sont basés sur des distributions Linux ou Berkeley Software Distribution (BSD). Ils peuvent être plus sûrs, plus complets et plus configurables que le micrologiciel par défaut du fabricant. Et prennent souvent en charge les protocoles VPN de manière native.
Deux des offres les plus connues sont OpenWRT et DD-WRT, mais il existe de nombreuses alternatives. Ces projets soutenus par la communauté devancent souvent les fabricants dans la publication des correctifs et des corrections.
Soyons clairs. Le “flashage” du micrologiciel nécessite des compétences techniques. Si vous le faites sur un routeur pendant son cycle d’assistance, cela annulera votre garantie. Et, dans le pire des cas, vous “briquerez” votre appareil, le rendant totalement inutilisable. Assurez-vous de savoir ce que vous faites avant de procéder ou de demander une assistance technique.
En bref
Votre routeur est le point de jonction entre vous et le monde extérieur. Il est donc essentiel d’y prêter attention pour assurer la sécurité sur le web !
En fonction de vos besoins en matière de réseau et de connectivité, de la marque du routeur, de la souplesse des paramètres du routeur et du pare-feu, et de votre niveau d’aisance technique. Appliquez le plus grand nombre possible de ces mesures et protégez votre domicile contre les attaques numériques.
Et de l’espionnage de vos employeurs !