Sécuriser son WiFi domestique : config avancée et hardening

Sécuriser son WiFi domestique : configuration avancée

La plupart des réseaux domestiques fonctionnent avec les paramètres d'usine du routeur fourni par l'opérateur. C'est un problème. Un WiFi mal configuré, c'est une surface d'attaque ouverte sur votre LAN, vos fichiers, vos sessions authentifiées.

Ce guide couvre la sécurisation complète d'un réseau WiFi domestique : du chiffrement WPA3-SAE jusqu'à la segmentation réseau, en passant par l'audit avec des outils CLI.

Prérequis

• Accès admin à votre routeur (interface web ou SSH)
• Un PC sous Linux, macOS ou Windows avec un terminal
• Connaissances réseau de base (IP, sous-réseau, DHCP)
• 45 minutes à 1 heure

1 — Audit de l'état actuel

Avant de toucher quoi que ce soit, faisons un état des lieux. Sur Linux ou macOS :

## Scanner les réseaux WiFi visibles et leur sécurité
## Sur Linux (nécessite wireless-tools ou iw)
sudo iwlist wlan0 scan | grep -E 'ESSID|Encryption|IE:'

## Sur macOS
/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport -s

Cette commande liste les réseaux autour de vous avec leur type de chiffrement. Repérez le vôtre : s'il affiche WEP ou WPA (sans le 2 ou 3), il y a urgence.

Pour voir les appareils connectés à votre réseau :

## Scanner le réseau local avec nmap
## Remplacez 192.168.1.0/24 par votre sous-réseau
sudo nmap -sn 192.168.1.0/24

Notez tous les appareils connectés. Si vous en voyez un que vous ne reconnaissez pas, c'est peut-être un squatteur.

2 — Configurer WPA3-SAE

WPA3-Personal utilise SAE (Simultaneous Authentication of Equals) au lieu du 4-way handshake de WPA2. Concrètement, SAE rend les attaques par dictionnaire hors-ligne impossibles : chaque tentative nécessite une interaction active avec le point d'accès.

Sur un routeur grand public (interface web)

Naviguez vers Wireless > Security (les menus varient selon la marque) :

• Security Mode : WPA3-Personal
• Encryption : SAE
• PMF (Protected Management Frames) : Required
• Passphrase : minimum 16 caractères, idéalement 20+

Si certains appareils ne se connectent plus (objets connectés, vieilles imprimantes) :

• Passez en WPA2/WPA3 Transitional : les appareils récents utilisent WPA3, les anciens se rabattent sur WPA2
• Mettez PMF sur Optional au lieu de Required en mode transitional

Sur un point d'accès Linux (hostapd)

Si vous gérez votre propre AP avec hostapd (Raspberry Pi, serveur dédié) :

## /etc/hostapd/hostapd.conf
interface=wlan0
driver=nl80211
ssid=MonReseau
hw_mode=a
channel=36

## Sécurité WPA3-SAE
wpa=2
wpa_key_mgmt=SAE
rsn_pairwise=CCMP
wpa_passphrase=Phrase-De-Passe-Tres-Longue-2026!

## Protected Management Frames (obligatoire pour WPA3)
ieee80211w=2

## SAE anti brute-force
sae_require_mfp=1
sae_pwe=2

Redémarrez hostapd après modification :

sudo systemctl restart hostapd
sudo systemctl status hostapd

Mode transitionnel WPA2/WPA3 (hostapd)

## Pour compatibilité avec les appareils legacy
wpa=2
wpa_key_mgmt=WPA-PSK SAE
rsn_pairwise=CCMP
wpa_passphrase=Phrase-De-Passe-Tres-Longue-2026!
ieee80211w=1
sae_require_mfp=1

La différence : ieee80211w=1 (optional) au lieu de 2 (required), et wpa_key_mgmt inclut les deux méthodes.

3 — Réseau invité avec isolation

Sur un routeur grand public

Activez le Guest Network dans l'interface admin :

• SSID : un nom distinct (ex: Maison-Invites)
• Security : WPA2/WPA3
• Client Isolation : Enabled (les invités ne voient pas les autres invités)
• Access to Local Network : Disabled (les invités n'accèdent pas à votre NAS, imprimante, etc.)
• Bandwidth Limit : optionnel, mais pratique pour éviter qu'un invité sature la connexion

Sur hostapd + dnsmasq (AP dédié)

Créez une interface virtuelle pour le réseau invité :

## Créer l'interface virtuelle
sudo iw dev wlan0 interface add wlan0_guest type __ap

## Vérifier que l'interface existe
ip link show wlan0_guest

Configuration hostapd pour le réseau invité (fichier séparé) :

## /etc/hostapd/hostapd-guest.conf
interface=wlan0_guest
driver=nl80211
ssid=Maison-Invites
hw_mode=a
channel=36

wpa=2
wpa_key_mgmt=SAE
rsn_pairwise=CCMP
wpa_passphrase=InvitesBienvenue2026
ieee80211w=2

## Isolation des clients
ap_isolate=1

Configuration dnsmasq pour le sous-réseau invité :

## /etc/dnsmasq.d/guest.conf
interface=wlan0_guest
dhcp-range=192.168.10.10,192.168.10.100,255.255.255.0,12h
dhcp-option=3,192.168.10.1
dhcp-option=6,1.1.1.1,8.8.8.8

Configurez l'interface réseau :

## Assigner une IP au réseau invité
sudo ip addr add 192.168.10.1/24 dev wlan0_guest
sudo ip link set wlan0_guest up

Isolez le trafic avec iptables :

## Autoriser le trafic invité vers internet uniquement
sudo iptables -A FORWARD -i wlan0_guest -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o wlan0_guest -m state —state ESTABLISHED,RELATED -j ACCEPT

## Bloquer le trafic invité vers le réseau local
sudo iptables -A FORWARD -i wlan0_guest -o wlan0 -j DROP
sudo iptables -A FORWARD -i wlan0_guest -d 192.168.1.0/24 -j DROP

## NAT pour le sous-réseau invité
sudo iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

Pour persister les règles iptables :

sudo apt install iptables-persistent
sudo netfilter-persistent save

4 — Filtrage MAC

Le filtrage MAC n'est pas une mesure de sécurité forte (les adresses MAC se spoofent trivialement avec macchanger), mais ça ajoute une couche de friction pour les attaquants occasionnels.

Récupérer les adresses MAC de vos appareils

## Lister les appareils actuellement connectés via ARP
arp -a

## Ou avec nmap pour un scan plus complet
sudo nmap -sn 192.168.1.0/24 | grep -B2 'MAC Address'

Sur un routeur grand public

Naviguez vers Wireless > MAC Filtering ou Access Control :

• Mode : Allow listed only (whitelist)
• Ajoutez chaque adresse MAC de vos appareils

Sur hostapd

Créez un fichier de whitelist :

## /etc/hostapd/accept_macs
## Format : une adresse MAC par ligne
AA:BB:CC:DD:EE:01
AA:BB:CC:DD:EE:02
AA:BB:CC:DD:EE:03

Ajoutez dans hostapd.conf :

macaddr_acl=1
accept_mac_file=/etc/hostapd/accept_macs

5 — Désactivation des services dangereux

Chaque service actif est une surface d'attaque. Désactivez ceux dont vous n'avez pas besoin.

WPS (Wi-Fi Protected Setup)

Le code PIN WPS à 8 chiffres se brute force avec Reaver en quelques heures. Désactivez-le systématiquement.

Dans l'interface admin : Wireless > WPS > Disable

Dans hostapd :

## Ne PAS inclure ces lignes (WPS désactivé par défaut si absent)
## wps_state=2
## eap_server=1

UPnP

UPnP permet à n'importe quelle application d'ouvrir des ports sur votre routeur sans authentification. Un malware sur un seul appareil peut exposer des services internes à internet.

Désactivez dans : Administration > UPnP > Disable

Administration à distance

L'interface admin du routeur ne doit être accessible que depuis le LAN. Vérifiez que Remote Management est désactivé.

## Vérifier si le port admin est ouvert côté WAN
## Remplacez par votre IP publique
nmap -p 80,443,8080,8443 $(curl -s ifconfig.me)

Si un de ces ports est ouvert et répond avec une interface de routeur, vous avez un problème.

6 — Mise à jour du firmware

Vérifiez la version actuelle du firmware dans l'interface admin (souvent dans System > Firmware ou About).

Pour les routeurs sous OpenWrt :

## Vérifier la version actuelle
ssh root@192.168.1.1 'cat /etc/openwrt_release'

## Mettre à jour les paquets
ssh root@192.168.1.1 'opkg update && opkg list-upgradable'

Pour les routeurs constructeur, téléchargez le firmware depuis le site officiel du fabricant (Asus, TP-Link, Netgear, etc.) et flashez via l'interface web.

7 — Script d'audit WiFi automatisé

Ce script bash vérifie les points essentiels de la sécurité WiFi de votre réseau :

#!/bin/bash
## audit-wifi.sh — Audit rapide de la sécurité WiFi
## Usage : sudo bash audit-wifi.sh

echo "=== Audit WiFi — $(date) ==="
echo ""

## 1. Réseaux détectés
echo "[1] Réseaux WiFi visibles"
if [[ "$OSTYPE" == "darwin"* ]]; then
    /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport -s
else
    sudo iwlist wlan0 scan 2>/dev/null | grep -E 'ESSID|Encryption|IE:' || echo "iwlist non disponible, essayez nmcli dev wifi list"
fi
echo ""

## 2. Appareils sur le réseau
echo "[2] Appareils connectés au réseau local"
SUBNET=$(ip route | grep 'default' | awk '{print $3}' | sed 's/\.[0-9]*$/.0\/24/')
if command -v nmap &>/dev/null; then
    sudo nmap -sn "$SUBNET" | grep -E 'scan report|MAC Address'
else
    arp -a
fi
echo ""

## 3. Ports admin ouverts côté WAN
echo "[3] Ports admin exposés côté WAN"
PUBLIC_IP=$(curl -s ifconfig.me)
if command -v nmap &>/dev/null; then
    nmap -Pn -p 80,443,8080,8443 "$PUBLIC_IP" | grep -E 'open|closed|filtered'
else
    echo "nmap non installé, vérification manuelle requise"
fi
echo ""

## 4. DNS leak check
echo "[4] Serveurs DNS utilisés"
if [[ "$OSTYPE" == "darwin"* ]]; then
    scutil —dns | grep 'nameserver' | head -5
else
    cat /etc/resolv.conf | grep nameserver
fi
echo ""

echo "=== Fin de l'audit ==="

Rendez-le exécutable et lancez-le :

chmod +x audit-wifi.sh
sudo bash audit-wifi.sh

Dépannage

Problème : un appareil ne se connecte pas après passage en WPA3

Cause probable : l'appareil ne supporte pas WPA3 (fréquent sur les objets connectés, imprimantes anciennes, consoles de jeu).

Solution : passez en mode WPA2/WPA3 Transitional. Si même ça ne fonctionne pas, connectez l'appareil au réseau invité en WPA2.

Problème : déconnexions fréquentes après activation de PMF

Cause probable : certains drivers WiFi gèrent mal les Protected Management Frames.

Solution : sur le routeur, passez PMF de Required à Optional. Sur Linux, mettez à jour le driver WiFi :

sudo apt update && sudo apt upgrade linux-firmware
sudo reboot

Problème : impossible d'accéder à l'interface admin après changement de mot de passe

Cause probable : le navigateur utilise un ancien cache d'authentification.

Solution : videz le cache du navigateur ou essayez en navigation privée. En dernier recours, reset usine (bouton physique sur le routeur, appui 10 secondes).

Problème : le filtrage MAC bloque un nouvel appareil

Cause probable : l'adresse MAC n'est pas dans la whitelist, ou l'appareil utilise une adresse MAC aléatoire (fonctionnalité activée par défaut sur iOS 14+ et Android 10+).

Solution : sur iPhone, désactivez "Adresse WiFi privée" dans les réglages du réseau. Sur Android, choisissez "Utiliser le MAC de l'appareil" au lieu de "MAC aléatoire" dans les paramètres WiFi avancés.

Checklist de hardening

| Élément | Statut attendu |

|—-|—-|

| Mot de passe admin routeur | Changé, 12+ caractères |

| Chiffrement WiFi | WPA3-SAE ou WPA2/WPA3 |

| PMF | Required (ou Optional en mode mixte) |

| Mot de passe WiFi | 16+ caractères, phrase de passe |

| Réseau invité | Activé, isolé du LAN |

| WPS | Désactivé |

| UPnP | Désactivé |

| Administration à distance | Désactivé |

| Firmware | Dernière version |

| Filtrage MAC | Optionnel, whitelist |

Ce guide couvre l'essentiel pour un réseau domestique sérieusement sécurisé. Pour aller plus loin, envisagez la segmentation VLAN (isoler IoT, caméras, domotique sur des sous-réseaux dédiés) et un IDS/IPS comme Suricata sur votre passerelle.