Sécuriser un routeur

Le sujet est important: comment s’assurer d’avoir un routeur sécurisé? En tant que pare-feu, c’est votre première ligne de défense contre les logiciels malveillants qui tentent d’accéder à votre ordinateur depuis Internet. Vous voudrez vous assurer qu’il n’ y a pas de gros trous béants. Et malheureusement, très souvent et par défaut, il y en a.
Voici les étapes les plus importantes pour avoir un routeur plus sûr.

Mon routeur contre votre routeur

Je dois commencer par une mise en garde: il y a des centaines, voire des milliers de routeurs différents. Différentes marques et différents modèles avec des capacités, des puissances et, bien sûr, des coûts différents. Surtout, ils ont des interfaces d’administration différentes.
Cela signifie que je ne peux pas vous dire exactement comment faire des changements à votre routeur, étape par étape. Les concepts que je vais couvrir s’appliquent à presque tous les routeurs grand public.

Vous devrez « traduire » les exemples vers les paramètres équivalents sur votre propre routeur ou point d’accès. Assurez-vous d’avoir accès à la documentation fournie avec votre routeur ou localisez le manuel utilisateur en ligne. Un routeur sécurisé? nous voyons déjà une différence commune: vous avez peut-être un seul appareil qui combine le routeur et le point d’accès sans fil. Vous l’appelez probablement simplement votre « routeur ». En réalité, il y a deux dispositifs distincts – un routeur qui traite de l’accès au réseau et un point d’accès sans fil qui fournit votre connectivité Wi-Fi – qui se trouvent être logés dans un seul boîtier. Dans mon cas, ils sont dans des box séparées.

Modifier le mot de passe par défaut

Si vous ne faites rien d’autre pour sécuriser votre routeur, changez le mot de passe par défaut. Changez-le en quelque chose de long et de fort. Si votre routeur le supporte, une phrase de passe de trois mots ou plus pourrait être idéale. La raison en est très simple: il s’agit d’une faille de sécurité courante.

Pendant de nombreuses années, presque tous les routeurs et points d’accès du même fabricant ont été livrés avec le même mot de passe par défaut. Pour LinkSys, si votre login est un nom d’utilisateur vierge et un mot de passe « admin », comme décrit dans son manuel, alors n’importe qui et tout le monde le connaît. Et n’importe qui peut se connecter à votre routeur et annuler n’importe laquelle ou toutes les autres mesures de sécurité que nous allons prendre. Ensuite, tout logiciel malveillant qui tire parti des mots de passe par défaut sur les routeurs peut apporter des modifications à votre insu.

Heureusement, ces dernières années, la plupart des fabricants de routeurs – mais malheureusement pas tous – sont devenus plus intelligents. Si les instructions fournies avec votre routeur incluaient la vérification d’un autocollant sur le routeur actuel pour le mot de passe administrateur, et que cela ressemble à un mot de passe fort, alors la faille de sécurité est beaucoup plus petite. Maintenant, seules les personnes qui peuvent accéder à votre routeur et regarder l’autocollant peuvent entrer. Je changerais le mot de passe de toute façon.

Désactiver la gestion à distance

La gestion à distance est une fonctionnalité qui permet d’administrer votre routeur à partir de n’importe où sur Internet.Bien que ce paramètre (couplé à un mot de passe très puissant) puisse être utile pour une poignée de personnes, la plupart des gens n’ont absolument pas besoin d’administrer le routeur à partir de n’importe où, sauf sur les machines locales qui y sont connectées. Assurez-vous que le paramètre de gestion à distance est désactivé.

Désactiver le Plug and Play universel

L’Universal Plug and Play (UPnP) est une technologie qui permet aux logiciels fonctionnant sur votre machine de configurer des services tels que le transfert de port (une façon de permettre à des ordinateurs en dehors de votre réseau d’accéder directement à vos ordinateurs locaux) sans que vous deviez entrer et administrer le routeur manuellement.

C’est une bonne idée, non?
Non du tout. Éteignez-le.

Il s’avère que les logiciels malveillants peuvent également être conscients UPnP, et peuvent apporter des modifications malveillantes à votre routeur sans que vous ne soyez impliqué ou conscient.
(Note: UPnP n’est pas lié à la détection matérielle « Plug and Play » de Windows; c’est juste une autre collision malheureuse de noms similaires…)

Ajouter une clé WPA2

Il est temps pour modifier un autre mot de passe, cette fois pour sécuriser et crypter votre connexion sans fil. Tout d’abord, utilisez WPA2, pas WEP. Le chiffrement WEP s’avère être très facilement crackable, et même le WPA (sans le 2) s’est révélé vulnérable.

Deuxièmement, tout comme pour le mot de passe d’administration du routeur, sélectionnez une autre bonne clé / mot de passe / phrase secrète (les termes sont à peu près interchangeables ici). Vous n’avez besoin de le saisir qu’une seule fois ici, et une seule fois sur chaque machine autorisée à se connecter à votre réseau sans fil.

Disposer d’une clé WPA2 puissante garantit que seules les machines que vous autorisez sur votre réseau peuvent voir votre réseau, votre trafic et votre routeur.

Désactiver WPS

Le WPS, ou Wi-Fi Protected Setup, ne correspond pas à son nom – il n’est pas très « protégé » du tout. WPS a été conçu pour faciliter la mise en place d’un réseau Wi-Fi protégé. WPS aurait, par simple pression d’un bouton, mis en place un cryptage Wi-Fi entre le routeur et les clients qui le supportaient.

Le problème avec WPS est que le protocole est imparfait au point d’être vulnérable à une attaque de force brutale. Une entité malveillante à portée peut forcer son passage sur votre réseau en contournant toutes les clés de cryptage que vous avez éventuellement configurées.

Le WPS est activé par défaut sur de nombreux routeurs. Éteignez-le.

Désactiver la journalisation

Cela a moins à voir avec la configuration d’un routeur sécurisé, et plus à voir avec le maintien de votre vie privée. Il s’agit également de s’assurer que l’enregistrement est toujours désactivé, car si un routeur prend en charge n’importe quel type d’enregistrement, il sera probablement désactivé par défaut.

Désactivez l’enregistrement, et aucune information ne sera conservée sur le routeur, ni envoyée à une autre machine. Ceci devrait également effacer tout log que le routeur possède. Il convient de souligner que la plupart des routeurs de qualité grand public n’ont pas la capacité de conserver eux-mêmes des journaux complets. S’ils gardent quelque chose, ce ne sera qu’un journal partiel plus court. Lorsque cette option est activée, certains vous proposeront d’envoyer le journal à l’un des ordinateurs de votre réseau pour stockage. La simple désactivation de l’enregistrement n’effacera pas les enregistrements stockés ailleurs.

Sécurisez physiquement votre routeur

Comme nous l’avons déjà vu, même si le mot de passe d’administration par défaut est unique à votre appareil, il reste visible pour toute personne ayant un accès physique au routeur qui peut voir l’autocollant sur lequel il est imprimé.

En fait, votre routeur sécurisé peut ne pas être sécurisé du tout si n’importe qui peut simplement marcher jusqu’à lui. Tous les paramètres de sécurité de votre routeur peuvent être réinitialisés en un clin d’œil si quelqu’un a physiquement accès à l’appareil. Presque tous les routeurs ont un mécanisme de « remise à zéro par défaut » (habituellement en maintenant un bouton de remise à zéro pendant un certain temps).

Si quelqu’un peut accéder à votre routeur et le faire, tous les paramètres de sécurité que vous venez d’activer peuvent être instantanément effacés. Vous seul pouvez juger si vous avez besoin ou non de ce niveau supplémentaire de sécurité physique, mais assurez-vous d’en tenir compte.

Vérifier les mises à jour du firmware

Les routeurs (et les points d’accès) ne sont en réalité que de petits ordinateurs dédiés à une seule tâche: gérer le trafic réseau. Normalement, le logiciel – appelé « firmware » parce qu’il est stocké dans le matériel de l’appareil – est solide et fonctionne.
Malheureusement, des vulnérabilités de sécurité sont parfois découvertes, ce qui vous oblige à mettre à jour le firmware de votre routeur pour rester en sécurité. Il s’agit généralement de télécharger un fichier pour votre routeur spécifique, puis d’utiliser son interface d’administration pour installer la mise à jour. Certains routeurs peuvent récupérer et installer la mise à jour directement. Quoi qu’il en soit, la mise à jour est une étape manuelle que vous devez suivre.

Vérifier s’il y a une mise à jour du firmware pour votre routeur est également une étape manuelle. Certains routeurs effectuent le contrôle en appuyant sur un bouton dans l’interface d’administration. Sinon, vous devrez visiter le site d’assistance du fabricant, rechercher des informations relatives à votre modèle spécifique et déterminer si une version plus récente du firmware est disponible.