Accueil > Comment sécuriser son Wi-Fi : guide complet

Comment sécuriser son Wi-Fi : guide complet

6 min de lecture 1 142 mots Mis à jour 17 mai 2026

Un Wi-Fi mal sécurisé, c’est une porte ouverte à votre réseau : un voisin qui télécharge sur votre connexion (responsabilité Hadopi pour vous), un attaquant qui sniffe votre trafic, ou pire qui prend la main sur vos appareils connectés. Sécuriser son Wi-Fi domestique en 2026 demande une dizaine de réglages bien choisis, le plus important étant WPA3 + mot de passe long + segmentation IoT. Ce guide passe tout en revue, du réglage minimum vital au hardening avancé.

Les 5 réglages essentiels (15 minutes)

1. WPA3, sinon WPA2-AES

Le chiffrement du Wi-Fi est défini par le protocole de sécurité. Hiérarchie :

  • WPA3 : le standard depuis 2018. Chiffrement individualisé même sur réseau ouvert, résistant aux attaques par dictionnaire hors ligne. À utiliser dès que possible.
  • WPA2-AES (WPA2 Personal) : encore acceptable si compatibilité legacy. Éviter le mode « WPA2/WPA mixed ».
  • WPA : obsolète, à fuir.
  • WEP : cassé en quelques minutes. Désactiver absolument.
  • Mode « Transition WPA3/WPA2 » : compromis si vous avez des objets connectés vieux qui ne parlent que WPA2.

Réglage dans l’interface de votre box : Réseau Wi-Fi > Sécurité. Voir 192.168.1.1 pour accéder à l’admin.

2. Mot de passe long et unique

Un attaquant proche peut capturer le handshake Wi-Fi (4-way) et tenter une attaque par dictionnaire hors ligne. Avec WPA3 c’est beaucoup plus dur, mais en WPA2 c’est trivial avec un GPU. Réponse : un mot de passe long.

  • Minimum : 16 caractères aléatoires (gestionnaire de passwords).
  • Recommandé : 4-5 mots aléatoires concaténés (« orange-tortue-fenetre-pluie-velo »), facile à taper sur un téléphone et statistiquement très solide.
  • À éviter : nom de famille, date de naissance, anniversaire, « motdepasse123 ».
  • Le SSID n’est pas un secret — il est broadcasté. Mais évitez de mettre un SSID identifiant (« Famille Dupont fibre Orange »).

3. Désactiver WPS

WPS (Wi-Fi Protected Setup), le « bouton magique » de connexion par PIN, est vulnérable à des attaques par bruteforce sur le PIN à 8 chiffres. Désactiver le PIN WPS dans la box. Le bouton physique (PBC) reste OK car il faut un accès physique.

4. Mettre à jour le firmware

Les vulnérabilités routeur sont fréquemment publiées (KRACK, FragAttacks, etc.). Activer les mises à jour automatiques côté box si dispo. Vérifier régulièrement chez les routeurs perso (Asus, TP-Link, Netgear).

5. Changer le mot de passe admin de la box

Le mot de passe pour accéder à l’interface 192.168.1.1 est souvent admin/admin par défaut. Première chose à changer. Un appareil compromis sur votre LAN pourrait sinon reconfigurer la box.

Réglages intermédiaires

  • Wi-Fi invité séparé : pour les visiteurs et les objets connectés douteux. Pas d’accès au LAN principal. Quasiment toutes les box modernes le proposent.
  • Désactiver UPnP : permet aux applications d’ouvrir automatiquement des ports — pratique mais risqué (caméras qui s’auto-exposent, malwares qui s’ouvrent un canal). Voir port forwarding.
  • Filtrer par MAC : marginalement utile, contournable en clonant une MAC autorisée. Donne un peu de friction supplémentaire mais pas une vraie sécurité.
  • Désactiver le Wi-Fi quand absent longue durée (vacances).
  • Bande 5 GHz pour la maison, 2,4 GHz pour les IoT bas débit : segmentation naturelle.
  • Limiter la puissance d’émission : pas besoin de couvrir la rue. Réduit la surface d’attaque.

Hardening avancé

  • VLAN dédié IoT (caméras IP, ampoules, thermostats, assistants vocaux) : isolés du reste du réseau. Une caméra compromise n’accède pas à vos ordis. Voir notre fiche caméra IP.
  • Bloquer les sorties internet inutiles côté box : si une caméra n’a pas besoin de parler à des serveurs chinois, la bloquer.
  • DNS privé (DoH/DoT) : chiffre les requêtes DNS, voir notre fiche DNS.
  • Pi-hole ou AdGuard Home : DNS local qui bloque trackers et pubs.
  • VPN sortant systématique : tout le trafic sortant passe par un VPN avec no-logs. Surcouche vie privée vs FAI.
  • Logs Wi-Fi : activer côté box, voir qui se connecte. Beaucoup de box gardent l’historique des appareils.
  • WPA Enterprise (802.1X) : si vous avez plusieurs utilisateurs, authentification par compte individuel via RADIUS. Plus pro qu’un mot de passe partagé.

Reconnaître une intrusion

  • Vitesse de connexion qui chute sans raison : peut-être un voisin qui télécharge sur votre ligne.
  • Appareils inconnus dans la liste des hôtes de la box (Tools > nmap -sn 192.168.1.0/24 pour un check rapide).
  • Réception d’un avertissement Hadopi pour un téléchargement que vous n’avez pas fait — un voisin utilise votre Wi-Fi.
  • Mot de passe Wi-Fi qui ne fonctionne plus : quelqu’un l’a peut-être changé via la box.
  • Réponses : changer immédiatement le mot de passe Wi-Fi, le mot de passe admin de la box, désactiver WPS, regénérer les baux DHCP.

Wi-Fi public : règles à part

Le Wi-Fi public d’un café, d’un aéroport ou d’un hôtel n’a aucune des protections d’un réseau domestique :

  • Toujours préférer la 4G/5G via partage de connexion mobile si possible.
  • Si Wi-Fi public utilisé : VPN obligatoire pour chiffrer le trafic.
  • Vérifier HTTPS partout dans le navigateur — un faux hotspot peut intercepter HTTP en clair.
  • Ne pas activer les partages réseau Windows/Mac en mode public.
  • Vérifier les adresses MAC randomisées activées sur iPhone et Android — limite le tracking.

FAQ : sécuriser son Wi-Fi

WPA3 est-il vraiment plus sûr que WPA2 ?

Oui. WPA3 introduit SAE (Simultaneous Authentication of Equals) à la place du PSK, qui résiste aux attaques par dictionnaire hors ligne. Avec WPA2, un attaquant qui capture le handshake peut tester des millions de mots de passe sur GPU. Avec WPA3, chaque tentative nécessite une interaction réseau.

Mes appareils anciens ne gèrent pas WPA3, je fais quoi ?

Utiliser le mode « Transition WPA3/WPA2 » : les appareils compatibles WPA3 l’utilisent, les autres tombent en WPA2 sur le même SSID. Pas idéal (le risque WPA2 demeure pour ces vieux objets) mais c’est un compromis pratique.

Cacher le SSID, ça aide vraiment ?

Très peu. Le SSID caché reste visible avec un outil de scan basique (kismet, airodump-ng). Aucun obstacle pour un attaquant motivé. Bénéfice marginal : moins de tentatives opportunistes. Coût : appareils qui galèrent à se connecter, configuration manuelle nécessaire.

Le filtrage par MAC suffit-il sans mot de passe ?

Non. Une adresse MAC est cassable en quelques secondes (un attaquant écoute, voit une MAC autorisée, la clone). Le filtrage MAC est complémentaire du mot de passe WPA, jamais un remplacement.

Mon voisin utilise mon Wi-Fi, je risque quoi légalement ?

En France, vous êtes responsable de votre ligne au titre de la loi Hadopi : si quelqu’un télécharge illégalement via votre Wi-Fi, c’est vous qui recevez l’avertissement. D’où l’intérêt d’un Wi-Fi bien protégé. Au pire, prouver une compromission est très difficile.

Pages liées : Wi-Fi 6 vs Wi-Fi 7, VPN, caméra IP, encyclopédie IP.

Voir aussi dans l'encyclopédie

Autres fiches qui pourraient vous intéresser

Commande ping

Lire la fiche

Masquer son adresse IP

Comment masquer son adresse IP : VPN, Tor, proxy, méthodes simples. Comparatif, avantages, limites et vérification anti-fuite.

Lire la fiche

Adresse IP et donnée personnelle : ce que dit le RGPD

Lire la fiche
Voir toute l'encyclopédie
Copyright © 2026 Trouver IP — Tous droits réservés