La méthode la plus efficace pour  protéger son réseau sans fil contre les intrusions de voisins et autres hackers en herbe est sans aucun doute le filtrage MAC. À condition que ce dernier soit précédé de quelques consignes pour mieux sécuriser son réseau Wifi. Voici comment procéder sur une Freebox, une Livebox, une SFRbox et une Bbox.

Il existe plusieurs méthodes pour sécuriser son réseau Wifi. On peut, entre autres, masquer le SSID ou choisir une clé WPA complexe. Ces méthodes ne sont malheureusement pas infaillibles : avec un programme approprié, n'importe qui peut démasquer le nom du réseau et en cracker la clé d'accès. J'en ai fait l'amère expérience en découvrant un jour le PC du voisin sur mon réseau alors que la clé était générée automatiquement, donc théoriquement difficile à cracker. En témoigne également un reportage de Spécial Investigation intitulé « Les nouveaux pirates de l'informatique  ».

Voilà pourquoi, pour protéger efficacement votre réseau Wi-fi des voisins indélicats  – les hackers chevronnés, eux, réussiront à contourner la parade –, je vous conseille d'opter pour le filtrage MAC. L'opération consiste à autoriser ou refuser l'accès au réseau à certains terminaux (ordinateurs, tablettes, smartphones...) en enregistrant leurs adresses MAC dans le routeur.

L'adresse MAC, c'est quoi ?

Chaque carte réseau possède un code unique composé de six paires de caractères en hexadécimal (ex.: 3A:9F:44:CD:E5:B0) d'une longueur de 48 bits (6 octets). C'est l'adresse MAC (Media Access Control), qui est scindée en deux parties : les trois premières paires identifient le fabricant, les trois dernières la carte elle-même. Lorsque cette carte est insérée dans un équipement informatique connecté à un réseau, elle se voit attribuer, en plus de son adresse physique (l'adresse MAC), une adresse dite logique (l'adresse IP), pour répondre aux spécifications du modèle OSI (l'adresse MAC correspond à la couche 2, l'adresse IP à la couche 3). Toute carte réseau active possède donc un identifiant unique au monde, l'adresse MAC, à laquelle est impérativement associée une adresse IP, qui permettra d'identifier l'appareil qui abrite la carte réseau en question.

Il en découle que l'adresse IP appartient à l'interface réseau et non à l'équipement informatique : un ordinateur avec deux cartes réseau actives aura deux adresses IP, une associée à chaque adresse MAC ; un routeur avec quatre cartes réseau actives aura quatre adresses IP, une associée à chaque adresse MAC...

Comment trouver l'adresse MAC  ?

Voici la procédure à suivre pour trouver l'adresse MAC d'un PC, d'un Mac, d'un smartphone ou d'une tablette :

• sur Windows, tapez ipconfig /all dans l'invite de commande, puis notez les 12 caractères alphanumériques figurant sur la ligne Adresse physique. Pour un PC distant, tapez arp -a <IP du PC distant> (l'adresse IP sans les chevrons)
  
• sur Mac OS, tapez ifconfig -a dans le Terminal (voir la ligne ether). Ou bien passez par l'interface Utilitaires  > Utilitaire de réseau... (voir la ligne Adresse matérielle). Ou bien par l'utilitaire Préférences Système > Réseau > Avancé > Matériel... (voir la ligne Adresse MAC)
• sur Linux, tapez ifconfig -a dans le Terminal (voir la ligne link encap:Ethernet HWadress)
• sur Android, allez dans les paramètres de l'appareil (lancez l'appli Paramètres)  dérouler le menu A propos du téléphone/de la tablette > État > Adresse Mac
• Sur iOS (iPhone ou iPad), allez dans les réglages de l'appareil (lancez l'appli Réglages)  dérouler le menu Général > Informations > Adresse Wi-Fi...
• Sur Windows Phone, allez dans les paramètres de l'appareil (lancez l'appli Paramètres) dérouler le menu à propos de > plus d'infos > Adresse MAC

 Liste blanche vs liste noire

La liste blanche répertorie les machines (ordinateurs, tablettes, smartphones) dont on autorise l'accès au réseau ; la liste noire, celles dont on refuse l'accès. C'est donc dans cette dernière qu'on met les machines bannies du réseau, par exemple le portable d'un intrus ou d'un hacker.

Si vous avez trouvé un intrus sur votre réseau, vous pouvez obtenir son adresse MAC en deux étapes. Ouvrez l'invite de commande, puis :

• tapez ping<espace>-4<espace>nom d'hôte de l'intrus
• tapez arp<espace>-a<espace>IP de l'intrus

 NB. :

• <espace> signifie qu'il suffit de taper la barre d'espace
• 4 signifie qu'on impose l'affichage de l'IPv4, sinon c'est l'IPv6 qu'on obtient
• n'oubliez pas le signe moins |-| devant 4 et a
• la première instruction affichera l'adresse IP de l'intrus

Si votre routeur ne dispose pas d'une rubrique «Liste noire», pour bloquer un intrus ou toute autre machine, il suffit de supprimer son adresse MAC de la liste des appareils autorisés, qui fait alors office de liste blanche.

 Préalable avant d'activer le filtrage MAC

Quels que soient votre Box ou votre routeur Wifi, avant d'activer le filtrage MAC, il faut s'assurer que son réseau n'est pas vulnérable aux attaques. Pour ce faire, appliquez les consignes ci-après :

• changez le mot de passe d'administration de la box et gardez-le en lieu sûr
• changez le SSID par défaut et notez-le pour ne pas l'oublier
• adoptez un chiffrement WPA2 si possible, sinon le WPA mais surtout pas le WEP – trop facile à cracker.
• utilisez un mot de passe très long  (plus de 8 caractères : plus il y en a, plus il faut des heures voire des jours pour le cracker, ce qui fait perdre patience aux hackers)
• utilisez un mot de passe combinant majuscules, minuscules, nombres et caractères spéciaux (cela rallonge encore la durée de calcul pour le cracker)

Une fois que vous avez ainsi sécurisé votre réseau, vous pouvez alors décider de bloquer telle machine ou d'autoriser telle autre à accéder à votre réseau. C'est le rôle du filtrage MAC, dont on va à présent voir la procédure en fonction de votre FAI.

Pour filtrer les adresses MAC sur une Freebox, suivez le mode d'emploi ci-après :

1. Rendez-vous, à partir d'un ordinateur connecté via un câble Ethernet, sur Freebox OS, l'interface d'administration de la Freebox,  en tapant  http://mafreebox.free.fr ou 192.168.0.254 dans un navigateur Internet (Firefox, Chrome, Internet Explorer, Safari, etc.), puis en appuyant sur la touche Entrée pour lancer la connexion.

2. Double-cliquez sur le menu Paramètres de la Freebox. Ou bien cliquez sur l'onglet Free, puis déroulez le menu Paramètres > Paramètres de la Freebox :

3. Répondez Oui  à la question "Voulez-vous vous connecter pour accéder à cette fonctionnalité" ?:

4. Si c'est la première fois, cliquez sur J'ai perdu mon mot de passe, puis suivez les instructions à l'écran de la Freebox pour réinitialiser le mot de passe... Si vous avez déjà un mot de passe, passez à l'étape 6 :

5. Quittez un instant l'ordinateur pour aller cliquer sur la flèche qui clignote sur la façade de la Freebox, comme vous y invite la boîte de dialogue :

Saisissez votre nouveau mot de passe :

6. Logguez-vous :

7. Fermez la boîte de dialogue Premiers pas : Bienvenue dans votre Freebox  :

8. Cliquez sur Oui ou Non selon que vous voulez ou non que la boîte de dialogue de l'étape 7 s'affiche à votre prochaine connexion :

9. Dans la rubrique Réseau local, double-cliquez sur Wi-Fi :

10. Cliquez sur Gérer le filtrage mac :

11. Déroulez le menu du mode de filtrage et choisissez Liste blanche :

12. Cliquez sur Ajouter une règle de filtrage :

13. Déroulez le menu du type de filtrage et choisissez Liste blanche :

14. Après avoir rempli les divers champs, cliquez sur Sauvegarder, puis sur Ok :

Pour filtrer les adresses MAC sur une Livebox, suivez le guide pratique ci-après.

1. Connectez un ordinateur à la Livebox à l'aide d'un câble Ethernet ou bien utilisez-en un qui soit déjà connecté.

2. Rendez-vous sur l'interface d'administration de la Livebox en tapant  http://livebox/ ou 192.168.1.1 dans un navigateur Internet (Firefox, Chrome, Internet Explorer, Safari, etc.), puis en appuyant sur la touche Entrée pour lancer la connexion :

3. Saisissez votre mot de passe dans le coin supérieur droit de l'écran (a), puis cliquez sur s'identifier (b). Par défaut, le mot de passe est composé des 8 premiers caractères de votre clé de sécurité Wi-Fi (voir l'étiquette apposée sur le boîtier de la box) :

4. Cliquez sur l'onglet Mon WiFi :

5. Cliquez sur l'onglet WiFi Avancé :

6. Repérez le service Filtrage MAC parmi les services proposés, et cliquez sur Activer :

Désormais, tout appareil doit être enregistré dans la liste blanche pour se connecter au réseau : la saisie de la clé de sécurité ne suffit plus ; il faudra, en outre, enregistrer l'adresse MAC de l'appareil en question.

7. Pour enregistrer l'adresse MAC d'un nouvel appareil, cliquez, dans la colonne nom, sur la flèche pour dérouler le menu des terminaux enregistrés (la liste blanche), puis choisissez autre :

8.  À présent que le terminal sélectionné a pour nom autre, saisissez son adresse MAC dans la colonne et le champ dédiés (1), cliquez sur Ajouter (2), puis sur Enregistrer (3) pour valider l'enregistrement:

Remarques

• séparez chaque paire de caractères par un deux-points |:|
• vous n'êtes pas obligé de respecter la casse (majuscule / minuscule).

L'appareil est alors enregistré dans la liste blanche.  Vous pouvez à tout moment supprimer n'importe quelle machine en cliquant sur Supprimer, puis Enregistrer pour valider les changements :

9.  Au cas où vous ne l'auriez pas encore fait, pensez à changer le mot de passe d'accès à la page d'administration de la box. C'est vivement recommandé : le mot de passe par défaut des box étant facile à trouver sur les sites de FAI, un pirate qui aurait réussi à s'introduire dans votre réseau aura vite fait de vous nuire à sa guise si vous ne le changez pas.

Pour le modifier, dans le menu de gauche, cliquez sur l'onglet administration, saisissez le mot de passe en cours puis le nouveau mot de passe. Gardez-le en lieu sûr pour vos prochaines connexions à la page d'administration de la box :

Pour filtrer les adresses MAC sur une box SFR, suivez les étapes ci-après, réalisées sur le modèle NB4-MAIN-R3.2.12 :

1. Rendez-vous, à partir d'un ordinateur connecté via un câble Ethernet, sur l'interface d'administration de la box SFR en tapant  192.168.1.1 dans un navigateur Internet (Firefox, Chrome, Internet Explorer, Safari, etc.), puis en appuyant sur la touche Entrée pour lancer la connexion.

2. Cliquez sur l'onglet Maintenance, puis suivez les instructions à l'écran :

• soit vous optez pour l'identification par bouton service. Si vous choisissez la première option, appuyez environ 5 secondes sur le bouton de service de la box, qui se trouve sur le boîtier, jusqu'à ce qu'il clignote puis cliquez sur Continuer ;
  
• soit vous optez pour l'identification par mot de passe. Si vous choisissez la seconde option, connectez-vous en saisissant admin comme identifiant et la clé Wi-Fi de votre box comme mot de passe (vous la trouverez sur le boîtier) :

Après avoir cliqué sur Continuer ou Valider, on obtient la boîte de dialogue ci-dessous :

3. Cliquez sur l'onglet Wifi, puis sur Filtrage MAC :

4. Cochez la case activé pour activer le filtrage MAC (1), puis cliquez sur Valider (2):

5. Saisissez, dans les cases prévues à cet effet, les adresses MAC des appareils autorisés à se connecter, puis cliquez sur le signe |+| pour les enregistrer : 

6. Pour supprimer un appareil enregistré, cliquez sur le signe |-| : Il n'aura plus accès au réseau :

7. Pour changer le SSID, cliquez sur l'onglet Configuration, et mettez le nom de votre choix à la place de NEUF_xxxx :

8. Au cas où vous ne l'auriez pas encore fait, pensez à changer le mot de passe d'accès à la page d'administration de la box. C'est vivement recommandé : le mot de passe par défaut des box étant facile à trouver sur les sites de FAI, un pirate qui aurait réussi à s'introduire dans votre réseau aura vite fait de vous nuire à sa guise si vous ne le changez pas.

Pour changer le mot de passe d'administration de la box, déroulez le menu Maintenance > Administration... Gardez-le en lieu sûr pour vos prochaines connexions à la page d'administration de la box

Pour filtrer les adresses MAC sur une Bbox, suivez les étapes ci-après :

1. Rendez-vous sur l'interface d'administration de la Bbox en tapant  http://gestionbbox.lan ou 192.168.0.254 dans un navigateur Internet (Firefox, Chrome, Internet Explorer, Safari, etc.).

À suivre.

Vous avez effectué des changements dans les paramètres de sécurité Wi-Fi du routeur et votre portable n'arrive plus à se connecter au réseau et affiche une croix rouge en face du SSID alors que les réseaux de vos voisins sont en vert ? C'est ce qui m'est arrivé en basculant  du type de connexion WPA-PSK à WPA2-PSK/AES :

Si, comme moi, vous avez perdu l'accès à la connexion sans-fil, suivez la procédure ci-après pour corriger le problème.

1) Cliquez gauche sur l'icône d'accès au sans-fil, cliquez droit sur le SSID et sa croix rouge, puis cliquez gauche sur Propriétés :

2) Cliquez sur l'onglet Sécurité, déroulez le menu relatif à chaque chaque rubrique en cliquant sur la flèche, faites les modifications effectuées sur le routeur (même type de sécurité, même chiffrement, même clé), puis cliquez sur Ok pour valider les changements :

3) La croix ayant disparu et le SSID étant à nouveau accessible, cliquez sur le SSID, puis sur Connecter :

L'association filtrage MAC + clé WPA2 complexe est, pour les particuliers, le moyen le plus sûr de protéger son réseau Wifi. Mais, comme, sur certaines cartes réseaux, il est possible de modifier l'adresse MAC, ce qui s'appelle le spoofing, force est de reconnaître qu'un hacker chevronné pourra toujours contourner le filtrage. Aussi est-il conseillé de surveiller son réseau.

Tuto de Wireless Network Watcher

Pour savoir si son réseau est victime d'une intrusion, utilisez un logiciel de surveillance réseau, Wireless Network Watcher ou Dipiscan par exemple.

Laissez-le tourner pendant 24h. Puis renouvelez l'opération de temps en temps. Si un intrus est détecté, il ne vous reste plus qu'à enregistrer son adresse MAC dans la liste noire du routeur en espérant que le pirate n'est pas assez doué pour contourner l'interdiction d'accès au réseau. Un hacker patenté pourra, en effet, dérober une adresse MAC de la liste blanche pour se connecter avec, en modifiant simplement l'adresse de sa carte réseau. (Ne comptez pas sur moi pour vous expliquer comment procéder car c'est illégal et risqué. Peine encourue d'après l'article L323-1 du CP : 2 à 5 ans ans de prison et 30 000 à 45 000 € d'amende !) S'il se trouve que le hacker a réussi à usurper votre adresse MAC, comme le mettre sur liste noire reviendrait à vous bannir également, il vous reste deux solutions radicales : portez plainte ou désactivez la fonctionnalité Wi-Fi de la box ou du routeur.

À noter que le programme détecte tout type de connexion : filaire ou Wi-Fi.

Sur les captures ci-dessus, le logiciel a détecté 5 machines sur mon réseau domestique.  La connexion des deux premières est active, c.-à-d. que les machines sont connectées (voir le "Yes" de la colonne Active de la seconde image) ; la connexion des trois autres est inactive, c.-à-d. qu'elles sont déconnectées (voir le "No" de la colonne Active de la seconde image). Les dates de connexion sont conservées et visibles dans la colonne First Detected On, qui indique la date à laquelle l'appareil a été détecté la première fois sur le réseau, et la colonne Last Detected On, qui indique la dernière date de détection de l'appareil sur le réseau.

• La colonne IP Adress indique l'adresse IP de l'appareil ou adresse logique.

• La colonne MAC Adress indique l'adresse MAC de l'appareil ou adresse physique

• La colonne Device Name indique le nom d'hôte de l'appareil

• La colonne Network Adapter Company indique le nom du fabricant de l'adaptateur réseau

• La colonne Device Information indique la nature de l'appareil et son rôle dans le réseau.

Les appareils déconnectés restent affichés tant que vous ne fermez pas le programme. Au lancement, seuls les appareils connectés sont affichés ; si l'un d'eux venait à se déconnecter, il resterait néanmoins affichés comme déconnecté jusqu'à la fermeture du programme.

Vous pouvez peaufiner les réglages du logiciel en déroulant le menu Options... network-watcher3. Je vous conseille alors d'activer les options Put Icon on Tray, Start as Hidden, Beep on new Device et Show All Previous Devices.