Comment sécuriser ma box Internet et mon Wi-Fi à la maison ?

Réponse rapide

Cinq étapes couvrent l'essentiel du risque : changer le mot de passe administrateur de la box (pas seulement celui du Wi-Fi), utiliser WPA3 ou WPA2 avec une longue phrase de passe, désactiver WPS et l'administration à distance depuis Internet, garder le firmware de la box à jour, et créer un Wi-Fi invités distinct pour la famille de passage et les objets connectés.

Ce que ce n'est PAS

Sécuriser la box n'est PAS d'abord changer le nom du Wi-Fi pour un nom « malin » ou de le cacher (le « SSID caché » n'apporte rien d'utile), et ce n'est PAS le filtrage par adresse MAC (contourné trivialement). Les deux réglages qui comptent vraiment — le mot de passe administrateur et les mises à jour firmware — sont ceux que la plupart des gens ne touchent jamais.

Pour aller plus loin

La box Internet est le centre ennuyeux de votre vie numérique. Elle relie chaque appareil de la maison à Internet, elle voit le trafic de chacun d’eux, et c’est la première chose qu’un attaquant prendrait s’il voulait un accès durable à votre foyer. C’est aussi l’appareil que la plupart des gens installent une fois et oublient pendant cinq ans.

Les cinq choses qui comptent vraiment, dans l’ordre :

  1. Changer le mot de passe administrateur dès le premier jour. Le « mot de passe administrateur » n’est pas celui du Wi-Fi — c’est celui qui sert à se connecter à la page de réglages de la box (192.168.1.1, 192.168.0.1, ou via l’appli de l’opérateur). Les mots de passe administrateurs par défaut sont publics (ou imprimés sur un autocollant que vos visiteurs peuvent voir). Changez-le pour un long mot de passe unique et notez-le. Cette seule étape bloque la plupart des attaques opportunistes.

  2. Utiliser WPA3 (ou WPA2-AES) avec une longue phrase de passe. Ouvrez les réglages sans-fil de la box, vérifiez que WPA3 ou WPA2-AES est sélectionné, et fixez une phrase de passe d’au moins 15-20 caractères — une phrase fonctionne très bien. WEP et WPA1 sont cassés ; s’ils sont visibles, désactivez-les. Une phrase longue prime sur les classes de caractères compliquées.

  3. Désactiver WPS-PIN, et idéalement WPS entièrement. Le WPS-PIN, ce code à 8 chiffres, est la porte dérobée que l’attaque Reaver de 2011 a transformée. La méthode bouton-poussoir est plus sûre mais rarement nécessaire ; tout désactiver est le choix le plus simple.

  4. Mettre à jour le firmware de la box — et vérifier que les mises à jour automatiques sont actives. Le firmware contient les bugs que les attaquants exploitent (TP-Link, Netgear, ASUS et beaucoup de box opérateur ont eu des correctifs d’urgence ces dernières années). Les box opérateur se mettent généralement à jour seules ; les box achetées exigent souvent un clic manuel ; beaucoup d’anciennes ne reçoivent plus du tout de mise à jour et doivent être remplacées une fois le support terminé.

  5. Activer un Wi-Fi invités pour les visiteurs et les objets connectés. Le réseau invités diffuse son propre mot de passe, donne accès à Internet, mais ne peut pas atteindre le réseau principal. Donnez le mot de passe invités à vos amis, à vos locataires AirBnB, et — surtout — à vos objets connectés (TV, aspirateur robot, caméra, ampoules). Beaucoup d’objets connectés ont une sécurité faible ; les isoler sur le réseau invités empêche une ampoule compromise de pivoter vers votre ordinateur.

Ce qui ressemble à de la sécurité mais relève surtout du théâtre :

  • Cacher le SSID (« ne pas diffuser le nom du Wi-Fi »). Détecté trivialement par qui veut vraiment vous attaquer, tout en cassant l’auto-connexion de vos propres appareils. Passer.
  • Filtrage par adresse MAC (« n’autoriser que mes appareils »). Les adresses MAC sont visibles de tout attaquant et peuvent être usurpées en quelques secondes. Passer.
  • Réduire la puissance d’émission (« pour que le Wi-Fi n’atteigne pas la rue »). Les attaquants utilisent des antennes directionnelles. Le signal que vous captez du canapé n’est pas celui qu’un attaquant capte de l’extérieur. Passer.
  • Acheter une box « sécurisée » sur argument marketing. Une box grand public bien réglée fait l’affaire. Le label premium vaut rarement le coût, sauf si l’appareil apporte de vraies fonctions comme le blocage de pubs au niveau réseau ou un contrôle parental par appareil.

À envisager pour une couche supplémentaire :

  • DNS chiffré (DoH / DoT) sur la box ou sur chaque appareil. Chiffre les requêtes DNS qui révèlent les sites visités. Certaines box l’intègrent ; sinon des applis comme Cloudflare 1.1.1.1, NextDNS, ou Quad9 le font appareil par appareil.
  • Blocage de pubs / pisteurs au niveau réseau (Pi-hole, AdGuard Home, NextDNS) — réglé sur la box pour que chaque appareil en bénéficie. Gain de confidentialité modeste ; parfois accélération notable.
  • Un VLAN dédié aux objets connectés si votre box le supporte — comme le Wi-Fi invités mais plus granulaire.

Pour la plupart des foyers, la liste des cinq étapes ci-dessus est le plan de sécurité complet du réseau domestique. C’est ennuyeux et à faire une fois — l’inverse de l’attention constante qu’exigent l’e-mail et le téléphone. Ennuyeux, c’est bien. Faites-le une fois, notez le nouveau mot de passe administrateur, et la box cesse d’être le maillon faible.

On nous pose aussi

Pourquoi le mot de passe admin de la box compte-t-il — celui du Wi-Fi ne suffit-il pas ? +

Ce sont deux mots de passe différents. Le mot de passe Wi-Fi permet aux appareils de rejoindre le réseau ; le mot de passe administrateur permet de changer tous les réglages de la box (ouvrir des ports, rediriger le DNS, installer un firmware malveillant, voir le trafic de chaque appareil). Les box sortent avec des mots de passe administrateur par défaut comme « admin »/« admin » ou imprimés sur un autocollant, et beaucoup de gens ne les changent jamais — un visiteur passager sur votre Wi-Fi peut alors prendre la box. Changez-le le jour de l'installation.

Quelle est la différence entre WPA2 et WPA3 ? +

Deux générations de chiffrement Wi-Fi. WPA3 (obligatoire sur le matériel Wi-Fi 6 / 6E, repli optionnel) corrige une classe d'attaques par cassage hors ligne contre lesquelles WPA2 était vulnérable, et ajoute un chiffrement individualisé sur les réseaux ouverts. WPA2 reste acceptable avec une longue phrase de passe. Les combinaisons à éviter : WEP (cassé en 2001), WPA1 (cassé en 2008), et « WPA2-PSK + TKIP » (préférez AES-CCMP). La plupart des box modernes sortent avec de bons réglages — il suffit de vérifier que WEP et WPA1 sont désactivés.

C'est quoi le WPS et faut-il le désactiver ? +

WPS (Wi-Fi Protected Setup) permet à un appareil de rejoindre le Wi-Fi en appuyant sur un bouton de la box ou en tapant un code PIN à 8 chiffres. La méthode PIN a une vulnérabilité célèbre (attaque Reaver, 2011) qui peut la casser en quelques heures. La plupart des box sortent avec WPS-PIN activé par défaut. Désactivez au moins le WPS-PIN ; désactiver entièrement WPS est très bien pour la plupart des foyers (la méthode bouton est rarement nécessaire).

Le Wi-Fi « invités », ça sert à quoi vraiment ? +

La plupart des box modernes peuvent diffuser un second réseau Wi-Fi, avec son propre mot de passe, isolé du réseau principal — les appareils sur le réseau invités peuvent utiliser Internet mais ne voient pas vos ordinateurs, NAS, imprimante ou centrale domotique. Deux usages pratiques : (1) amis et visiteurs reçoivent le mot de passe invités, pas le vrai ; (2) le réseau invités est aussi un bon foyer pour les objets connectés (TV, caméras, frigos, ampoules) dont la sécurité est souvent faible — ainsi une ampoule compromise n'atteint pas votre ordinateur.

Mieux vaut-il acheter une box ou garder celle de l'opérateur ? +

Les deux marchent. Les box opérateur (Livebox, Bbox, Freebox, SFR Box) reçoivent les mises à jour firmware automatiquement et le mot de passe administrateur est en général imprimé sur l'autocollant — on le change une fois, c'est l'essentiel. Une box achetée (TP-Link, ASUS, Netgear, Ubiquiti, ou firmware open-source type OpenWrt) donne plus de contrôle sur les réglages, des réseaux invités plus granulaires, et parfois de meilleures mises à jour de sécurité dans la durée. L'une ou l'autre convient si vous suivez les cinq étapes.

Aussi expliqué

Le Wi-Fi public (café, hôtel, aéroport) est-il sûr ?

En 2026, le Wi-Fi public est bien plus sûr qu'autrefois parce que presque tous les sites utilisent le chiffrement HTTPS — donc votre banque, votre messagerie et vos applis se protègent déjà toutes seules quel que soit le réseau — mais il reste prudent d'éviter de se connecter à quoi que ce soit de vraiment sensible depuis un point d'accès public que vous ne pouvez pas vérifier.

C'est quoi un VPN, et est-ce que j'en ai vraiment besoin ?

Un VPN est un outil de confidentialité qui cache votre activité Internet à votre réseau local (votre bureau, le Wi-Fi du café, votre opérateur) et aux sites web — mais il ne vous rend PAS anonyme, et pour la plupart des gens en 2026 il est bien moins essentiel que ce que les pubs laissent croire.

Comment protéger mes enfants en ligne sans les espionner ?

Réponse honnête en 2026 : les contrôles techniques (Temps d'écran Apple, Google Family Link, filtres au niveau de la box) gèrent les 20 % faciles, mais les 80 % qui comptent — les enfants qui vous signalent les messages louches, qui reconnaissent les arnaques, qui savent quoi faire quand ça dérape — viennent d'une conversation continue, pas d'une appli.
← Retour au glossaire grand public