Votre box ADSL ou fibre est le premier rempart de votre sécurité sur internet. En effet c’est elle qui reçoit tous les messages venant d’Internet, avant votre ordi, smartphone ou tablette. Donc il vaut mieux que ce rempart soit efficace, notamment contre les intrusions.
Or quand elle vous est livrée, elle est pré-configurée avec des options de sécurité de base. Et vous avez pu activer certains services qui peuvent comporter des risques de sécurité. C’est pourquoi nous allons faire l’inventaire des 12 étapes pour sécuriser votre box internet. Ça peut paraître long mais c’est à faire une fois pour toutes.
Surtout c’est valable avec les box Orange, Bouygues Télécom, SFR et autres. Mais en fonction de votre FAI et l’offre box internet choisie, certaines options ou services ne sont pas accessibles. Commençons par préciser le contexte et ce que vous êtes en droit d’attendre.
Sécuriser votre box internet, qu’est-ce que ça veut dire ?
Sécuriser sa box internet ADSL ou fibre signifie d’abord préciser le mode d’usage d’internet et les services de sécurité qu’on peut attendre d’une box internet aujourd’hui.
D’abord le mode d’usage est celui d’un client. C’est à dire un particulier ou une entreprise qui demande des services sur Internet mais n’en fournit aucun. D’ailleurs on verra une exception un peu plus loin. C’est votre cas si vous utilisiez un ordi, un smartphone ou une tablette pour surfer, échanger des emails ou regarder des vidéos. Mais si vous êtes routeur d’email ou fournisseur d’application SAAS, cet article vous concerne moins.
Ensuite nous allons voir les trois services de sécurité proposés sur une box internet suivant le FAI et le modèle. En effet la box internet est devenue un élément actif de votre sécurité internet. C’est un maillon dont il serait dommage et fâcheux de se priver dans la chaîne de votre sécurité sur Internet. On est loin des modems téléphoniques passifs à 56 kbits et ça ne fait que vingt ans 😉
La résistance aux intrusions sur la box elle-même
D’abord personne ne doit pouvoir se connecter à votre box internet ADSL ou fibre en dehors de vous. Se connecter à l’interface d’administration pour en modifier les réglages ( dont le mot de passe ). Cela va sans dire mais il y a des précautions à prendre pour renforcer les options de base à la la livraison de votre box internet.
Un premier pare-feu
C’est aussi un pare-feu pour filtrer les messages inopportuns dans ce mode d’usage client. Par exemple les requêtes entrantes de type « ping » servent à savoir si votre système est actif et prêt à recevoir un message envoyé depuis Internet. Bien sûr ces requêtes n’ont pas à entrer sur votre système client.
Là aussi on peut renforcer le paramétrage de base. Ainsi ce premier pare-feu va renforcer et alléger le firewall que vous avez installé sur votre ordi, bien sûr 😉
Bloquer le piratage de votre connexion
Enfin votre box internet doit résister au piratage de votre connexion internet. Ainsi un pirate passant dans la rue cherche à utiliser votre connexion sans fil, cela s’appelle du wardriving. Pour se connecter à internet ou espionner tout ce que vous envoyez et recevez d’internet. Vous pensez sans doute à un type de liaison précis, nous en parlerons plus bas. Alors votre modem internet doit résister à cette intrusion.
Maintenant que le contexte et les attentes sont posés, passons aux actions à faire pour sécuriser votre box internet. En effet il va falloir modifier les options par défaut de votre modem internet pour renforcer votre sécurité sur internet. Et suivant votre FAI et le modèle de box certains services ne seront pas disponibles. D’ailleurs les services de sécurité sont un critère pour choisir la meilleure offre box internet, ADSL ou fibre.
Changer le mot de passe par défaut de votre box
Votre FAI vous conseille sans doute de changer le mot de passe par défaut de votre box. Et vous trouverez ici des conseils éprouvés pour vous faire un mot de passe facile à retenir et difficile à deviner.
Activer le pare-feu
Si votre box internet en propose un, l’option est activée à la livraison de votre modem. Et on peut renforcer le paramétrage de ce pare-feu en suivant ces conseils.
Activer les notifications
En activant cette option vous recevrez un email à chaque fois qu’un évènement paramétré se produit. Par exemple il est intéressant de savoir que quelqu’un d’autre que vous s’est connecté à votre box ou n’a pas réussi à le faire. Parce que ça ne devrait jamais arriver.
Sécuriser le Wi-fi en 6 étapes
La liaison Wi-fi est une passoire de sécurité internet si on y prend pas garde. D’autant plus que ce mode de liaison sans fil est bien pratique pour connecter le 2ème ordi, le smartphone ou la tablette. Aussi sécurisez le Wi-fi de votre box internet en suivant ces 6 étapes.
Trois services de votre box internet à éviter
Enfin votre box internet moderne propose trois services désactivés à la livraison de votre modem internet. Et il faut éviter de les activer sous peine de réduire votre sécurité sur Internet.
Le DynDNS ou votre système hébergeur de site Web
Le DynDNS permet d’associer un nom de domaine à votre adresse IP. C’est à dire transformer votre système en hébergeur de site Web. Ainsi vous passez d’un mode d’usage client à serveur.
Je vous déconseille fortement de faire cela pour des raisons de sécurité internet. A moins que vous soyez un développeur ou un administrateur réseau / système. En effet la sécurisation d’un serveur Web ne s’improvise pas. Et vous avez déjà suffisamment à faire pour sécuriser votre système client, non ?
L’accès à distance de votre box internet
L’accès à distance signifie accéder depuis votre bureau ou lieu de vacances à l’interface d’administration de votre box internet. Même avec un mot de passe fort, je vous déconseille d’activer ce service qui est trop dangereux. Et n’apporte aucun intérêt pour ce paramétrage à faire une fois pour toutes.
Le UPnP pour partager vos ressources sur le réseau ?
Contrairement à ce qui écrit dans la page Wikipédia , le protocole UPnP ( Universal Plug And Play ) ne sert pas uniquement aux partages de périphériques. En effet il est utilisé aussi pour la redirection de ports applicatifs, utilisée par certaines applications.
Partager vos ressources sur le réseau local
D’une part le protocole UPnP est prévu pour partager vos ressources sur le réseau local. Par exemple vous connectez une imprimante à votre ordi via un câble USB ( ou une liaison sans fil ) et ça marche rapidement grâce à ce protocole UPnP. De même pour partager une partie du disque dur de votre ordi avec un autre ordi, votre mobile ou tablette.
Mais il a été étendu sur Internet avec le même niveau de protection. C’est à dire aucun ! Ainsi de très pratique en local, il devient dangereux pour votre sécurité Internet. En effet il n’existe aucune authentification sur UPnP. Ainsi un ordinateur sur le réseau Internet peut demander le partage de vos ressources locales. Votre imprimante ou votre disque dur devient accessible depuis Internet à n’importe qui. C’est donc la porte grande ouverte à tous les piratages possibles.
Alors la première réaction est d’éviter ce cauchemar en désactivant le protocole UPnP sur votre box Internet. Et de toutes façons ce protocole sur Internet est incompatible avec le mode d’usage en client de votre système. Merci à un lecteur pour son commentaire sur ce point. Mais ce n’est pas aussi simple.
Redirection de port applicatif
D’autre part ce protocole Universal Plug And Play sert aussi à rediriger des ports applicatifs entre applications communiquant à distance. Alors si vous en les utilisez, désactiver ce protocole les empêchera de fonctionner correctement. Par exemple des applications de transfert de fichiers comme BitTorrent ou de téléphonie sur Internet comme Skype sont concernées.
Implémentation différente suivant les ISP
J’ajoute que ce protocole UPnP n’est pas implémenté de la même façon sur les box Internet en France :
- il est constitué de deux modules sur la freebox ( le FAI Free ) et la box SFR ( opérateur du même nom ). Un lecteur me signale en commentaire qu’un seul des deux modules UPnP doit être désactivé, merci pour cette précision.
- Tandis que ce protocole ne présente qu’un module sur la Livebox ( FAI Orange ) et la Bbox ( fournisseur Bouygues Télécom ).
Pour clarifier tout ça, la suite va vous aider.
Faites un test rapide de sécurité en ligne
L’essentiel est que ni votre box internet ni votre PC ne laisse ce protocole UPnP accessible sur Internet. Et pour le savoir rendez-vous sur un site de test de sécurité éprouvé en suivant ce lien. Ainsi vous saurez si vous devez désactiver ce protocole ou non.
Ce site existe depuis plus de 20 ans et l’examen est rapide :
- sélectionnez le menu « Services »
- puis « ShieldsUP »
- quand vous aurez lu le texte, cliquez sur « Proceed »
- après avoir lu ce 2ème texte cliquez sur « GRC’s Instant UPnP Exposure Test »
- cela prend quelques secondes
- et lisez les résultats.
Une fois que vous aurez accompli ces 12 actions pour sécuriser votre box internet, il sera plus difficile de pirater votre connexion internet ou de s’introduire sur votre système client.
Vous pouvez ajouter dans votre article sur la désactivation du NAT et UPNP (une passoire en matière de sécurité).
Merci pour votre commentaire. D’ailleurs j’ai ajouté un paragraphe pour désactiver le protocole UPnP sur la box internet.
Bonjour , je ne sais expliquer le pourquoi du comment , mais moi je rencontre l’inverse de ce que vous dites , a savoir que je ne pense pas avoir une box a l’envers des autres donc???
*Pour info j’ai testé mais dires avec NMAP.
Je résume : pour moi il y’a 2 upnp , le premier est upnp av (celui la on peut le désactiver) , le deuxième est upnp pare-feu et si celui la on le désactive, on désactive la protection de la box (tous les ports sont ouverts depuis l’extérieur) en effet j’ai pu faire ces tests sur 2 box a savoir box SFR NB6V et FREEBOXMINI 4K, donc au contraire de ce que vous certifiez il faut bien activer UPNP NAT du pare feu , par contre on peut ce protéger en installant le petit soft gratuit de steve gibson de protection UPNP (sur windows) la ca désactive les liens upnp du pc, cordialement.
Bonjour Olivier,
Où avez-vous vu qu’il y avait deux UPnP ?
Par ailleurs certaines box intègrent une fonction pare-feu pour contrôler ou fermer des ports, mais ça n’a rien à voir avec UPnP.
Bonsoir ERIC, je suis repassé sur ce forum et j’ai lu votre commentaire, et oui sur certaines Box il y’a deux UPNP
par exemple je cite sur la Freebox mini 4k il y’a un UPNP AV et un UPNP réseau.
Et les fonctions pare-feu ne fonctionne plus si on désactive le UPNP réseau, j’ai déja testé cela aussi sur mon ancienne box SFR NB6V , donc upnp désactivé, plus de ports filtrés, tous le réseau interne communique avec le réseau externe , donc je réitère , persiste et signe : qui est le plouc sur internet (pas ici hein!) qui a la base a dit a tout le monde de désactiver l’upnp? Après grace lui le mappage est automatique ! Voila le résultat que je vois sur mes box (freebox et avant SFR ) aussi je ne pense pas avoir des box a l’envers des autres ! Et pourtant selon les dirent de certains , L’upnp ne désactive que les ports 1900 et 5000 , pourtant moi je constate autre chose … Bref, voyant cela moi je me suis pas cassé la tête, puisque c’est ainsi , je laisse upnp activé sur ma box , et derrière j’ y ai collé un pare-feu matériel , qui gère tout ce qui rentre et sort ! Et j’y ai collé ces règles : Deny in 1:65535/tcp Deny in 1:65535/udp et deny out :
22/23/135/137/138/139/177/445/548/554/989/990/1723/1900/3389/5000/5001/5678/5800/5900/6000/8090/9091.
Et tout fonctionne a merveille en général je n’utilise EN SORTANT que :20/21/53/67/68/80/110/443 et mon port vpn ( 49152) en sortie et tout baigne ! (naturellement je n’ouvre pas les ports que j’utilise car je souhaite qu’ils restent filtrés hein !)
Bonne soirée, bien cordialement, olivier
Bonjour Olivier,
1) Alors le réglage dépend des box internet. D’après ce que vous dites il y a deux UPnP sur la freebox et la box SFR.
Alors que sur la Bbox et la Livebox il n’y en a qu’un.
2) Et le désactiver diminue le risque sur ces deux box, à condition de ne pas en avoir besoin ( voir ci-dessous ).
3) Contrairement à ce qui écrit dans la page Wikipédia , le protocole UPnP ne sert pas uniquement aux partages de périphériques. En effet il est utilisé aussi pour la redirection de ports applicatifs, ce qui n’a plus aucun rapport avec le matériel !
4) Quelque soit votre configuration, l’essentiel est que votre box internet n’ouvre pas de port entrant depuis Internet. Pour le tester suivez ce lien. Il s’agit de GRC ShieldsUp qui examine votre box / ordi pour lister les ports ouverts, UPnP en particulier. Et il vous dira s’il y a un problème UPnP.
Bonne journée
Bonsoir Eric , j’espère que vous allez bien depuis tout ce temps ! Voici que je reviens vers vous avec du nouveau : Je vous avertis que GRC ne test plus rien du tout, car il est « arrêté » en amont par le reverse-proxy mis en place sur le réseau acheminant le trafic depuis internet vers votre box…
Je vous conseil de lire et de vous documenter sur la technique du reverse-proxy.
Donc le danger d’un UPNP IGD actif , l’est actuellement uniquement sur votre boucle locale ( a savoir entre votre box et le centre NRA ou vous êtes raccordé).
Bonne continuation, bien amicalement , olivier
***Pour info : UPNP IGD intègre PCP donc :
(PCP) PORT CONTROL PROTOCOL :
Le filtrage de paquets (pour une sécurité et une protection améliorées du réseau ), aboutissant à une rupture de la connectivité de bout en bout. et rendre le matériel et les applications inaccessibles à partir du reste d’Internet.
PCP prend en charge les protocoles de couche transport qui utilisent des numéros de port 16 bits (par exemple, TCP , UDP , Stream Control Transmission Protocol (SCTP) ou Datagram Congestion Control Protocol (DCCP). Protocoles qui n’utilisent pas de numéros de port (par exemple, Resource Reservation Protocol) (RSVP), Encapsulating Security Payload (ESP), ICMP ou ICMPv6 ) sont pris en charge pour les fonctions de pare-feu IPv4, de pare-feu IPv6 et de NPTv6 (traduction de préfixe IPv6), mais ne peuvent pas être pris en charge par plus d’un client par adresse IP externe dans le cas de NAT .
Conclusion UPNP IGD= PCP= Pare-feu a état donc a laisser absolument activer .
Cordialement. A.J