Votre box ADSL ou fibre est le premier rempart de votre sécurité sur internet. En effet c’est elle qui reçoit tous les messages venant d’Internet, avant votre ordi, smartphone ou tablette. Donc il vaut mieux que ce rempart soit efficace, notamment contre les intrusions.
Or quand elle vous est livrée, elle est pré-configurée avec des options de sécurité de base. Et vous avez pu activer certains services qui peuvent comporter des risques de sécurité. C’est pourquoi nous allons faire l’inventaire des 12 étapes pour sécuriser votre box internet. Ça peut paraître long mais c’est à faire une fois pour toutes.
Surtout c’est valable avec les box Orange, Bouygues Télécom, SFR et autres. Mais en fonction de votre FAI et l’offre box internet choisie, certaines options ou services ne sont pas accessibles. Commençons par préciser le contexte et ce que vous êtes en droit d’attendre.
Sécuriser votre box internet, qu’est-ce que ça veut dire ?
Sécuriser sa box internet ADSL ou fibre signifie d’abord préciser le mode d’usage d’internet et les services de sécurité qu’on peut attendre d’une box internet aujourd’hui.
D’abord le mode d’usage est celui d’un client. C’est à dire un particulier ou une entreprise qui demande des services sur Internet mais n’en fournit aucun. D’ailleurs on verra une exception un peu plus loin. C’est votre cas si vous utilisiez un ordi, un smartphone ou une tablette pour surfer, échanger des emails ou regarder des vidéos. Mais si vous êtes routeur d’email ou fournisseur d’application SAAS, cet article vous concerne moins.
Ensuite nous allons voir les trois services de sécurité proposés sur une box internet suivant le FAI et le modèle. En effet la box internet est devenue un élément actif de votre sécurité internet. C’est un maillon dont il serait dommage et fâcheux de se priver dans la chaîne de votre sécurité sur Internet. On est loin des modems téléphoniques passifs à 56 kbits et ça ne fait que vingt ans 😉
La résistance aux intrusions sur la box elle-même
D’abord personne ne doit pouvoir se connecter à votre box internet ADSL ou fibre en dehors de vous. Se connecter à l’interface d’administration pour en modifier les réglages ( dont le mot de passe ). Cela va sans dire mais il y a des précautions à prendre pour renforcer les options de base à la la livraison de votre box internet.
Un premier pare-feu
C’est aussi un pare-feu pour filtrer les messages inopportuns dans ce mode d’usage client. Par exemple les requêtes entrantes de type « ping » servent à savoir si votre système est actif et prêt à recevoir un message envoyé depuis Internet. Bien sûr ces requêtes n’ont pas à entrer sur votre système client.
Là aussi on peut renforcer le paramétrage de base. Ainsi ce premier pare-feu va renforcer et alléger le firewall que vous avez installé sur votre ordi, bien sûr 😉
Bloquer le piratage de votre connexion
Enfin votre box internet doit résister au piratage de votre connexion internet. Ainsi un pirate passant dans la rue cherche à utiliser votre connexion sans fil, cela s’appelle du wardriving. Pour se connecter à internet ou espionner tout ce que vous envoyez et recevez d’internet. Vous pensez sans doute à un type de liaison précis, nous en parlerons plus bas. Alors votre modem internet doit résister à cette intrusion.
Maintenant que le contexte et les attentes sont posés, passons aux actions à faire pour sécuriser votre box internet. En effet il va falloir modifier les options par défaut de votre modem internet pour renforcer votre sécurité sur internet. Et suivant votre FAI et le modèle de box certains services ne seront pas disponibles. D’ailleurs les services de sécurité sont un critère pour choisir la meilleure offre box internet, ADSL ou fibre.
Changer le mot de passe par défaut de votre box
Votre FAI vous conseille sans doute de changer le mot de passe par défaut de votre box. Et vous trouverez ici des conseils éprouvés pour vous faire un mot de passe facile à retenir et difficile à deviner.
Activer le pare-feu
Si votre box internet en propose un, l’option est activée à la livraison de votre modem. Et on peut renforcer le paramétrage de ce pare-feu en suivant ces conseils.
Activer les notifications
En activant cette option vous recevrez un email à chaque fois qu’un évènement paramétré se produit. Par exemple il est intéressant de savoir que quelqu’un d’autre que vous s’est connecté à votre box ou n’a pas réussi à le faire. Parce que ça ne devrait jamais arriver.
Sécuriser le Wi-fi en 6 étapes
La liaison Wi-fi est une passoire de sécurité internet si on y prend pas garde. D’autant plus que ce mode de liaison sans fil est bien pratique pour connecter le 2ème ordi, le smartphone ou la tablette. Aussi sécurisez le Wi-fi de votre box internet en suivant ces 6 étapes.
Trois services de votre box internet à éviter
Enfin votre box internet moderne propose trois services désactivés à la livraison de votre modem internet. Et il faut éviter de les activer sous peine de réduire votre sécurité sur Internet.
Le DynDNS ou votre système hébergeur de site Web
Le DynDNS permet d’associer un nom de domaine à votre adresse IP. C’est à dire transformer votre système en hébergeur de site Web. Ainsi vous passez d’un mode d’usage client à serveur.
Je vous déconseille fortement de faire cela pour des raisons de sécurité internet. A moins que vous soyez un développeur ou un administrateur réseau / système. En effet la sécurisation d’un serveur Web ne s’improvise pas. Et vous avez déjà suffisamment à faire pour sécuriser votre système client, non ?
L’accès à distance de votre box internet
L’accès à distance signifie accéder depuis votre bureau ou lieu de vacances à l’interface d’administration de votre box internet. Même avec un mot de passe fort, je vous déconseille d’activer ce service qui est trop dangereux. Et n’apporte aucun intérêt pour ce paramétrage à faire une fois pour toutes.
Le UPnP pour partager vos ressources sur le réseau ?
Contrairement à ce qui écrit dans la page Wikipédia , le protocole UPnP ( Universal Plug And Play ) ne sert pas uniquement aux partages de périphériques. En effet il est utilisé aussi pour la redirection de ports applicatifs, utilisée par certaines applications.
Partager vos ressources sur le réseau local
D’une part le protocole UPnP est prévu pour partager vos ressources sur le réseau local. Par exemple vous connectez une imprimante à votre ordi via un câble USB ( ou une liaison sans fil ) et ça marche rapidement grâce à ce protocole UPnP. De même pour partager une partie du disque dur de votre ordi avec un autre ordi, votre mobile ou tablette.
Mais il a été étendu sur Internet avec le même niveau de protection. C’est à dire aucun ! Ainsi de très pratique en local, il devient dangereux pour votre sécurité Internet. En effet il n’existe aucune authentification sur UPnP. Ainsi un ordinateur sur le réseau Internet peut demander le partage de vos ressources locales. Votre imprimante ou votre disque dur devient accessible depuis Internet à n’importe qui. C’est donc la porte grande ouverte à tous les piratages possibles.
Alors la première réaction est d’éviter ce cauchemar en désactivant le protocole UPnP sur votre box Internet. Et de toutes façons ce protocole sur Internet est incompatible avec le mode d’usage en client de votre système. Merci à un lecteur pour son commentaire sur ce point. Mais ce n’est pas aussi simple.
Redirection de port applicatif
D’autre part ce protocole Universal Plug And Play sert aussi à rediriger des ports applicatifs entre applications communiquant à distance. Alors si vous en les utilisez, désactiver ce protocole les empêchera de fonctionner correctement. Par exemple des applications de transfert de fichiers comme BitTorrent ou de téléphonie sur Internet comme Skype sont concernées.
Implémentation différente suivant les ISP
J’ajoute que ce protocole UPnP n’est pas implémenté de la même façon sur les box Internet en France :
- il est constitué de deux modules sur la freebox ( le FAI Free ) et la box SFR ( opérateur du même nom ). Un lecteur me signale en commentaire qu’un seul des deux modules UPnP doit être désactivé, merci pour cette précision.
- Tandis que ce protocole ne présente qu’un module sur la Livebox ( FAI Orange ) et la Bbox ( fournisseur Bouygues Télécom ).
Pour clarifier tout ça, la suite va vous aider.
Faites un test rapide de sécurité en ligne
L’essentiel est que ni votre box internet ni votre PC ne laisse ce protocole UPnP accessible sur Internet. Et pour le savoir rendez-vous sur un site de test de sécurité éprouvé en suivant ce lien. Ainsi vous saurez si vous devez désactiver ce protocole ou non.
Ce site existe depuis plus de 20 ans et l’examen est rapide :
- sélectionnez le menu « Services »
- puis « ShieldsUP »
- quand vous aurez lu le texte, cliquez sur « Proceed »
- après avoir lu ce 2ème texte cliquez sur « GRC’s Instant UPnP Exposure Test »
- cela prend quelques secondes
- et lisez les résultats.
Une fois que vous aurez accompli ces 12 actions pour sécuriser votre box internet, il sera plus difficile de pirater votre connexion internet ou de s’introduire sur votre système client.