Ma box internet peut-elle être piratée depuis la rue ?

Oui, c'est techniquement possible. Un attaquant à portée de votre signal WiFi peut tenter de s'introduire dans votre réseau en exploitant un mot de passe faible, un protocole obsolète (WPA ou WPA2 avec TKIP), ou une vulnérabilité dans le firmware de votre box. La distance effective pour un piratage WiFi dépasse facilement 50 mètres avec du matériel standard et plusieurs centaines de mètres avec une antenne directionnelle.

WPA2 est-il encore sécurisé en 2026 ?

WPA2 avec AES-CCMP reste utilisable mais montre ses limites. La vraie faiblesse de WPA2 est l'attaque par dictionnaire sur le handshake : si votre mot de passe WiFi est composé de moins de 12 caractères ou suit un pattern courant, il peut être cassé hors ligne en quelques heures. WPA3 SAE (Simultaneous Authentication of Equals) résout ce problème en rendant les attaques par dictionnaire hors ligne impossibles. Si votre box supporte WPA3, activez-le impérativement.

Les objets connectés (IoT) sont-ils vraiment dangereux pour mon réseau ?

C'est actuellement le risque principal pour les foyers connectés. Les appareils IoT — ampoules connectées, aspirateurs robots, caméras de surveillance, thermostats intelligents — sont souvent livrés avec des firmwares non mis à jour, des mots de passe par défaut réutilisés, et des communications non chiffrées. Une fois compromis, ils servent de point d'entrée sur votre réseau local. La solution : réseau WiFi dédié pour les IoT, isolé de vos ordinateurs et smartphones par VLAN ou réseau invité.

Comment savoir si mon réseau WiFi a été compromis ?

Les signes classiques sont : connexions internet anormalement lentes, appareils inconnus visibles dans l'interface admin de la box, activité réseau nocturne anormalement élevée, factures de box avec dépassements incompréhensibles. Pour vérifier : connectez-vous à l'interface admin de votre box (généralement 192.168.1.1 ou 192.168.0.1) et listez les appareils connectés. Chaque appareil inconnu est suspect.

Le réseau invité de ma box est-il vraiment isolé ?

Ça dépend du firmware de votre box. Sur les box des FAI français, le réseau invité est généralement isolé du réseau principal — les appareils sur le réseau invité ne peuvent pas voir les appareils du réseau principal. Cependant, l'isolation n'est pas toujours parfaite et varie selon le modèle de box et la version de firmware. Pour une isolation garantie, un switch manageable avec VLAN est plus fiable.

Faut-il changer le mot de passe par défaut de l'interface admin de sa box ?

Absolument et immédiatement. Les interfaces d'administration des box (192.168.1.1 ou 192.168.0.1) sont souvent accessibles avec des identifiants par défaut documentés publiquement (admin/admin, admin/1234, etc.). Si votre box est accessible depuis internet via son interface admin (désactivez l'administration à distance si elle est activée), n'importe qui connaissant votre IP publique peut tenter de s'y connecter avec ces credentials par défaut.

Un VPN sur routeur protège-t-il tous mes appareils ?

Un VPN configuré sur le routeur fait passer tout le trafic réseau de votre foyer par le tunnel VPN — ordinateurs, smartphones, TV connectée, consoles. Cela protège tous les appareils sans configuration individuelle. La contrepartie : performances légèrement dégradées (le routeur chiffre lui-même le trafic, consomme du CPU), et certains services détectent l'IP du VPN (services bancaires, certains sites gouvernementaux). Un kill switch au niveau routeur est recommandé.

Cybersécurité WiFi domestique : interview d'un expert 2026

Votre box internet est peut-être la porte ouverte la plus accessible de votre domicile numérique. Cet expert en sécurité réseau domestique dissèque les vraies menaces — celles que les fabricants de box ne vous communiqueront pas — et donne des conseils concrets, applicables sans compétences techniques.

La sécurité du réseau domestique est le parent pauvre de la cybersécurité grand public. On parle beaucoup d’antivirus, de mots de passe forts pour les comptes en ligne, d’authentification à deux facteurs — mais la box internet qui donne accès à tout ça reste souvent dans sa configuration d’usine, avec ses paramètres par défaut et ses vulnérabilités connues.

Thomas Bernardi est consultant en sécurité des systèmes d’information depuis 14 ans. Pour saisir les concepts techniques qu’il aborde — protocoles WiFi, DNS, NAT — notre lexique réseau et notre guide sur les protocoles internet vous donneront les bases nécessaires. Après une carrière en entreprise (RSSI d’une ETI industrielle), il travaille aujourd’hui de façon indépendante sur des missions de sensibilisation et d’audit pour des PME et des particuliers. Il accepte rarement les interviews grand public — mais la question de la sécurité WiFi domestique, dit-il, “mérite qu’on arrête de tourner autour du pot”.

Thomas Bernardi Consultant en cybersécurité indépendant — 14 ans d’expérience Ancien RSSI secteur industriel Spécialité : sécurité périmétrique et sensibilisation PME/particuliers

La menace réelle : ce que les FAI ne vous diront pas

{id=“menace-reelle-fai-ne-disent-pas”}

**Claire Aubry, winmx-france.com :** Commençons par les bases. Le WiFi domestique d'un particulier, c'est vraiment une cible intéressante pour un pirate ?

**Thomas Bernardi :** La question devrait être retournée : pourquoi ne le serait-il pas ? Un réseau WiFi domestique, c'est l'accès à tous les services bancaires de la famille, les comptes de messagerie, les photos personnelles sur le NAS, parfois les caméras de surveillance intérieures. Et tout ça, derrière une box souvent configurée en 3 minutes à l'installation du FAI et jamais retouchée ensuite.
Le piratage ciblé d’un particulier spécifique, ça arrive mais c’est rare. Ce qui est beaucoup plus courant, c’est le scan automatisé. Des outils comme Kismet ou des dérivés scannent en continu les réseaux WiFi à portée. Les réseaux avec des configurations par défaut ou des mots de passe faibles sont identifiés automatiquement. On ne vous cible pas en particulier — on cueille les fruits les plus accessibles.

**Claire Aubry :** Et concrètement, quelles sont les premières choses qu'un attaquant cherchera une fois sur votre réseau ?

**Thomas Bernardi :** Plusieurs scénarios selon la motivation. Le plus courant en 2026 : utiliser votre connexion pour des activités illicites — téléchargement, relayage de trafic, participation à des botnets. Pour vous, la conséquence, c'est une connexion lente et, dans le pire cas, une convocation en tant que suspect dans une enquête sur des activités que vous n'avez pas commises.
Le scénario plus élaboré : cartographier votre réseau local, identifier vos appareils, chercher des accès non sécurisés — une caméra IP avec le mot de passe par défaut, un NAS avec l’interface web exposée, un appareil IoT vulnérable. Ces accès peuvent être revendus sur des forums ou exploités directement.

Le scénario le plus grave, mais le moins fréquent pour un particulier standard : interception du trafic non chiffré pour récupérer des identifiants. Moins pertinent sur les sites HTTPS, mais encore possible sur certaines applications mobiles ou protocoles maison des appareils IoT bon marché. Les termes techniques évoqués ici — adresse MAC, SSID, DHCP, pare-feu — sont définis dans notre lexique réseau si vous avez besoin d’un point de référence rapide.

WPA3, IoT, firmwares : les trois angles morts de votre sécurité WiFi

{id=“wpa3-iot-firmware-angles-morts”}

**Claire Aubry :** On entend beaucoup parler de WPA3. Est-ce que c'est vraiment important de migrer depuis WPA2 ?

**Thomas Bernardi :** Oui, et voilà pourquoi en termes simples. WPA2 a une faiblesse structurelle : quand un client se connecte au point d'accès, il y a un échange appelé "four-way handshake". Un attaquant qui capture cet échange peut l'enregistrer et tenter de retrouver le mot de passe hors ligne, en testant des millions de combinaisons par seconde avec du matériel courant. Si votre mot de passe WiFi fait 8 caractères et contient un mot du dictionnaire, c'est une question de minutes.
WPA3 SAE, le nouveau protocole d’authentification, change fondamentalement cette mécanique. Même si un attaquant capture votre handshake, il ne peut pas le tester hors ligne de façon efficace — la vérification nécessite d’interagir avec le point d’accès à chaque tentative, ce qui ralentit drastiquement toute attaque par dictionnaire.

Si votre box supporte WPA3 — et les box récentes des FAI français le supportent en mode mixte WPA2/WPA3 — activez-le. La configuration mixte assure la compatibilité avec les vieux appareils qui ne supportent pas WPA3.

**Claire Aubry :** Et les objets connectés — ampoules, caméras, thermostats — c'est vraiment un risque sérieux ?

**Thomas Bernardi :** C'est probablement le risque numéro un sur les foyers connectés aujourd'hui, et le moins bien compris. Les appareils IoT grand public sont produits avec des compromis agressifs sur la sécurité : firmware cheap, mises à jour inexistantes après 18 mois, communications non chiffrées vers des serveurs cloud en Chine ou ailleurs, interface de gestion exposée sur le réseau local sans authentification sérieuse.
J’ai effectué des tests dans des foyers de particuliers. Dans 80 % des cas, j’ai trouvé au moins un appareil IoT avec un accès non authentifié sur le réseau local — une caméra IP accessible en clair, un thermostat avec une API sans authentification, une imprimante avec son interface web exposée avec le mot de passe par défaut. Ces appareils sont des portes d’entrée.

La solution la plus efficace est simple : un réseau WiFi dédié pour tous vos IoT, isolé de votre réseau principal. Votre box peut généralement créer un “réseau invité” — configurez-le en isolation, sans accès au réseau principal, et connectez-y tous vos appareils IoT. Votre télé connectée, vos ampoules Philips Hue, votre robot aspirateur — tout ça sur le réseau isolé. Vos ordinateurs, smartphones et NAS restent sur le réseau principal. Notre guide sur la sécurité réseau détaille comment configurer cette segmentation efficacement.

**Claire Aubry :** La mise à jour du firmware de la box, c'est important ? Les FAI s'en occupent automatiquement ?

**Thomas Bernardi :** Pour les box des FAI principaux français — Orange Livebox, SFR Box, Bouygues Bbox, Free Freebox — les mises à jour sont effectivement poussées automatiquement dans la majorité des cas. C'est une des rares bonnes pratiques systématiques dans l'industrie. Ces box sont gérées à distance par le FAI, qui a intérêt à ce que ses équipements réseau soient sécurisés.
En revanche, si vous avez installé votre propre routeur derrière la box du FAI — ce que font beaucoup d’utilisateurs avancés pour avoir plus de contrôle — là, c’est votre responsabilité. Les routeurs grand public ASUS, TP-Link, Netgear ont souvent des portails de mise à jour automatique, mais ils ne sont pas toujours activés par défaut. Et surtout, une fois le modèle discontinué, les mises à jour de sécurité s’arrêtent — et un routeur de 2019 peut avoir des vulnérabilités critiques non corrigées en 2026.

La règle : vérifiez la date de fin de support avant d’acheter un routeur. Et vérifiez régulièrement qu’il reçoit bien des mises à jour. Pour choisir un routeur WiFi 7 récent avec support garanti sur plusieurs années, notre guide des routeurs WiFi 6E et WiFi 7 compare les modèles 2026 et leurs cycles de support.

Thomas Bernardi, consultant en cybersécurité, dans son bureau avec deux écrans de monitoring

Interface admin, DNS et VPN : les outils de la sécurité active

{id=“interface-admin-dns-vpn-securite-active”}

**Claire Aubry :** Vous avez mentionné l'interface admin de la box. C'est quoi les paramètres qu'on devrait absolument vérifier ?

**Thomas Bernardi :** Je vais vous donner une liste concrète que j'utilise lors de mes audits particuliers.
Premier point : le mot de passe WiFi. Minimum 15 caractères, aléatoire, sans mots du dictionnaire. Oubliez “NomDeFamille2020!” — ça se casse en quelques heures. Générez quelque chose comme “7k#mP9qN!Ld4vR2”. Inscrivez-le sur une étiquette collée sous la box — la menace physique est nettement moins probable que la menace réseau.

Deuxième point : le mot de passe de l’interface admin. Par défaut, souvent “admin/admin” ou “admin/1234”. Changez-le immédiatement. Si votre box permet de désactiver l’accès à l’interface admin depuis internet (administration à distance), désactivez-le — vous n’en avez probablement pas besoin, et ça réduit votre surface d’attaque.

Troisième point : le protocole WiFi. Si WPA3 est disponible, activez le mode mixte WPA2/WPA3. Supprimez définitivement WPA (sans le 2) et le chiffrement TKIP — ces protocoles sont cassés depuis longtemps.

Quatrième point : la liste des appareils connectés. Familiarisez-vous avec ce que votre box doit montrer. Tout appareil inconnu est suspect. La plupart des interfaces de box permettent de bloquer un appareil par adresse MAC.

Cinquième point : le réseau invité. Activez-le pour vos IoT et vos appareils des visiteurs. Assurez-vous que l’option “isolation du réseau local” est cochée.

**Claire Aubry :** Le DNS, c'est un vecteur d'attaque souvent sous-estimé ?

**Thomas Bernardi :** Totalement sous-estimé. Le DNS, c'est le système qui traduit "www.votre-banque.fr" en adresse IP. Si un attaquant modifie les serveurs DNS de votre box — par une intrusion ou par une vulnérabilité du firmware — il peut rediriger vos requêtes vers des sites frauduleux qui ressemblent parfaitement aux vrais. C'est ce qu'on appelle le DNS hijacking ou le DNS spoofing.
Les FAI fournissent leurs propres serveurs DNS, qui fonctionnent généralement bien mais ne sont pas nécessairement les plus sécurisés. En 2026, les meilleures alternatives sont Cloudflare (1.1.1.1) et Google (8.8.8.8), qui supportent DNS over HTTPS (DoH) — un protocole qui chiffre les requêtes DNS pour empêcher leur interception et leur manipulation. Changer les serveurs DNS dans les paramètres de votre box prend deux minutes.

**Claire Aubry :** Et un VPN au niveau du routeur — c'est vraiment utile pour un particulier ?

**Thomas Bernardi :** Pour un particulier moyen chez lui, non — c'est overkill. La valeur ajoutée d'un VPN est surtout sur les réseaux non maîtrisés : WiFi public, connexion depuis un hôtel, réseau d'entreprise que vous ne contrôlez pas. Chez vous, avec une box correctement configurée, WPA3 activé et les IoT isolés, votre risque principal n'est pas "quelqu'un intercepte votre trafic" — c'est "quelqu'un se connecte à votre réseau".
En revanche, si vous avez des préoccupations spécifiques — vous voyagez fréquemment, vous travaillez sur des sujets sensibles depuis chez vous, vous souhaitez masquer votre trafic à votre FAI — un VPN au niveau routeur a du sens. Les routeurs ASUS récents avec Merlin firmware supportent WireGuard en natif et permettent une configuration propre. Mais c’est une démarche pour les utilisateurs à l’aise avec la configuration réseau.

Pour les débutants qui veulent juste se protéger sur le WiFi public, une app VPN sur le smartphone suffit. Notre recommandation : Proton VPN pour les utilisateurs soucieux de confidentialité.

Schéma de segmentation réseau domestique : réseau principal (PC, smartphone) isolé du réseau IoT (TV, caméra, ampoules) via réseau invité

Questions rapides : les idées reçues sur la sécurité WiFi

{id=“questions-rapides-idees-recues-securite-wifi”}

**Claire Aubry :** "Masquer le SSID (nom du réseau WiFi) améliore la sécurité." C'est vrai ?

**Thomas Bernardi :** Non. C'est une illusion de sécurité. Un SSID masqué n'apparaît pas dans la liste des réseaux WiFi visibles, mais il est toujours diffusé dans les trames de gestion 802.11. N'importe quel outil d'analyse WiFi (Wireshark, Kismet, Aircrack-ng) voit immédiatement votre réseau masqué. Vous vous complifiez juste la vie pour vous connecter depuis vos propres appareils, sans aucun bénéfice sécurité réel. Les mêmes outils (WiFi Analyzer, NetSpot) qui exposent vos réseaux masqués servent aussi à analyser la qualité de votre signal — notre [guide des outils de test réseau](/blog/top-15-outils-tester-connexion-internet-2026/) les couvre dans leur usage légitime.

**Claire Aubry :** "Activer le filtrage MAC sur la box — n'autoriser que les adresses MAC de mes appareils — empêche les intrusions."

**Thomas Bernardi :** Partiellement vrai, mais facilement contournable. Un attaquant qui capture du trafic WiFi voit les adresses MAC des appareils autorisés. Il peut alors cloner une de ces adresses MAC et se connecter comme si c'était l'un de vos appareils. Le filtrage MAC est un obstacle, pas une protection. Sa valeur principale est dissuasive — ça complique un peu les choses pour un attaquant peu motivé. Ne perdez pas trop de temps à le configurer et à le maintenir.

**Claire Aubry :** "Ma box 5G/fibre est plus sécurisée que l'ancienne ADSL."

**Thomas Bernardi :** Pas automatiquement. La technologie de connexion (5G, fibre, ADSL) n'a pas de relation directe avec la sécurité WiFi. Une Freebox Ultra 2026 avec WPA3 mal configuré et les IoT sur le même réseau que les ordinateurs est moins sécurisée qu'une vieille Livebox avec WPA3 bien configuré et une segmentation réseau correcte. La configuration prévaut sur le matériel.

Ce que vous devriez faire ce soir

{id=“ce-que-vous-devriez-faire-ce-soir”}

**Claire Aubry :** Si nos lecteurs retiennent 3 actions à faire ce soir, lesquelles ?

**Thomas Bernardi :** Sans hésiter.
Un : connectez-vous à l’interface admin de votre box (192.168.1.1 ou 192.168.0.1, identifiants dans le guide du FAI) et vérifiez 3 choses : le protocole WiFi (passez en WPA3 mixte si disponible), le mot de passe WiFi (minimum 15 caractères aléatoires), et la liste des appareils connectés (cherchez les inconnus).

Deux : activez le réseau WiFi invité et basculez tous vos appareils IoT dessus — télé connectée, enceintes, ampoules, caméras, thermostats. Assurez-vous que l’isolation du réseau local est activée.

Trois : changez le mot de passe de l’interface admin de votre box si ce n’est pas déjà fait. C’est souvent “admin/admin” et c’est le premier endroit qu’une attaque automatisée va tester.

Ces trois actions ne demandent pas de compétences techniques particulières et éliminent la grande majorité des vulnérabilités courantes. Tout le reste — VPN routeur, serveurs DNS personnalisés, certificats TLS — c’est pour les utilisateurs qui veulent aller plus loin.

**Claire Aubry :** Un dernier mot sur l'évolution des menaces WiFi pour les prochaines années ?

**Thomas Bernardi :** La convergence des réseaux. On ajoute de plus en plus d'appareils connectés dans nos foyers — la domotique, les assistants vocaux, les appareils médicaux connectés pour les personnes âgées, bientôt des appareils AR/VR. Chacun de ces appareils est une surface d'attaque potentielle, et leur sécurité est rarement la priorité des fabricants.
L’autre évolution préoccupante : l’attaque par déni de service ciblée sur les particuliers. Des appareils compromis dans votre réseau IoT peuvent être recrutés dans des botnets DDoS. Vous ne vous en aperceviez peut-être jamais — la connexion est juste un peu plus lente.

La protection en 2026 reste la même qu’en 2020 sur les fondamentaux : isolation réseau, mots de passe forts, mises à jour régulières. Ce qui change, c’est l’urgence d’appliquer ces principes à un nombre d’appareils beaucoup plus large qu’avant. Pour comprendre comment la fibre optique qui arrive dans votre logement s’inscrit dans cette infrastructure à sécuriser — NRO, ONT, box FAI — notre interview d’ingénieur réseau FTTH décrit l’architecture de bout en bout.

Notre guide sur la sécurité réseau détaille les outils de monitoring réseau domestique pour identifier les appareils suspects et auditer votre trafic. Pour aller plus loin sur la question du VPN, notre comparatif VPN gratuit vs payant aborde les cas d’usage justifiés — et ceux où un VPN ne vous apportera rien.

Pour les utilisateurs qui souhaitent aller plus loin dans la configuration de leur réseau domestique, le site JT Informatique propose des tutoriels détaillés sur la configuration des routeurs et la segmentation réseau — des ressources pratiques pour ceux qui veulent mettre en œuvre concrètement les recommandations de Thomas Bernardi. Pour approfondir la sécurité réseau en entreprise, Ultrasyd Informatique Pornic propose également des ressources pratiques sur le dépannage et la sécurisation des infrastructures réseau professionnelles et domestiques.

Cybersécurité WiFi domestique : interview d'un expert en 2026

La menace réelle : ce que les FAI ne vous diront pas

WPA3, IoT, firmwares : les trois angles morts de votre sécurité WiFi

Interface admin, DNS et VPN : les outils de la sécurité active

Questions rapides : les idées reçues sur la sécurité WiFi

Ce que vous devriez faire ce soir

Questions fréquentes