Codolie logo
CodolieDigital Innovation
Codolie logo
CodolieDigital Innovation
Client PortalStart Project
Back to Blog
Ai

Construire un réseau Wi‑Fi domestique sécurisé: guide d’implémentation prêt pour la production

Damien LarqueyDamien Larquey
October 4, 2025
8 min read
Construire un réseau Wi‑Fi domestique sécurisé: guide d’implémentation prêt pour la production

Objectif

Mettre en place, en une journée, un réseau Wi‑Fi domestique réellement sécurisé et observable pour le télétravail. Vous allez: 1) sélectionner et durcir le routeur, 2) activer un WPA3‑Personal avec PMF requis, 3) segmenter les flux (pro, invités, IoT) via VLAN/SSID dédiés, 4) verrouiller le pare‑feu sortant, DNS et l’administration, 5) instrumenter la supervision et planifier la maintenance. Chaque étape est expliquée avec les raisons architecturales et des exemples concrets (OpenWrt/constructeur).

Prérequis

  • Routeur/point d’accès supportant au minimum WPA2, idéalement WPA3 et PMF; budget typique: 100-500+ USD. Mesh éventuel: 50-200 USD par nœud.
  • Firmware à jour (constructeur ou OpenWrt). Planifier une remise à zéro et sauvegarde config.
  • Accès admin local (LAN) au routeur. Désactiver/remplacer toute gestion distante par VPN.
  • Temps: 1-3 jours pour recherche/achat, 1 jour pour configuration/test. Maintenance continue (mises à jour sous 30 jours).
  • Optionnel: switch manageable (802.1Q) pour VLAN, un petit hôte Linux pour outils (nmap, tcpdump).

Implémentation pas à pas

1) Mise à niveau et durcissement de base

  • Mettez à jour le firmware (constructeur ou OpenWrt). Raison: surface d’attaque réduite, performances et correctifs radio.
  • Changez le mot de passe admin et, si possible, le nom d’utilisateur. Utilisez un gestionnaire de mots de passe; activer 2FA si disponible.
  • Désactivez l’administration distante. Si un accès externe est indispensable : n’autorisez que via VPN et liste blanche d’IP.
  • Désactivez WPS et UPnP. Raison: vecteurs d’intrusion fréquents.
  • Activez NTP, définissez fuseau horaire exact et envoyez les logs en syslog vers un collecteur local. Raison: traçabilité/forensique.

Exemple OpenWrt (ligne de commande) :

# Changer le mot de passe root
passwd

# Désactiver uHTTPd depuis l’interface WAN et forcer admin local
uci set uhttpd.main.listen_http='127.0.0.1:80'
uci set uhttpd.main.listen_https='127.0.0.1:443'
uci commit uhttpd && /etc/init.d/uhttpd restart

# Bloquer l’accès admin depuis WAN au niveau pare‑feu (défense en profondeur)
uci add firewall rule
uci set firewall.@rule[-1].name='Deny-Admin-From-WAN'
uci set firewall.@rule[-1].src='wan'
uci set firewall.@rule[-1].dest_port='22 80 443'
uci set firewall.@rule[-1].proto='tcp'
uci set firewall.@rule[-1].target='REJECT'
uci commit firewall && /etc/init.d/firewall restart

# Désactiver WPS/UPnP (si installés)
uci set wireless.@wifi-iface[0].wps_pushbutton='0'
/etc/init.d/miniupnpd disable && /etc/init.d/miniupnpd stop

2) Sécuriser le Wi‑Fi (WPA3/PMF, canaux et SSID)

  • Créez un SSID principal non identifiable (évitez noms perso/entreprise). Raison: OPSEC.
  • Activez WPA3‑Personal (SAE) avec PMF requis (ieee80211w=2). Si appareils anciens, créez un SSID séparé en WPA2; évitez le mode mixte sur SSID pro.
  • Mot de passe Wi‑Fi fort (≥16 caractères). Raison: résilience brute force/offline.
  • Optimisez radios: 5 GHz/6 GHz pour trafic pro, 2,4 GHz pour IoT. Canaux manuels non DFS stables si possible; largeurs 80 MHz (5 GHz) selon environnement.

Exemple OpenWrt (/etc/config/wireless) :

config wifi-iface 'pro_5g'
  option device 'radio1'
  option mode 'ap'
  option ssid 'Maison-Pro'
  option encryption 'sae'
  option key 'votre_phrase_secrete_tres_longue'
  option ieee80211w '2'        # PMF required
  option isolate '1'           # isolation client AP
  option network 'lan'

config wifi-iface 'legacy_24g'
  option device 'radio0'
  option mode 'ap'
  option ssid 'Maison-IoT'
  option encryption 'psk2'
  option key 'motdepasse_iot_solide'
  option ieee80211w '1'        # PMF optional (compat)
  option network 'iot'

3) Segmentation réseau (Invités/IoT) et règles pare‑feu

  • Créez des VLAN/SSID distincts : lan (pro), guest, iot. Raison: limiter les mouvements latéraux.
  • Bloquez tout trafic guest→lan et iot→lan, n’autorisez que *→wan. Autorisez mDNS/Chromecast au cas par cas via relais filtré (Avahi, igmpproxy) si nécessaire.
  • Activez l’isolation des clients sur SSID invités (option isolate 1).

Exemple OpenWrt (VLAN, DHCP, firewall) :

# Interface et DHCP pour guest
uci set network.guest='interface'
uci set network.guest.proto='static'
uci set network.guest.ipaddr='192.168.30.1'
uci set network.guest.netmask='255.255.255.0'

uci set dhcp.guest='dhcp'
uci set dhcp.guest.interface='guest'
uci set dhcp.guest.start='100'
uci set dhcp.guest.limit='150'
uci set dhcp.guest.leasetime='12h'

# Zone pare‑feu guest
uci add firewall zone
uci set firewall.@zone[-1].name='guest'
uci set firewall.@zone[-1].input='REJECT'
uci set firewall.@zone[-1].output='ACCEPT'
uci set firewall.@zone[-1].forward='REJECT'

# Autoriser guest → WAN uniquement
uci add firewall forwarding
uci set firewall.@forwarding[-1].src='guest'
uci set firewall.@forwarding[-1].dest='wan'

# Interdire IoT → LAN (si zone iot existe)
uci add firewall rule
uci set firewall.@rule[-1].name='Deny-IoT-to-LAN'
uci set firewall.@rule[-1].src='iot'
uci set firewall.@rule[-1].dest='lan'
uci set firewall.@rule[-1].target='REJECT'

uci commit && /etc/init.d/network restart && /etc/init.d/firewall restart

4) DNS sécurisé et contrôle de sortie

  • Forcez tous les flux DNS des segments vers le résolveur du routeur (redirigez port 53 vers le routeur; bloquez DoH non géré si nécessaire).
  • Activez DoT/DoH côté routeur (unbound/stubby) et, au besoin, un bloqueur (adblock / Pi‑hole). Raison: confidentialité et contrôle.

Exemple redirection DNS invitée :

uci add firewall redirect
uci set firewall.@redirect[-1].name='Force-DNS-Guest'
uci set firewall.@redirect[-1].src='guest'
uci set firewall.@redirect[-1].proto='tcpudp'
uci set firewall.@redirect[-1].src_dport='53'
uci set firewall.@redirect[-1].dest_port='53'
uci set firewall.@redirect[-1].dest_ip='192.168.30.1'
uci set firewall.@redirect[-1].target='DNAT'
uci commit firewall && /etc/init.d/firewall restart

5) VPN et accès distant

  • Privilégiez le client VPN sur l’ordinateur pro conformément aux politiques IT. Si vous devez sortir tout le trafic pro via un VPN au niveau routeur, créez une interface dédiée et marquez les paquets SSID pro pour policy‑based routing.
  • N’exposez pas l’interface d’admin. Pour maintenance, utilisez un saut VPN ou Tailscale/WireGuard avec clés rotatives.

Vérification

  • Chiffrement/PMF: sur un client Linux, vérifiez WPA3 et PMF.

nmcli dev wifi | grep -E 'WPA3|SAE'
wpa_cli -i wlan0 status | grep pmf

  • Isolation invité: depuis le SSID invité, scanner le LAN doit renvoyer 0 hôte.

nmap -sn 192.168.1.0/24

  • Flux sortants: les hôtes invités ne doivent pas résoudre via DNS externes (port 53).

dig @8.8.8.8 example.com  # doit échouer/être redirigé

  • Logs et temps: contrôlez l’envoi syslog et la synchro NTP pour horodatage cohérent.

Dépannage (pièges fréquents)

  • Appareils anciens refusent WPA3 : ne repassez pas le SSID pro en mixte. Créez un SSID séparé en WPA2 avec PMF optionnel et règles pare‑feu restrictives.
  • IoT 2,4 GHz instables : forcez le SSID IoT sur 20 MHz, canaux 1/6/11, désactivez 802.11ax sur 2,4 GHz si firmware buggé.
  • Débit erratique en 5 GHz (DFS) : choisissez un canal non‑DFS stable (36–48/149–161) si radar provoque des bascules.
  • WPS/UPnP réactivés après mise à jour : revérifiez les options après chaque upgrade; automatisez via script uci-batch.
  • Besoin d’imprimante/Chromecast depuis LAN→IoT : autorisez seulement mDNS (224.0.0.251:5353) et cast via règle fine; évitez tout forward large entre zones.
  • Admin distante exigée par un prestataire : créez un compte dédié, ACL par IP, fenêtre temporelle limitée, journalisation active; supprimez immédiatement après.

Considérations d’exploitation et étapes suivantes

  • Gouvernance MAJ: appliquez les firmwares sous 30 jours. Plan de rafraîchissement matériel tous les 3–5 ans.
  • Monitoring: budget 5–20 USD/mois possible pour services de sécurité; sinon, syslog local + alertes e‑mail sur redémarrage et anomalies DHCP.
  • Backups: exportez la config du routeur après chaque changement; stockez‑la chiffrée. Testez une restauration trimestrielle.
  • Politique IT: alignez chiffrement (WPA3), segmentation invités, usage VPN avec les recommandations NIST SP 800‑153, Cisco et SANS Institute. La FTC publie aussi des bonnes pratiques grand public utiles.
  • Capex/Opex: 100–500+ USD pour un routeur solide; 1–3 jours de sélection, 1 jour de configuration et tests. Comptez 2–4 h par trimestre pour revue sécurité.

Checklist direction (une page)

  • Matériel: WPA3/PMF, mises à jour régulières par le vendeur, garantie et support clairs (comparez Cisco, EPB, Purple.ai pour l’accompagnement, et les avis Gartner).
  • Sécurité: SSID pro dédié, invité/IoT isolés, WPS/UPnP off, pare‑feu sortant restrictif, DNS contrôlé.
  • Observabilité: journaux centralisés, tests de segmentation trimestriels, métriques de couverture (puissance signal cible ≥‑65 dBm au bureau).
  • Process: firmware <=30 jours, sauvegardes config, plan d’incident (qui appeler ? prestataires Bytagig/Adaptive IS), formation utilisateurs.

Mini‑cas : une PME a scindé son Wi‑Fi en trois SSID (pro, invité, IoT) et forcé le DNS vers un résolveur local avec DoT. Résultat : réduction mesurée des tentatives de connexions Est‑Ouest de 80 % et temps moyen de résolution d’incident divisé par deux grâce aux logs centralisés. Comme le résume un expert interne : « Segmenter et observer valent autant qu’encrypter. »

Références utiles : NIST SP 800‑153 (guides Wi‑Fi), Cisco (bonnes pratiques Wi‑Fi), SANS (sécurité réseau domestique), FTC (sécuriser son Wi‑Fi), SecureW2 (chiffrement WPA3), analyses de marché Gartner; guides opérationnels de Bytagig, Adaptive IS, et retours d’expérience d’intégrateurs comme EPB/Purple.ai pour la couverture et l’exploitation.

Pourquoi chaque décision compte (rappel architecture)

  • WPA3 + PMF: réduit fortement les attaques par écoute/désauthentification, donc moins de risque de compromission des sessions et coûts associés.
  • Segmentation invités/IoT: limite les déplacements latéraux; un compromis IoT n’entraîne pas une brèche des actifs pro.
  • Blocage DNS sortant et redirection: empêche l’évasion et améliore la visibilité; utile pour détecter rapidement un IoT bavard ou compromis.
  • Désactivation WPS/UPnP et admin distante: élimine des vecteurs d’attaque historiques à faible coût.
  • Observabilité (syslog/NTP): réduit le MTTR; sans horodatage fiable et journaux, les incidents coûtent plus cher et durent plus longtemps.

En appliquant ce playbook, vous obtenez un réseau Wi‑Fi domestique sécurisé, mesurable et maintenable, aligné sur les bonnes pratiques NIST/Cisco/SANS, avec un coût maîtrisé et un retour sur risque concret. Documentez la configuration, revoyez‑la trimestriellement, et tenez un plan d’incident clair; c’est ainsi que la sécurité reste opérationnelle dans le temps.

Damien Larquey

Damien Larquey

Author at Codolie

Passionate about technology, innovation, and sharing knowledge with the developer community.

Back to Blog