Le contenu actuel de cet article traite de la sécurisation Wi-Fi plutôt que de la mise en place d’une veille en cybersécurité comme l’annonce le titre. Une refonte est en cours pour fournir un véritable guide de veille (sources, outils, alertes, agrégation). En attendant, consultez les sections « Sur un angle proche » en bas de page pour des ressources adaptées au sujet.
Pourquoi mettre en place une veille en cybersécurité ?
Sans veille active, vous découvrez les CVE critiques (Log4Shell, Spring4Shell, MOVEit, et d’autres) après qu’elles aient été exploitées sur vos systèmes. Une veille structurée — RSS NIST/MITRE + comptes X de chercheurs + bulletins CERT — vous prévient en moyenne 24 à 72 heures avant l’exploitation massive, ce qui suffit largement pour patcher. C’est la différence entre subir et anticiper.
Sécuriser votre réseau Wi-Fi : guide pratique
Votre réseau Wi-Fi est la porte d’entrée de tous vos appareils connectés. Un Wi-Fi mal sécurisé permet à n’importe qui à portée de intercepter vos données, utiliser votre connexion ou accéder à vos fichiers partagés.
Risques d’un Wi-Fi non sécurisé
- Interception des mots de passe et données bancaires
- Accès à vos fichiers partagés et imprimantes
- Utilisation de votre connexion pour des activités illégales
- Infection de vos appareils via le réseau local
Les protocoles de sécurité Wi-Fi
| Protocole | Sécurité | Recommandation |
|---|---|---|
| WEP | ❌ Cassé en minutes | NE JAMAIS utiliser |
| WPA | ❌ Vulnérable | Éviter |
| WPA2 | ✅ Correct | Minimum acceptable |
| WPA3 | ✅ Excellent | Recommandé si supporté |
10 étapes pour sécuriser votre Wi-Fi
1. Changez les identifiants admin du routeur
L’accès admin par défaut est souvent admin/admin. Changez-le immédiatement.
2. Utilisez WPA2/WPA3 avec AES
Dans les paramètres Wi-Fi du routeur, sélectionnez WPA2-PSK (AES) ou WPA3.
3. Mot de passe Wi-Fi fort
- Minimum 16 caractères
- Mélange lettres, chiffres, symboles
- Pas le nom de votre entreprise ou adresse
- Changez-le au moins tous les 6 mois
4. Créez un réseau invité séparé
Les visiteurs ne doivent PAS accéder à votre réseau principal. Créez un réseau invité avec accès internet uniquement.
5. Mettez à jour le firmware
Les mises à jour corrigent les failles de sécurité du routeur.
6. Désactivez WPS
WPS (Wi-Fi Protected Setup) a une faille connue. Désactivez-le dans les paramètres.
7. Filtrage MAC (limité)
Utile comme couche supplémentaire mais contournable par un attaquant déterminé.
8. Réduisez la portée du signal
Ajustez la puissance du signal pour qu’il ne dépasse pas vos murs si possible.
9. Désactivez l’administration à distance
L’accès admin ne devrait être possible que depuis le réseau local.
10. Surveillez les appareils connectés
Vérifiez régulièrement la liste des appareils dans l’interface de votre routeur.
Wi-Fi d’entreprise : WPA2/WPA3 Enterprise
Pour les entreprises, passez en mode Enterprise avec un serveur RADIUS :
- Chaque employé a ses propres identifiants
- Quand un employé part, désactivez son compte (pas besoin de changer le mot de passe Wi-Fi)
- Logs de connexion individuels
Exercice pratique
Sécurisez votre Wi-Fi en 15 minutes
- Connectez-vous à l’interface admin de votre routeur (192.168.1.1)
- Changez le mot de passe admin
- Vérifiez que le protocole est WPA2-AES ou WPA3
- Changez le mot de passe Wi-Fi (16+ caractères)
- Créez un réseau invité séparé
- Désactivez WPS
- Mettez à jour le firmware
Erreurs fréquentes (veille cybersécurité)
1. S’abonner à 50 sources — lire 0
Cause : on ajoute Krebs, Hacker News, BleepingComputer, The Register, Schneier, Threatpost, plus 30 newsletters. Saturation totale en 2 semaines.
Solution : commencez avec 5 sources maximum : NVD CVE feed, CISA advisories, KrebsOnSecurity, BleepingComputer, et 1 newsletter hebdo (TLDR Sec).
2. Aucun système d’alerte sur ses propres dépendances
Cause : on lit les actualités CVE génériques mais on ne sait pas quelles CVE concernent votre stack (versions exactes WordPress, plugins, librairies npm).
Solution : activez Dependabot sur GitHub, Snyk pour vos dépôts, et Patchstack pour WordPress. Vous recevez des alertes ciblées sur VOS versions.
3. Ignorer Twitter/X de chercheurs sécurité
Cause : on méprise les réseaux sociaux. Or les vulnérabilités graves apparaissent souvent d’abord sur X (par ex. @malwaretech, @GossiTheDog, @TheHackersNews) avant d’être consolidées en CVE.
Solution : liste X privée « CyberWatch » avec 20-30 comptes triés. Consultation 10 minutes par jour. Ou agrégation via Feedly qui supporte les flux X depuis 2024.
4. Pas de répétition régulière
Cause : on lit la veille pendant 2 semaines, puis on abandonne. Sans cadence fixe, l’effort se dilue.
Solution : bloquez 30 minutes chaque lundi matin dans votre calendrier (« Veille sécurité hebdo »). Récap dans un Notion/Obsidian. C’est un rituel, pas une consultation à la demande.
5. Pas de partage avec l’équipe
Cause : vous lisez seul, vous patchez seul. Vos collègues continuent à utiliser des versions obsolètes parce qu’ils ne savent pas.
Solution : canal Slack/Teams « #sec-watch » avec un post hebdomadaire. Format synthétique : 3 CVE prioritaires + 2 actualités + 1 leçon. 5 minutes à rédiger, gain massif pour l’équipe.
Pour creuser ce sujet (vraies ressources de veille)
- Créer une politique de sécurité informatique — la veille fait partie de la PSI.
- Protéger votre entreprise contre les ransomwares — la veille permet de patcher avant l’exploitation.
- Sécuriser votre site WordPress contre les hackers — Patchstack pour la veille WP.
- Sources prioritaires : NVD (NIST), CISA KEV, MITRE ATT&CK.
- Newsletters gratuites : TLDR Sec (hebdo), This Week In 4n6 (forensique), Unsupervised Learning.
- Outils d’agrégation : Feedly, Inoreader, Dependabot.
Besoin d’un VPS ou d’un hébergement fiable ?
Hostinger propose des plans abordables — adaptés aux tutoriels de ce blog et utilisés par notre rédaction. Le lien est un lien de partenariat : si vous achetez via lui, le blog reçoit une petite commission sans surcoût pour vous.
Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.
Etape 1 : Cartographier votre reseau avant tout durcissement
Avant de modifier le moindre parametre, vous devez savoir ce qui est connecte. A Dakar, Abidjan ou Cotonou, un routeur fourni par l’operateur (Orange, Sonatel, MTN Cote d’Ivoire, Moov Africa) heberge souvent une famille entiere plus des appareils invites, des cameras IP et des smartphones de visiteurs. La premiere etape consiste a tout inventorier. Connectez-vous a l’interface d’administration via http://192.168.1.1 ou http://192.168.0.1 selon le modele.
# Depuis un terminal Linux ou WSL2, scanner le sous-reseau local
nmap -sn 192.168.1.0/24Sortie attendue : une liste d’hotes actifs avec adresses MAC. Notez chaque ligne dans un tableau (nom, MAC, usage). Tout appareil non identifie est suspect : changez immediatement le mot de passe Wi-Fi a la fin de l’audit.
Etape 2 : Mettre a jour le firmware du routeur
Un firmware obsolete contient des vulnerabilites publiques (CVE) exploitables a distance. En 2026, plusieurs CVE critiques touchent encore les routeurs TP-Link Archer, D-Link DIR et Huawei B315 distribues par les operateurs ouest-africains. Connectez-vous a l’interface admin, rubrique Systeme ou Maintenance, et cherchez Mise a jour du firmware. Telechargez la derniere version sur le site officiel du constructeur (jamais sur un mirror).
# Verifier la version actuelle via SSH si disponible
ssh admin@192.168.1.1
cat /proc/versionApres mise a jour, le routeur redemarre. Verifiez que la version affichee correspond bien a celle telechargee. Un echec silencieux est frequent : recommencez si l’ancienne version reste affichee.
Etape 3 : Changer le SSID et masquer le nom du reseau
Le SSID par defaut (Orange-1234, Canalbox-ABCD) revele le modele de routeur et donc les exploits potentiels. Choisissez un nom neutre, sans reference a votre nom, votre entreprise ou votre adresse. Dans l’interface admin, rubrique Wireless ou Wi-Fi, modifiez le champ SSID. Decochez aussi Diffuser le SSID si l’option existe : votre reseau ne sera plus visible dans la liste publique.
Resultat attendu : apres redemarrage, le reseau disparait de la liste Wi-Fi des smartphones. Pour vous reconnecter, ajoutez manuellement le reseau (Autre reseau, saisir nom et mot de passe).
Etape 4 : Activer WPA3 ou a defaut WPA2-AES uniquement
WPA2-TKIP et WEP sont casses depuis longtemps. En 2026, la norme est WPA3-Personal, supportee par tous les smartphones recents et les routeurs depuis 2019. Si votre routeur ne propose que WPA2, choisissez WPA2-PSK (AES) sans option mixte TKIP. Dans l’interface admin, rubrique Securite sans-fil, selectionnez le chiffrement.
# Verifier le mode actif depuis Linux
iwlist wlan0 scan | grep -i -E "essid|encryption|wpa"Si la sortie indique WPA1 ou TKIP, votre reseau est vulnerable a des attaques de dictionnaire offline. WPA3 ajoute la protection SAE qui resiste meme avec un mot de passe court.
Etape 5 : Definir un mot de passe fort et unique
Un mot de passe Wi-Fi doit avoir au moins 16 caracteres, melanger majuscules, minuscules, chiffres et symboles. Bannissez les noms de famille, dates de naissance, numeros de telephone. Utilisez un gestionnaire (Bitwarden, 1Password, KeePassXC) pour le generer et le stocker. Cout : Bitwarden gratuit, 1Password environ 2 300 FCFA par mois (3,5 EUR).
Exemple de phrase de passe robuste : trois mots aleatoires plus chiffres et symbole, type Mangue7#Baobab!Teranga. Plus facile a retenir qu’une chaine aleatoire mais aussi solide statistiquement.
Etape 6 : Creer un reseau invite isole
Vos visiteurs n’ont aucune raison d’acceder a votre imprimante, votre NAS ou vos cameras. La plupart des routeurs modernes proposent un reseau Invite isole du LAN principal. Activez-le dans la rubrique Wireless, sous-rubrique Guest Network. Donnez-lui un SSID distinct et un mot de passe partage, mais cochez Isolate from local network.
Resultat : un visiteur connecte au reseau invite peut naviguer sur Internet mais ne voit pas vos appareils. Pour les boutiques et bureaux, c’est obligatoire pour proteger les donnees clients.
Etape 7 : Desactiver WPS et UPnP
WPS (Wi-Fi Protected Setup) et UPnP (Universal Plug and Play) sont les deux fonctions les plus exploitees pour compromettre un routeur domestique. WPS permet de connecter un appareil avec un PIN a 8 chiffres, devine en quelques heures. UPnP laisse n’importe quelle application interne ouvrir des ports vers Internet. Desactivez les deux dans l’interface admin (rubrique Wireless pour WPS, rubrique Avance ou NAT pour UPnP).
# Tester si UPnP est encore actif depuis Linux
upnpc -lSi la commande retourne IGD detected, UPnP est actif. Apres desactivation, la commande doit echouer avec No IGD UPnP Device found.
Etape 8 : Filtrer les adresses MAC pour les appareils fixes
Le filtrage MAC n’est pas une defense ultime (une MAC se falsifie) mais ajoute une couche pour les objets connectes qui ne bougent jamais : imprimante, TV, console, camera. Listez les MAC dans la rubrique Filtrage MAC du routeur, puis activez le mode Whitelist : seules les adresses listees pourront se connecter.
Pour les smartphones et laptops mobiles, gardez le reseau ouvert (le filtrage devient ingerable). Reservez le filtrage au reseau IoT separe si votre routeur le permet.
Etape 9 : Activer le journal et surveiller les connexions
La plupart des routeurs gardent un journal des connexions et tentatives d’authentification. Activez la fonction Logs ou System Log dans l’interface admin. Configurez l’envoi vers un serveur syslog si vous gerez plusieurs sites (cabinet, agence, plusieurs boutiques a Dakar et Thies).
# Recevoir les logs du routeur sur un serveur Linux local
sudo apt install rsyslog
sudo systemctl enable --now rsyslog
sudo tail -f /var/log/syslog | grep -i wifiVous verrez chaque association et deconnexion. Une rafale de tentatives echouees signale une attaque par dictionnaire en cours.
Etape 10 : Planifier une revue trimestrielle
La securite n’est pas un etat mais un processus. Tous les trois mois, repassez les neuf etapes precedentes : nouveau firmware, nouveaux appareils a inventorier, mots de passe a faire tourner si un visiteur a connu l’ancien. Inscrivez la date dans votre calendrier (Google Calendar, Proton Calendar) avec rappel automatique.
Dans la continuité, lisez notre guide sur la securite des paiements en ligne et notre tutoriel Headscale pour equipes distribuees.
Bonus : separer le reseau IoT (objets connectes)
Les ampoules connectees, prises Wi-Fi, cameras IP bon marche vendues sur Jumia ou les marches de Sandaga sont rarement mises a jour par leurs fabricants. Une seule prise compromise sert de point de pivot vers votre laptop pro. Si votre routeur supporte plusieurs SSID (TP-Link Deco, ASUS AiMesh, Huawei AX3), creez un troisieme reseau dedie aux objets connectes, isole du LAN principal et du reseau invite.
# Verifier la segmentation depuis un appareil IoT
ping 192.168.1.10 # IP de votre laptop sur le LAN principal
# Resultat attendu : Destination Host UnreachableSi le ping passe, la segmentation n’est pas active. Repassez dans la config VLAN du routeur (rubrique Avance, Multi-SSID) et activez l’isolation inter-SSID. Pensez aussi a couper l’acces Internet sortant pour les objets qui n’en ont pas besoin (une ampoule n’a aucune raison de joindre un serveur en Chine).
Bonus : tester votre durcissement avec un audit externe
Une fois les 10 etapes appliquees, validez le resultat avec un outil externe. Depuis votre smartphone connecte au reseau invite ou en 4G, scannez votre IP publique (visible sur https://ifconfig.me) avec Shields Up de GRC ou avec un scan nmap leger depuis un VPS.
# Depuis un VPS Hetzner ou Scaleway, scan rapide de votre IP publique
nmap -Pn -F votre.ip.publiqueResultat attendu : aucun port ouvert (ou seulement ceux que vous avez explicitement publies). Si vous voyez 80, 443, 22, 23, 7547 (TR-069 operateur) ouverts sans raison, repassez l’etape 7 (UPnP) et contactez votre operateur pour desactiver la gestion a distance TR-069 si vous n’en avez pas l’usage.