Playbook : Que faire si votre Wi-Fi est compromis (audit, preuve, remédiation)

Playbook : Que faire si votre Wi-Fi est compromis (audit, preuve, remédiation)

Sommaire

1. Introduction — pourquoi ce tutoriel et à qui il s’adresse

La question « Votre Wi-Fi est-il piraté ? » concerne aussi bien les PME que les équipes informatiques de grandes structures : vol de bande passante, écoute de trafic (Man-in-the-Middle), usurpation de SSID, devices non autorisés sur le réseau, exfiltration de données.

Ce tutoriel opérationnel, rédigé par nos experts RSSI, fournit toutes les étapes nécessaires pour :

  • détecter rapidement une compromission du réseau Wi-Fi ;
  • collecter des preuves exploitables ;
  • remédier de façon immédiate et durable ;
  • automatiser la surveillance.

Toutes les procédures sont “pas à pas” pour l’interface graphique et fournissent des commandes/ scripts défensifs (PowerShell, Bash, Python) à usage légitime sur votre infrastructure. L’objectif : rendre votre réseau résilient et fournir un playbook prêt à l’emploi.

2. Signes révélateurs : comment savoir si votre Wi-Fi est compromis

Avant d’ouvrir des outils, vérifier ces symptômes courants :

  • Apparition d’un SSID clone (même nom que votre réseau, parfois avec suffixe).
  • Devices inconnus dans la liste des appareils connectés du routeur.
  • Débits fortement dégradés sans cause apparente.
  • Redirections de navigation (pages fausses / pop-ups phishing).
  • Logs du routeur montrant des connexions à des heures inhabituelles.
  • Nouveaux comptes administrateur routeur ou services distants activés (UPnP/RDP).
  • Présence d’IP ou de flux sortants vers des destinations suspectes (p.ex. services TOR, adresses IP étrangères non attendues).

Si un ou plusieurs symptômes sont présents, suivre la procédure ci-dessous. Toujours documenter (horodatage, captures d’écran) pour la chaîne de preuve.

3. Préparations et précautions avant toute investigation

  1. Ne pas modifier les preuves initiales : prendre des captures d’écran et sauvegarder logs avant toute suppression.
  2. Isoler si attaque active : couper le Wi-Fi invité, désactiver Wi-Fi sur postes critiques, demander aux utilisateurs de déconnecter.
  3. Compte d’investigation : utiliser un poste dédié, isolé du réseau d’entreprise (VM verrouillée ou laptop hors ligne).
  4. Accès admin : disposer des identifiants d’administration du routeur/AP, du contrôleur Wi-Fi (Cloud/Controller) et du serveur DHCP.
  5. Outils : navigateur à jour, PowerShell/CMD pour Windows, terminal Bash pour Linux/macOS, Wireshark (analyse passive), logs export tools.
  6. Autorisation : s’assurer d’avoir mandat interne (DSI/RSSI) — conserver preuve de l’autorisation.

4. Vérifications rapides (5–15 minutes) — procédures étape par étape

Ces contrôles déterminent si une action immédiate est nécessaire.

4.1 Vérifier la liste des appareils connectés via l’interface du routeur / AP (pas à pas)

Procédure générale (exemple interface web classique) :

  1. Ouvrez un navigateur d’administration (Chrome/Edge).
  2. Tapez l’IP du routeur (exemples : http://192.168.1.1 ou http://192.168.0.1) et appuyez sur Entrée.
  3. Authentifiez-vous avec les identifiants admin (login + mot de passe).
  4. Naviguez vers : Status / Connected Devices / DHCP clients (varie selon le modèle).
  5. Parcourez la liste : notez MAC address, IP, Device name, Last seen.
  6. Exportez la liste si l’interface propose Export CSVC:\Investigations\router_clients.csv.

Interprétation : repérez devices inconnus, doublons d’adresse MAC ou MAC non attribués à votre parc.

4.2 Vérifier les logs de sécurité (pas à pas)

  1. Dans l’interface routeur → menu Logs / System Log / Security.
  2. Cherchez événements : Unauthorized, WPS, New admin user, Port forwarding added, Firmware changed.
  3. Capture d’écran (Windows : Windows + Shift + S, macOS : Cmd + Shift + 4) et sauvegarder le fichier log : cliquez Save ou Download.

4.3 Vérifier les connexions sur un poste Windows (pas à pas)

  1. Ouvrez Invite de commandes (Démarrer → tapez cmd → clic droit → Exécuter en tant qu’administrateur).
  2. Exécutez :
netstat -ano | findstr ESTABLISHED

Note : repérer connexions établies vers IP externes inconnues.

  1. Liste ARP :
arp -a

Comparez les MAC/IP listés avec votre inventaire.

4.4 Scan local simple défensif (commande)

Windows PowerShell (pas à pas) : ouvrir PowerShell en admin → exécuter :

1..254 | ForEach-Object { Test-Connection -ComputerName ("192.168.1." + $_) -Count 1 -Quiet } 
# ou pour liste avec noms
1..254 | ForEach-Object { $ip="192.168.1.$_"; if (Test-Connection $ip -Count 1 -Quiet) { $hostname = ([System.Net.Dns]::GetHostEntry($ip).HostName) ; "$ip - $hostname" } }

Ce sweep ping est défensif : il détecte appareils répondant sur le réseau local. Noter tout nouvel hôte.

5. Audit approfondi (30–120 minutes) — collecte de preuves et analyses défensives

Si les vérifications rapides suggèrent une compromission, lancer un audit approfondi.

5.1 Capturer l’état du routeur (pas à pas)

  1. Dans l’interface admin → Maintenance / BackupSave Configuration → téléchargez le fichier de configuration (router_config_YYYYMMDD.cfg) → stockez dans \\forensics\wi-fi\router_config_YYYYMMDD.cfg.
  2. Exporter logs (System/Firewall/DHCP/IDS) → router_logs_YYYYMMDD.log.

Important : Conserver les fichiers sur un stockage chiffré et calculer SHA256 :

  • Windows PowerShell :
Get-FileHash -Path "C:\Forensics\router_config_YYYYMMDD.cfg" -Algorithm SHA256

5.2 Analyse passive du trafic — Wireshark (pas à pas)

Objectif : repérer ARP spoofing, DNS hijacking, man-in-the-middle indications sans injecter de trafic.

Préparation : utiliser un poste d’analyse connecté en Ethernet sur le commutateur mirror/SPAN ou sur un port de capture configuré sur AP/Controller.

Installation : télécharger Wireshark — https://www.wireshark.org/

Pas à pas (Windows) :

  1. Installez WinPcap/Npcap si demandé.
  2. Ouvrez Wireshark → sélectionnez l’interface (ex : Ethernet) → cliquez Start.
  3. Filtre de capture pour anomalies : tapez dans la barre de filtre (après capture) :
    • arp — pour arp spoofing suspects
    • dns && (dns.qry.name contains "suspiciousdomain")
  4. Pour analyser redirections HTTP→HTTPS non valides : filtre http.request puis observez les en-têtes Host et Location.
  5. Enregistrer capture : File → Save AsC:\Forensics\wireshark_capture_YYYYMMDD.pcapng.
  6. Calculez SHA256 du pcap et documentez.

Nota bene : ne pas capturer trafic chiffré pour tenter déchiffrement — uniquement log/metadata (IP, DNS, headers).

5.3 Relever les configurations Wi-Fi (SSID, chiffrement, WPS) — vérifications GUI et CLI

Via interface admin (Pas à pas) :

  1. Menu Wireless / SSID → lister tous les SSID broadcastés.
  2. Vérifier sécurité : WPA3 > WPA2-AES. Si SSID en WEP ou WPA-TKIPpriorité critique pour migration.
  3. Vérifier si WPS est activé → s’il est activé, désactiver (WPS est une grosse faiblesse).

Via CLI d’AP/Controller (exemple UniFi controller) : connexion SSH au contrôleur (si connu) et exécution de commandes de listing — opération à effectuer par l’administrateur réseau.

5.4 Détection d’un AP rogue (outil passif)

Principe défensif : rechercher points d’accès qui usurpent votre SSID avec un BSSID différent.

Méthode GUI (Windows) :

  1. Ouvrez Invite de commandes → tapez :
netsh wlan show networks mode=bssid
  1. Parcourez la sortie : pour chaque SSID, notez les BSSID (MAC). Si plusieurs BSSID apparaissent mais l’un n’appartient pas à votre matériel connu → suspect.

Documenter la liste et prendre photo / capture écran.

6. Remédiation immédiate et durables (étape par étape)

Les actions ci-dessous permettent d’endiguer l’incident et d’empêcher récidive.

6.1 Actions immédiates (pas à pas, <30 min)

  1. Isoler le réseau invité :
    • Routeur GUI → Wireless → Guest NetworkDisable.
  2. Changer le mot de passe Wi-Fi (WPA2/WPA3) :
    • Routeur GUI → Wireless → SSID SettingsWPA2/WPA3 Personal → saisir nouveau mot de passe fort → Apply/Save.
    • Communiquer le nouveau mot de passe via canal sécurisé (gestionnaire mots de passe partagé, pas email non chiffré).
  3. Désactiver WPS : Routeur GUI → Advanced Wireless SettingsWi-Fi Protected Setup (WPS)DisableSave.
  4. Révoquer les sessions suspectes : si le routeur propose Disconnect pour un client, utiliser cette option sur les clients listés comme inconnus.

Important : changer le mot de passe Wi-Fi force la reconnexion de tous les clients ; préparer communication et support.

6.2 Durables (1–48h)

  1. Mettre à jour le firmware :
    • Routeur GUI → Administration / Firmware UpdateCheck → si mise à jour disponible → Download / Install → attendre redémarrage.
    • Si firmware non signé ou inconnu → consulter le fournisseur.
  2. Désactiver administration en WAN : GUI → Administration → Remote ManagementDisable.
  3. Activer WPA3 si possible : GUI → Wireless → Security Mode → sélectionner WPA3-Personal (ou WPA2-AES si clients anciens).
  4. Activer isolation client sur SSID invité → empêche lateral movement entre clients.
  5. Restreindre DHCP scope et activer lease times courts pour faciliter suppression de clients malveillants.
  6. Segmenter : déplacer IoT sur VLAN séparé avec règles de firewall strictes (ex : IoT VLAN a seulement accès à Internet, pas au LAN).

6.3 Rotations & revocations (sécurité post-incident)

  • Changer les mots de passe des comptes admin du routeur (pas à pas : Administration → Change Password).
  • Révoquer certificats si controller utilise certs.
  • Changer clefs API pour services cloud liés au Wi-Fi.

7. Surveillance continue et durcissement (scripts et intégration SIEM)

7.1 Script PowerShell : export périodique des clients DHCP/ARP (défensif)

Fichier : Export-LocalNetworkDevices.ps1

# Export-LocalNetworkDevices.ps1
$timestamp = Get-Date -Format "yyyyMMdd_HHmmss"
$out = "C:\Monitoring\network_devices_$timestamp.csv"
# ARP table
$arp = arp -a | Out-String
# convert ARP to structured output (simple parse)
$entries = arp -a | ForEach-Object {
    if ($_ -match "(\d+\.\d+\.\d+\.\d+)\s+([-\w]+)\s+([0-9a-f:-]+)") {
        [PSCustomObject]@{ IP=$matches[1]; Interface=$matches[2]; MAC=$matches[3] }
    }
}
$entries | Export-Csv -Path $out -NoTypeInformation -Encoding UTF8
Write-Host "Exported ARP entries to $out"

Déploiement : planifier via Task Scheduler pour exécution horaire ; pousser CSV vers SIEM ingestion folder (\\siem\inbox\).

7.2 Intégration SIEM / Alerting

  • Ingest router logs, DHCP leases and Wireshark metadata into SIEM (Splunk/Elastic/Microsoft Sentinel).
  • Règles exemples : alerter si unknown MAC connects to production VLAN OR if more than X unique MACs join within Y minutes.

7.3 Bonnes pratiques de durcissement (résumé)

  • Utiliser WPA3-Personal / Enterprise (802.1X + RADIUS) pour accès corporate.
  • Mettre en place NAC (Network Access Control) — Cisco ISE / Aruba ClearPass.
  • MDM / EMM pour postes mobiles, profils Wi-Fi managés.
  • Rotations périodiques des clés de réseau invité et audit trimestriel.

8. Étude de cas opérationnelle (diagnostic → remédiation)

Contexte : PME avec AP cloud-managed, plaintes d’utilisateurs pour redirections surf, ralentissements.

Étapes menées :

  1. Vérifications rapides : routeur admin → liste devices → détection de 3 MAC inconnues. Capture d’écran et export CSV.
  2. Logs routeur → IP source montrant connexions sortantes vers un service de redirection payant. Export logs.
  3. Capture réseau passive via port mirror → Wireshark : détection DNS hijacking (réponse DNS pointant vers IP malicieuse). Sauvegarde pcap.
  4. Actions immédiates : désactivation SSID invité, changement de passphrase WPA2, désactivation WPS, block des IPs malveillantes via firewall.
  5. Durables : mise à jour firmware, passage à WPA2-AES, activation du DNS over HTTPS pour les clients, segmentation IoT.
  6. Résultat : trafic rétabli, plus aucune redirection et aucun device inconnu présent après 24h. Rapport d’incident produit, hash des artefacts sauvegardés et recommandations implémentées (MFA, NAC).

9. Checklist imprimable pour DSI / RSSI (à copier-coller)

  • Documenter la découverte (captures + export logs)
  • Exporter la liste des devices connectés (CSV)
  • Capturer config routeur (backup config + SHA256)
  • Capturer pcap Wireshark si suspect (sur port mirror)
  • Isoler SSID invité / changer passphrase Wi-Fi
  • Désactiver WPS, administration WAN, UPnP si non requis
  • Mettre à jour firmware et changer mots de passe admin routeur
  • Mettre en place segmentation VLAN + NAC pour production vs IoT/guest
  • Intégrer logs dans SIEM et définir règles d’alerte
  • Plan de récupération et rotation des credentials

10. Limites, aspects juridiques et quand faire appel à un IR

  • Limites techniques : détection passive peut manquer AP rogue qui reproduit exactement vos BSSIDs via MAC spoofing ; il faut alors un audit physique.
  • Aspects juridiques : toute contre-attaque active (disconnect clients forcés via deauth, attaque sur AP) est illégale dans la plupart des juridictions — s’en abstenir.
  • Quand appeler une équipe IR : exfiltration confirmée, données sensibles publiées, compromission d’un serveur interne via Wi-Fi, présence d’APT. Les équipes IR qualifiées effectueront imagerie, analyse forensic mémoire et prise de mesures judiciaires.

Conclusion

Les réseaux Wi-Fi sont des surfaces d’attaque fortement exposées si les bonnes pratiques ne sont pas appliquées. Pour réduire le risque : détecter, collecter les preuves, remédier et surveiller de façon continue. La combinaison d’actions immédiates (changement de passphrase, désactivation WPS, blocage des appareils inconnus) et de mesures durables (WPA3/802.1X, NAC, segmentation) est la stratégie la plus efficace.

Pour une protection globale et un diagnostic professionnel du réseau Wi-Fi, nous proposons :

  • un audit Wi-Fi de 60 minutes avec rapport détaillé ;
  • un déploiement POC de NAC et segmentation VLAN ;
  • une intervention IR sur site en cas de compromission avérée.
Contactez nos experts

Liens externes recommandés

(Vérifier toujours l’URL officielle du fabricant pour les guides de configuration du matériel.)

Lectures recommandées

Sommaire

Index