Routeur WiFi : 8 réglages de sécurité en 10 minutes

Martin, 52 ans, mécanicien à Charlesbourg, m’appelle un mardi matin. Son Internet rame. Netflix freeze. Son gars de 14 ans lui dit « Papa, y’a peut-être quelqu’un qui vole ton WiFi ». Martin rit. Deux jours plus tard, je me connecte sur son routeur Vidéotron Helix : 34 appareils connectés. Martin, sa blonde et ses deux flos, ça fait 4 personnes. Les cellulaires, la télé, la Xbox, le thermostat Ecobee, le frigo LG, la caméra de garage — on arrive péniblement à 14 appareils légitimes.

Il y avait 20 appareils inconnus sur son WiFi. Vingt.

Son mot de passe WiFi, c’était le numéro de téléphone de la maison. Tout le monde au coin de rue le connaissait, c’était écrit sur son camion. Un gars en Honda Civic stationné trois jours de suite en face du bungalow avait dû juste taper (418) 555-xxxx et appuyer sur Entrée.

Le pire, c’est pas que des gens volaient son Internet. Le pire, c’est que 20 appareils inconnus pouvaient voir son NAS Synology, son imprimante partagée, son ordi de comptabilité — Martin a une petite business de mécanique à côté. Son ordi avait les données de 300 clients.

On a sécurisé son routeur en 11 minutes. Je te montre comment faire la même chose chez toi, même si t’as jamais touché à la configuration d’un routeur de ta vie.

Pourquoi ton routeur, c’est la porte d’entrée principale

Selon le Centre canadien pour la cybersécurité, plus de 70 % des attaques sur les particuliers passent par un appareil mal configuré à la maison. Le routeur, c’est la porte avant. Si elle est barrée, la plupart des attaques s’arrêtent là. Si elle est ouverte, tout le reste n’a plus d’importance.

Ton routeur fait trois jobs critiques :

1. Il distribue ton Internet à tous tes appareils.
2. Il sépare ton réseau local du reste d’Internet (pare-feu intégré).
3. Il chiffre les communications WiFi entre tes appareils et lui.

Si un de ces trois jobs est mal fait, tout ce qui se trouve chez toi — ordi, cellulaire, télé, caméras, thermostat, frigo — devient vulnérable.

La bonne nouvelle : 8 réglages simples couvrent 95 % des risques. Aucun n’est technique. Aucun ne prend plus de 2 minutes.

1. Changer le mot de passe administrateur du routeur (pas le WiFi, le admin)

C’est celui que les gens oublient. Le mot de passe WiFi, on le change souvent. Le mot de passe administrateur du routeur — celui qui te permet d’accéder à l’interface de configuration — reste souvent sur la valeur par défaut imprimée sur l’étiquette collée sur le dessous de la boîte.

Résultat : n’importe qui qui est sur ton réseau (un invité, un voisin qui a deviné ton WiFi, ton ado) peut taper l’adresse du routeur dans son navigateur et changer tout ce qu’il veut. Y compris rediriger tout ton trafic vers un faux DNS qui t’envoie sur des pages de phishing.

Comment faire — Vidéotron Helix

1. Télécharge l’app Helix Fi (iOS ou Android).
2. Ouvre l’app, connecte-toi avec ton compte Vidéotron.
3. Menu > Paramètres > Paramètres WiFi > Mot de passe administrateur.
4. Mets un mot de passe de 16+ caractères aléatoires (utilise un gestionnaire de mots de passe).

Comment faire — Bell Home Hub

1. Tape 192.168.2.1 dans ton navigateur.
2. Par défaut, le mot de passe est imprimé sur une étiquette au dos du modem (champ « Admin Password »).
3. Entre le mot de passe par défaut, puis va dans Paramètres > Utilisateurs et mots de passe > Changer.

Comment faire — Rogers Ignite Gateway

1. App Rogers Ignite WiFi.
2. Mon WiFi > Paramètres avancés > Mot de passe de l’interface.

Si t’as un routeur Asus, TP-Link, Netflix, Eero, Google Nest WiFi — même principe : cherche « mot de passe administrateur » ou « admin password » dans les paramètres de l’app ou de l’interface web.

Pro tip : note le nouveau mot de passe dans ton gestionnaire (Bitwarden, 1Password, Proton Pass). Tu vas le revoir aux 2-3 ans max, donc oublie l’idée de le mémoriser.

2. WPA3 si possible, WPA2-AES sinon — jamais WEP ou WPA original

Le chiffrement WiFi, c’est la couche qui empêche quelqu’un dans le stationnement de la rue de capter tes données en direct. En 2026, la seule hiérarchie qui compte :

• WPA3 : meilleur. Protège même si ton mot de passe est faible.
• WPA2-AES (aussi appelé WPA2-Personal AES) : très bon. Standard depuis 2006.
• WPA2/WPA3 Transition : si t’as des vieux appareils, OK.
• WPA2-TKIP : vieux, à éviter.
• WPA (original) : cassé. À fuir.
• WEP : complètement cassé. Si ton routeur l’utilise encore, change de routeur. Sérieusement.

Dans l’interface de ton routeur, cherche « Sécurité WiFi » ou « Mode de sécurité ». Si tu vois WPA3 ou WPA2/WPA3, choisis ça. Si t’as juste WPA2, choisis WPA2-AES ou WPA2-Personal (pas TKIP).

Limitation connue : certains vieux thermostats Nest (pré-2019), imprimantes Epson d’avant 2018, et tablettes Android sous version 9 ne supportent pas WPA3. Solution : mode Transition, ou mets ces appareils sur le réseau invité en WPA2 (voir plus loin).

3. Mot de passe WiFi de 16+ caractères aléatoires

La règle est simple : plus long, plus mieux. Un mot de passe de 8 caractères se casse en quelques heures avec une carte graphique à 500 $. Un mot de passe de 16 caractères aléatoires, c’est des milliards d’années.

Évite :

• Ton numéro de téléphone
• Ton adresse
• Ta date de naissance
• Les noms de tes enfants ou animaux
• Les mots du dictionnaire (même avec des chiffres à la fin)

Utilise :

• Un générateur dans ton gestionnaire de mots de passe (Bitwarden, 1Password génèrent ça en un clic)
• Une phrase de 4-5 mots sans lien entre eux : « cerise-marathon-porto-télescope-gélatine »

Note le mot de passe dans ton gestionnaire. Imprime-le sur un papier collé dans un tiroir pour les invités qui veulent le WiFi (ou crée un QR code gratuit sur qrserver.com qui contient le mot de passe — les invités scannent, zéro taper).

4. Créer un réseau WiFi invité séparé pour les IoT

C’est probablement le réglage qui apporte le plus de sécurité pour le moins d’effort. Un réseau WiFi invité est un deuxième WiFi, avec un nom et un mot de passe différents, totalement isolé du réseau principal.

Les appareils connectés au réseau invité ne peuvent pas voir :

• Ton ordi
• Ton NAS / disque réseau
• Ton imprimante partagée
• Tes caméras de surveillance
• Tes autres appareils du réseau principal

Pourquoi c’est critique : les appareils IoT (Internet of Things) sont les pires en sécurité. Un thermostat intelligent, une ampoule connectée, une enceinte Echo, une télé Samsung — ces appareils reçoivent rarement des mises à jour de sécurité. Certains en reçoivent zéro. Si un pirate exploite une faille dans ton thermostat, il peut se déplacer latéralement vers ton ordi — sauf si l’appareil est isolé sur le réseau invité.

Ce qui va sur le réseau invité

• Thermostat (Ecobee, Nest)
• Ampoules Philips Hue, LIFX
• Télés (Samsung, LG, Sony)
• Enceintes Echo, Google Home
• Caméras de surveillance IP
• Aspirateurs robots connectés
• Frigos, lave-vaisselle, lessiveuses intelligentes
• Sonnettes connectées (Ring, Google Nest Doorbell)
• Consoles de jeux (optionnel — plus pratique sur le principal)
• Invités qui viennent souper

Ce qui reste sur le réseau principal

• Ton ordi, ton cell, ta tablette
• L’imprimante que tu utilises depuis ton ordi
• Ton NAS/disque réseau
• Les appareils avec des données sensibles

Comment créer un réseau invité

Helix (Vidéotron) : App > Paramètres WiFi > Réseau invité > Activer. Bell Home Hub : 192.168.2.1 > WiFi > Réseau invité. Rogers Ignite : App Ignite > Mon WiFi > Réseau invité. Asus/TP-Link/Netgear : interface web > Paramètres WiFi > Guest Network.

Donne-lui un nom sobre (pas « WiFi_Public » qui attire les curieux) et un mot de passe solide de 16+ caractères, différent du principal.

5. Désactiver WPS — toujours

WPS (Wi-Fi Protected Setup) est cette fonction qui permet de connecter un appareil au WiFi en appuyant sur un bouton du routeur, ou en entrant un PIN à 8 chiffres.

Le PIN WPS, c’est une catastrophe de sécurité. La structure du PIN fait en sorte qu’un attaquant n’a qu’à deviner 11 000 combinaisons max (au lieu de 100 millions). Avec des outils gratuits, ça prend 2 à 10 heures. Certains routeurs sont vulnérables à un exploit offline qui fait tomber la protection en quelques secondes.

Action : va dans les paramètres WiFi de ton routeur, cherche WPS, désactive-le. Tu connecteras tes appareils avec le mot de passe, comme le reste du monde. C’est 10 secondes de plus par appareil. Une seule fois.

6. Mettre à jour le firmware du routeur

Le firmware, c’est le logiciel qui tourne à l’intérieur du routeur. Il contient régulièrement des failles de sécurité. Les fabricants publient des correctifs — mais sur les routeurs grand public, les mises à jour ne s’installent pas toujours toutes seules.

Activer les mises à jour automatiques

Helix Fi : mises à jour automatiques par défaut. Rien à faire. Bell Home Hub 3000/4000 : mises à jour automatiques par défaut, poussées par Bell. Rogers Ignite Gateway : automatiques. Asus : interface web > Administration > Mise à jour du firmware > activer « Automatic firmware upgrade ». TP-Link : app Tether > Mise à jour auto. Netgear : app Nighthawk > Paramètres > Mise à jour auto.

Si ton routeur a plus de 5-6 ans et que le fabricant n’envoie plus de mises à jour (exemple : vieux Linksys EA6xxx, D-Link DIR-8xx), change de routeur. Sans mises à jour, les failles s’accumulent pour toujours. Un routeur neuf Asus RT-AX58U coûte autour de 200 $ et tient le coup 5-7 ans.

7. DNS sécurisé : Cloudflare 1.1.1.1 ou Quad9 9.9.9.9

Le DNS, c’est l’annuaire qui traduit « desjardins.com » en adresse IP. Par défaut, ton routeur utilise le DNS de ton fournisseur (Vidéotron, Bell, Rogers). Ces DNS sont lents, loggent ton historique de navigation, et ne bloquent pas les sites malveillants.

Changer le DNS pour Cloudflare (1.1.1.1) ou Quad9 (9.9.9.9) fait trois choses :

1. Plus rapide : Cloudflare est souvent 30-50 % plus rapide que les DNS fournisseurs.
2. Privé : Cloudflare ne loggue pas, Quad9 non plus.
3. Sécurisé : Quad9 bloque automatiquement les domaines malveillants connus (phishing, malware, C&C). Gratuit.

Mon choix pour un Québécois moyen : Quad9

Quad9 bloque par défaut les domaines sur la liste noire de Threat Intelligence. Si un courriel de phishing t’envoie sur « desjardins-securite-alert.com », Quad9 refuse de résoudre le nom. Ton navigateur affiche « site introuvable ». Fin de l’attaque.

Comment changer le DNS du routeur

Helix : app > Paramètres avancés > DNS personnalisé > 9.9.9.9 et 149.112.112.112. Bell/Rogers : interface web > WAN / Internet > DNS personnalisé. Asus/TP-Link/Netgear : WAN > DNS primaire 9.9.9.9, secondaire 149.112.112.112.

Tu peux aussi mettre Cloudflare : 1.1.1.1 et 1.0.0.1.

Si ton routeur ne permet pas de changer le DNS (rare), tu peux le faire sur chaque appareil : Windows (Panneau de configuration > Réseau), macOS (Préférences > Réseau > DNS), iOS (Réglages > WiFi > i > Configurer le DNS), Android (selon marque).

8. SSID MAC filtering et cacher le SSID : ignorer

Deux « conseils » qui reviennent souvent sur les forums, et qui sont essentiellement du théâtre de sécurité.

Cacher le SSID (broadcast désactivé)

Ça ne cache rien. Le SSID est transmis chaque fois qu’un appareil se connecte. Un outil gratuit comme Kismet ou Wireshark voit les SSID cachés en quelques secondes. Pire : tes téléphones et ordis doivent maintenant « crier » le nom du réseau en permanence pour essayer de le trouver, ce qui permet à quelqu’un de tracer tes déplacements (ton iPhone dit « WiFi-MartinMaison — t’es là? » partout où tu vas).

Laisse le SSID visible.

MAC filtering

L’idée : tu entres dans le routeur la liste des adresses MAC (l’identifiant unique de chaque carte réseau) autorisées à se connecter. Les autres sont bloquées.

Problème : un attaquant qui écoute 30 secondes de trafic WiFi voit les adresses MAC légitimes. Il cloue la sienne sur une MAC autorisée en 2 clics avec un outil gratuit. Contourné.

Pour toi : c’est un cauchemar à gérer chaque fois qu’un invité arrive, que t’achètes un nouveau cell, qu’une console se remplace.

Bénéfice réel : zéro. Effort : élevé. Skip.

Bonus : vérifier qui est connecté chaque mois

Prends l’habitude, une fois par mois, d’ouvrir l’app de ton routeur et de regarder la liste des appareils connectés. Identifie chaque appareil. Si tu vois quelque chose d’inconnu :

1. Bloque l’appareil dans l’interface (option « Bloquer » ou « Block »).
2. Change immédiatement ton mot de passe WiFi.
3. Reconnecte tous tes appareils légitimes avec le nouveau mot de passe.

L’app Helix Fi rend ça facile (section Appareils, tu peux renommer chaque appareil : « iPhone Martin », « Télé salon », « Thermostat »). Bell et Rogers ont des fonctions similaires.

Checklist finale — 10 minutes chrono

• Mot de passe admin du routeur changé (16+ caractères)
• Chiffrement : WPA3 ou WPA2-AES (jamais WEP/WPA)
• Mot de passe WiFi : 16+ caractères aléatoires
• Réseau invité activé, avec mot de passe différent
• Tous les IoT déplacés sur le réseau invité
• WPS désactivé
• Firmware à jour (mises à jour auto activées)
• DNS changé pour Quad9 (9.9.9.9) ou Cloudflare (1.1.1.1)
• Liste des appareils connectés vérifiée (appareils inconnus bloqués)

Et si je ne sais pas par où commencer

Honnêtement, 90 % des gens qui lisent cet article vont fermer l’onglet et rien faire. Pas de jugement — je comprends, la vie est occupée, le routeur c’est un objet mystérieux caché derrière la télé.

Mais les 3 réglages absolument critiques, si tu ne fais que ceux-là :

1. Mot de passe WiFi de 16+ caractères aléatoires (pas ton numéro de téléphone).
2. WPS désactivé.
3. Mises à jour automatiques du firmware activées.

Ça prend 4 minutes. C’est 80 % du bénéfice.

Si tu veux qu’on le fasse pour toi — tu prends une photo de ton routeur, on regarde ensemble à distance, on sécurise le tout en 15 minutes — appelle ou visite sequr.ca. On le fait pour des familles, des travailleurs autonomes et des PME québécoises tous les jours. Pas de forfait piégé, pas d’abonnement. Un appel, c’est réglé.

Ton WiFi, c’est la porte avant de ta maison numérique. Barre-la.