Réseau · Authentification WPA3 depuis 2018 Wi-Fi 6 / 7 Mis à jour · Avril 2026

Wi-Fi sécurisé : WPA3 et bonnes pratiques

Couvre : WPA3 · WPA2 · WEP · SAE · Dragonblood · KRACK · evil twin · Wi-Fi public
Réponse rapide

Le Wi-Fi sécurisé en 2026 repose principalement sur WPA3 (depuis 2018), qui corrige les vulnérabilités de WPA2 (KRACK 2017) grâce au protocole SAE (résistant aux attaques par dictionnaire), à la forward secrecy, et à la protection obligatoire des trames de gestion. WPA2 reste acceptable avec un mot de passe fort, mais WEP et WPA1 sont obsolètes et dangereux. Bonnes pratiques : WPA3 si tous les appareils le supportent, mot de passe long aléatoire (12+ caractères), désactiver WPS, changer l'admin par défaut du routeur, mettre à jour le firmware, créer un réseau invité séparé pour visiteurs et IoT.

En une phrase — WPA3 est le standard moderne de sécurité Wi-Fi depuis 2018, qui corrige les faiblesses de WPA2. Pour un Wi-Fi sûr : WPA3 ou WPA2-AES, mot de passe long, WPS désactivé, firmware à jour, réseau invité pour les visiteurs et l'IoT.
Standards actifs
WPA3 (recommandé) et WPA2-AES (acceptable)
Standards obsolètes
WEP (cassé), WPA1, WPA2-TKIP — à ne plus utiliser
WPA3 introduit en
2018 par la Wi-Fi Alliance
Apport principal WPA3
Protocole SAE, résistant aux attaques par dictionnaire hors-ligne
Firmware routeur
À mettre à jour régulièrement (correctifs de sécurité)
Risque public
Faux hotspots (evil twin) — moins critique avec HTTPS généralisé

01 — HistoireÉvolution des protocoles Wi-Fi

WEP (1997-2003) — cassé depuis longtemps

  • Wired Equivalent Privacy : premier protocole de sécurité Wi-Fi.
  • Cassé techniquement dès 2001, complètement craquable en quelques minutes aujourd'hui.
  • Algorithme : RC4 mal utilisé, IV trop court (24 bits).
  • Ne plus jamais utiliser : peut équivaloir à un Wi-Fi ouvert.
  • Si vous avez un vieil équipement qui ne supporte que WEP : le remplacer.

WPA1 (2003) — solution provisoire

  • Conçu comme correction temporaire en attendant WPA2.
  • Toujours basé sur RC4 mais avec TKIP (Temporal Key Integrity Protocol).
  • Vulnérabilités découvertes par la suite.
  • Obsolète : à ne plus utiliser.

WPA2 (2004-aujourd'hui) — le standard installé

  • Wi-Fi Protected Access 2 : standard de référence pendant 14 ans.
  • Utilise AES-CCMP (chiffrement robuste).
  • Authentification par mot de passe (PSK pour personnel) ou EAP (entreprise).
  • Toujours largement déployé en 2026, encore acceptable avec un mot de passe fort.
  • Vulnérabilité majeure découverte : KRACK (2017) — voir section vulnérabilités.
  • Variante TKIP : à éviter, préférer AES.

WPA3 (2018-aujourd'hui) — le standard moderne

  • Wi-Fi Protected Access 3 : introduit par la Wi-Fi Alliance en 2018.
  • Corrige plusieurs faiblesses de WPA2.
  • Trois variantes : WPA3-Personal (foyer), WPA3-Enterprise (entreprise), WPA3-Enhanced Open (réseaux ouverts chiffrés).
  • Adoption progressive : largement disponible en 2026 sur tous les routeurs récents.
  • Mode transition WPA2/WPA3 pour compatibilité avec anciens appareils.

Wi-Fi 6 / Wi-Fi 7 et sécurité

  • Wi-Fi 6 (802.11ax, 2019) impose WPA3 dans la certification.
  • Wi-Fi 6E (2020) ajoute la bande 6 GHz, où WPA3 est obligatoire.
  • Wi-Fi 7 (802.11be, 2024) continue dans la même direction.
  • Acheter un nouveau routeur en 2026 : privilégier Wi-Fi 6/6E/7 avec WPA3.

02 — WPA3Ce qui change vraiment

SAE — Simultaneous Authentication of Equals

Remplace le 4-way handshake de WPA2 (vulnérable à KRACK et aux attaques hors-ligne par dictionnaire). Basé sur le protocole Dragonfly.

  • Résistance aux attaques par dictionnaire : chaque tentative nécessite une interaction avec le point d'accès, donc impossible de craquer hors-ligne en testant des millions de mots de passe.
  • Protection même si le mot de passe est faible (mais privilégier un mot fort quand même).
  • Zero-Knowledge Proof : le serveur ne voit jamais le mot de passe.

Forward secrecy

  • Si un mot de passe est compromis ultérieurement, les communications passées restent protégées.
  • Chaque session utilise des clés éphémères dérivées.
  • Important contre l'enregistrement massif de trafic chiffré pour décryptage futur.

PMF obligatoire — Protected Management Frames

  • Chiffrement des trames de gestion (qui étaient en clair en WPA2).
  • Empêche les attaques de désauthentification : un attaquant ne peut plus envoyer des trames falsifiées pour déconnecter vos appareils.
  • Disponible en option dans WPA2, obligatoire en WPA3.

OWE — Opportunistic Wireless Encryption

  • Pour les réseaux ouverts (sans mot de passe).
  • Établit un chiffrement individuel entre chaque client et le point d'accès.
  • Protège contre l'écoute passive sur Wi-Fi public.
  • L'utilisateur n'a rien à faire : actif automatiquement si supporté.
  • Dénomination commerciale : « Wi-Fi Enhanced Open ».

WPA3-Enterprise — chiffrement renforcé

  • Suite cryptographique de 192 bits minimum (mode optionnel).
  • Pour environnements à haute sécurité (gouvernement, défense, finance).
  • Compatible CNSA Suite (Commercial National Security Algorithm).

Easy Connect (DPP — Device Provisioning Protocol)

  • Mécanisme moderne d'ajout d'appareils, surtout pour l'IoT sans interface.
  • Connexion via QR code ou échange Bluetooth.
  • Remplace progressivement le WPS (qui avait des faiblesses).

03 — VulnérabilitésFailles historiques connues

KRACK (Key Reinstallation Attacks) — 2017

  • Découverte par Mathy Vanhoef en octobre 2017.
  • Affecte le 4-way handshake de WPA2.
  • Permet le déchiffrement (parfois partiel) de trafic, l'injection de paquets.
  • Faiblesse protocolaire, pas une faille d'implémentation.
  • Patches déployés rapidement par tous les vendeurs majeurs.
  • WPA3 corrige nativement ce type d'attaque.

Dragonblood — 2019

  • Vulnérabilités dans l'implémentation initiale de SAE/WPA3.
  • Découvertes peu après la sortie du standard.
  • Permettaient des attaques par canal auxiliaire (timing, cache).
  • Corrigées dans des révisions ultérieures de WPA3.
  • Leçon : même les standards récents ont besoin de patches.

FragAttacks — 2021

  • Découverte de Mathy Vanhoef (2021).
  • Famille de 12 vulnérabilités touchant la quasi-totalité des appareils Wi-Fi.
  • Exploitation de la fragmentation et de l'agrégation.
  • Permet l'injection de paquets, contournement de filtres.
  • Patches diffusés progressivement.
  • Importance de mettre à jour ses appareils.

WPS PIN brute force — depuis 2011

  • Le PIN de 8 chiffres du WPS peut être craqué par brute force en quelques heures.
  • Faille structurelle de la conception du WPS.
  • Certains routeurs ont un WPS verrouillable, mais pas tous.
  • Recommandation universelle : désactiver le WPS.

Pixie Dust — 2014

  • Variante du WPS attack, exploite des PRNG faibles côté routeur.
  • Cracking en quelques secondes sur certains chipsets.
  • Encore une raison de désactiver WPS.

Vulnérabilités spécifiques d'implémentation

  • Régulièrement, des CVE sont publiées sur des routeurs ou points d'accès spécifiques.
  • Exemples 2023-2025 : vulnérabilités sur certains routeurs grand public, exploitations actives.
  • Certains routeurs en fin de vie ne reçoivent plus de patches.
  • Surveiller les annonces de votre constructeur, remplacer les routeurs non maintenus.

04 — DomestiqueSécuriser son Wi-Fi à la maison

1. Protocole de chiffrement
  • Activer WPA3 si tous les appareils le supportent.
  • Sinon mode transition WPA2/WPA3.
  • À défaut WPA2-AES (jamais TKIP, jamais WEP, jamais WPA1).
  • Vérifier dans l'interface du routeur (généralement 192.168.0.1 ou 192.168.1.1).
2. Mot de passe Wi-Fi fort
  • Minimum 12 caractères, idéalement plus.
  • Préférer une passphrase de 4-6 mots aléatoires (facile à mémoriser, difficile à craquer).
  • Voir notre fiche mot de passe.
  • Ne pas utiliser le mot de passe par défaut du routeur (souvent imprimé sur l'étiquette = compromis si vol/photo).
  • Changer si vous l'avez communiqué à beaucoup de monde.
3. Mot de passe d'administration du routeur
  • Différent du mot de passe Wi-Fi.
  • Sert à se connecter à l'interface d'administration.
  • Changer le mot de passe par défaut (admin/admin, admin/password, ou imprimé sur l'étiquette).
  • Mot de passe fort différent du Wi-Fi.
  • Critique : l'accès admin permet de modifier toute la configuration et capturer le trafic.
4. Désactiver WPS
  • WPS (Wi-Fi Protected Setup) facilite l'ajout d'appareils mais a des faiblesses connues.
  • Désactiver dans les paramètres du routeur.
  • Préférer la saisie manuelle du mot de passe Wi-Fi.
  • Ou utiliser Easy Connect (DPP) sur routeurs récents.
5. Mises à jour du firmware
  • Activer les mises à jour automatiques si disponibles.
  • Sinon vérifier manuellement tous les 3-6 mois.
  • Firmware obsolète = vulnérabilités non corrigées.
  • Routeur trop ancien sans mises à jour : le remplacer.
  • Durée de vie typique d'un routeur : 4-7 ans côté sécurité.
6. Réseau invité séparé
  • Créer un SSID Guest distinct.
  • Pour : visiteurs, appareils BYOD, IoT.
  • Isolé du réseau principal : pas d'accès aux ordinateurs/NAS familiaux.
  • Mot de passe différent, plus simple à communiquer.
  • Sécurise les appareils peu fiables (caméras IP, jouets connectés, prises connectées).
7. Désactiver l'administration distante
  • WAN management ou Remote management : à désactiver sauf nécessité absolue.
  • Sinon votre routeur expose son interface admin sur Internet.
  • Cible facile pour des attaques automatisées.
  • Si vous devez gérer à distance : utiliser un VPN.
8. UPnP — désactiver si possible
  • UPnP (Universal Plug and Play) permet aux apps d'ouvrir des ports automatiquement.
  • Pratique mais peut exposer des services internes sans votre consentement.
  • Désactiver si pas nécessaire (la plupart des usages modernes ne l'exigent pas).
  • Sinon, surveiller les redirections de ports.
9. SSID — pas besoin de cacher
  • Cacher le SSID (nom du réseau) procure un faux sentiment de sécurité.
  • Les outils d'audit Wi-Fi le détectent quand même facilement.
  • Vos appareils « crient » le nom de votre réseau caché en cherchant à se connecter, ce qui peut faciliter certaines attaques.
  • Préférer un mot de passe fort et WPA3.
10. Vérifier les appareils connectés
  • Interface du routeur : liste des appareils connectés.
  • Vérifier régulièrement, identifier les inconnus.
  • Filtrage MAC possible mais peu efficace contre attaquant déterminé (MAC spoofing).
  • Apps mobiles de scan réseau : Fing, Nmap.

05 — PublicWi-Fi public et faux hotspots

Le risque a diminué

Grâce à la généralisation d'HTTPS (90%+ du trafic web en 2026), le Wi-Fi public est nettement moins risqué qu'il y a 10 ans. Le contenu de vos communications reste chiffré même sur un réseau compromis.

Risques résiduels en 2026

  • Faux hotspots (evil twin) : imitation d'un Wi-Fi légitime. L'attaquant peut tenter de capturer des identifiants ou rediriger vers de faux sites.
  • Apps non chiffrées : certaines apps font encore des requêtes en clair, exposant données et tokens.
  • DNS spoofing : rediriger vers de faux sites (mais HTTPS + HSTS bloque la majorité).
  • Captive portals piégés : faux portails qui demandent des identifiants ou installent du contenu.
  • Métadonnées visibles : même chiffré, l'attaquant voit quels services vous utilisez.

Faux hotspots — comment les repérer

  • Demander au personnel le nom exact du Wi-Fi officiel.
  • Méfiance des noms génériques : Free_Airport_Wifi, Public_Hotspot.
  • Plusieurs réseaux portant le même nom : signal d'alerte.
  • Avertissement de certificat HTTPS : ne jamais accepter.
  • Captive portal qui demande des identifiants étranges.

Bonnes pratiques sur Wi-Fi public

  • Préférer le partage de connexion 4G/5G de son téléphone si possible.
  • Utiliser un VPN sur Wi-Fi public sensible.
  • Vérifier que les sites utilisent HTTPS (cadenas, pas d'avertissement).
  • Éviter les opérations bancaires critiques.
  • Désactiver le partage de fichiers Windows/macOS.
  • Activer le pare-feu de l'OS.
  • Désactiver la connexion automatique aux Wi-Fi connus.
  • Mettre à jour ses apps régulièrement.
  • Éviter de saisir mot de passe sensible sur sites non HTTPS.

Le VPN : utile mais pas magique

  • Un VPN chiffre tout votre trafic vers le serveur VPN, masquant le contenu à l'opérateur du Wi-Fi.
  • Utile contre les faux hotspots et l'espionnage réseau local.
  • Mais : votre fournisseur VPN voit votre trafic à sa place. Choisir un fournisseur de confiance.
  • Ne protège pas contre malware sur l'appareil.
  • Ne remplace pas les bonnes pratiques d'hygiène cyber générale.

06 — EntrepriseWi-Fi en environnement professionnel

WPA3-Enterprise et 802.1X

  • Authentification individuelle par utilisateur (pas un mot de passe unique partagé).
  • Basé sur EAP (Extensible Authentication Protocol) avec serveur RADIUS.
  • Variantes : EAP-TLS (certificats), PEAP (login/password), EAP-TTLS.
  • Permet la révocation individuelle (employé qui part).
  • Audit complet de qui se connecte quand.
  • Intégration avec IAM et SSO de l'entreprise.

Segmentation réseau

  • VLANs séparés selon les usages (collaborateurs, invités, IoT, partenaires).
  • Cohérent avec une approche Zero Trust.
  • Isolation forte entre les segments.
  • Pare-feu interne entre VLANs.

Détection des intrusions Wi-Fi

  • WIPS (Wireless Intrusion Prevention System) : détection de points d'accès rogue, faux hotspots imitant l'entreprise, attaques actives.
  • Intégration SIEM pour corréler les événements.
  • Solutions du marché : Cisco Catalyst Center, Aruba Central, Fortinet FortiAP, etc.

Politique BYOD et invités

  • Voir notre fiche BYOD.
  • Réseau invité séparé avec captive portal d'authentification.
  • Limitations : bande passante, durée, accès aux ressources internes.
  • Politique d'usage signée.

Dans le cadre de NIS2 et autres réglementations

  • La sécurité réseau Wi-Fi est une composante des mesures techniques attendues.
  • Voir notre guide conformité cyber pour le cadre global.
  • Documentation à conserver : politique Wi-Fi, configurations, logs d'accès.

Bonnes pratiques opérationnelles

  • Cartographie radio régulière (détection points d'accès non autorisés).
  • Inventaire des points d'accès et leurs configurations.
  • Mises à jour firmware coordonnées et testées.
  • Audit périodique (interne ou pentest qualifié PASSI).
  • Plan de réponse en cas de compromission Wi-Fi.

07 — FAQQuestions fréquentes

Mon ancien routeur ne supporte pas WPA3, dois-je le remplacer ?

Pas urgemment si vous avez WPA2-AES avec un mot de passe fort, mais c'est une bonne idée à moyen terme. Critères pour remplacer : 1) routeur de plus de 5-7 ans (plus de mises à jour de sécurité du constructeur), 2) firmware non mis à jour depuis longtemps, 3) routeur fourni par un FAI désormais obsolète. Un routeur Wi-Fi 6 ou 6E moderne coûte 80-200 €, supporte WPA3, offre de meilleures performances et reçoit des correctifs. Pour entreprise, le calcul intègre aussi le risque opérationnel.

Quelqu'un peut-il vraiment cracker mon Wi-Fi ?

Pour un Wi-Fi domestique avec WPA2-AES et mot de passe fort (12+ caractères aléatoires) : cracking pratiquement impossible. Pour WPA2 avec mot de passe faible (mot du dictionnaire, format simple) : cracking possible en quelques heures avec une carte graphique correcte. Pour WPA3-Personal : encore plus difficile grâce au protocole SAE qui empêche les attaques par dictionnaire hors-ligne. Pour WEP : quelques minutes. Le facteur principal est le mot de passe, pas le protocole. Risque réel : voisin curieux ou amateur, peu probable d'attaque ciblée sauf cas spécifiques (entreprise visible, personnalité publique).

Qu'est-ce que le Wi-Fi 6 et Wi-Fi 7 changent pour la sécurité ?

Wi-Fi 6 (802.11ax, 2019) et Wi-Fi 7 (802.11be, 2024) apportent surtout des améliorations de performance (vitesse, latence, densité d'utilisateurs). Côté sécurité : la certification Wi-Fi 6 et plus impose WPA3 obligatoirement. Sur la bande 6 GHz introduite par Wi-Fi 6E, WPA3 est obligatoire. Wi-Fi 7 maintient ces exigences. En achetant un nouveau routeur Wi-Fi 6/6E/7, vous obtenez automatiquement les bonnes pratiques de sécurité modernes.

Le réseau invité est-il vraiment utile ?

Oui, fortement recommandé. Cas d'usage : visiteurs occasionnels (à qui vous ne voulez pas donner votre vrai mot de passe), appareils IoT (caméras, ampoules connectées, jouets, électroménager) souvent peu sécurisés, appareils BYOD d'employés en télétravail occasionnel. Bénéfice : isolation du réseau principal — un appareil compromis sur le réseau invité ne peut pas attaquer vos PC, NAS ou serveurs personnels. La majorité des routeurs récents permettent de créer un réseau invité en quelques clics.

VPN sur Wi-Fi public, indispensable ?

Plus optionnel qu'avant. Pour navigation grand public en 2026 : HTTPS protège déjà la quasi-totalité des communications, donc VPN apporte peu (sauf masquer son trafic à l'opérateur du Wi-Fi). Pour usages sensibles : opérations bancaires sur Wi-Fi étranger, accès professionnel à des ressources internes, journalistes ou militants en zone à risque, le VPN reste utile. Choix du fournisseur VPN critique : ProtonVPN, Mullvad, IVPN sont réputés pour leur respect de la vie privée. Éviter les VPN gratuits qui monétisent vos données. Voir notre fiche VPN.

Mon FAI peut-il voir mon trafic Wi-Fi ?

Le Wi-Fi domestique transite vers Internet via votre FAI (Free, Orange, Bouygues, SFR), donc oui, le FAI voit votre trafic vers Internet. Ce qu'il voit : métadonnées (sites visités, horaires, volumes) et contenu non chiffré (rare en 2026). Ce qu'il ne voit pas : contenu HTTPS chiffré, contenu chiffré bout en bout (WhatsApp, Signal). En France, les FAI sont soumis à des obligations de conservation de métadonnées (durées réglementaires). Pour anonymiser : VPN ou Tor selon le besoin (chacun avec ses limites). Voir VPN.