Aller au contenu principal
Wattlet
Hardware & Informatique Maison Connectée Logiciels & Applications Hardware & Tech PC Portables Outils
Hardware & Tech · · 12 min de lecture

Comment savoir qui utilise mon wifi et le bloquer : guide

Identifier un intrus sur votre réseau Wi‑Fi et le bloquer sans fausse sécurité : méthodes pratiques, limites et configurations matérielles à privilégier.

Par Aurélien Marcos
Partager
Interface d'un routeur affichant la liste des appareils connectés

Bloquer un appareil n’est pas la réponse définitive

La thèse de cet article est nette : bloquer un appareil intrusif a sa place, mais c’est rarement la solution qui protège vraiment votre réseau. La majorité des problèmes viennent d’une configuration permissive et d’un parc d’appareils mal segmenté. Si l’on corrige la configuration, la nécessité de traquer appareil par appareil disparaît.

Ce positionnement guide tout le reste : on va d’abord apprendre à repérer un intrus de façon fiable, puis regarder comment le bloquer sans se leurrer, enfin adopter des mesures structurelles qui évitent que le problème ne revienne.

Comment savoir qui utilise mon Wi‑Fi et le bloquer : réponse rapide

Pour une action immédiate et utile, procédez en trois gestes simples : ouvrez l’interface d’administration du routeur, vérifiez les baux DHCP et la table ARP pour repérer les adresses MAC et IP inconnues, puis placez l’appareil suspect dans une liste noire ou sur le réseau invité. Si l’accès persiste, changez la clé Wi‑Fi et renforcez l’authentification.

La suite de l’article détaille chaque étape et explique pourquoi certaines méthodes courantes donnent un faux sentiment de sécurité.

Méthodes fiables pour identifier les appareils connectés

Commencez par le routeur. L’interface d’administration affiche généralement la liste des appareils connectés, leurs adresses IP, leurs adresses MAC et parfois le nom renvoyé par l’appareil. C’est la source primaire et irréfutable : si un appareil apparaît là, il utilise votre réseau ou a obtenu une IP via DHCP.

Outils complémentaires utiles sans prétendre remplacer le routeur :

  • Scanner réseau (sur poste) : arp-scan, nmap. Ces outils lisent la table ARP et complètent la liste en dévoilant des ports ouverts et des empreintes basiques de services.
  • Applications mobiles comme les scanners d’adresses locales. Elles donnent une vue rapide mais ne remplacent pas les logs du routeur.
  • Vérifier les baux DHCP : le bail montre souvent une date d’obtention d’adresse et le nom d’hôte. Un nouveau bail en dehors de vos usages habituels signale une connexion récente.

Pour des pas à pas sur la configuration et la surveillance, on trouve des procédures pratiques dans nos ressources spécialisées, par exemple la collection de Guides et Tutoriels Domotique : Maîtrisez Votre Maison Connectée.

Note sur l’identification par nom : beaucoup d’appareils affichent un nom générique. Si un appareil inconnu porte un nom sensible, méfiez-vous des faux-positifs et croisez avec l’adresse MAC et le créneau horaire de connexion.

Techniques de blocage et leurs limites

Voici les options de blocage les plus courantes, et ce qu’elles signifient en pratique.

Markdown table comparative courte

MéthodeFacilitéRobustesseLimite principale
Liste noire MACTrès simpleFaibleMAC spoofing contourne le blocage
Bloquer via DHCP (interdire bail)SimpleMoyenneUn appareil peut utiliser IP statique
Wireless isolation / réseau invitéMoyenneÉlevéeNécessite séparation pour tous les appareils IoT
WPA2/WPA3 avec mot de passe fortMoyenneÉlevéeMieux que rien mais partage de clé reste un point faible
VLAN / authentification 802.1XComplexeTrès élevéeNécessite matériel et configuration pro

Explications succinctes :

  • Filtrage MAC : utile pour exclure un appareil connu rapidement. Toutefois, une adresse MAC se forge facilement. Le filtrage MAC est un garde-fou basique, pas une barrière.
  • Blocage DHCP : supprimer un bail et ajouter l’adresse MAC à une liste de refus coupe l’accès temporairement. Un attaquant informé peut définir une IP statique et rester connecté si le routeur n’applique pas d’isolation.
  • Isolement client et réseau invité : ces fonctions empêchent les clients entre eux et isolent l’accès à l’internet. C’est la meilleure mesure pour protéger les objets connectés et limiter les dégâts sans couper l’accès à l’invité.
  • WPA2/WPA3 et changement de clé : changer la phrase de passe du Wi‑Fi force tous les appareils à se reconnecter. C’est efficace pour expulser un intrus si la clé n’a pas été partagée. Préférez une passphrase longue et aléatoire.
  • Solutions entreprises : 802.1X avec RADIUS ou VLANs segmentés confèrent une vraie robustesse, mais demandent matériel et compétence. Pour un foyer tech avancé, c’est la solution durable.

Ne recourez pas à des attaques de désauthentification pour « forcer » la déconnexion d’un intrus. Ces méthodes provoquent des perturbations et peuvent être illégales selon le contexte.

Renforcer le réseau plutôt que jouer au chat et à la souris

Bloquer appareil après appareil épuise. Investir un peu de temps dans la conception du réseau paie mieux. Les principes à appliquer :

  • Segmenter : séparez réseau principal, invité et IoT. Un appareil compromis sur le réseau invité ne menace pas vos PC.
  • Mettre à jour le firmware du routeur et des appareils connectés. Les correctifs bouchent des vecteurs d’entrée.
  • Utiliser WPA3 si disponible, sinon WPA2 avec une passphrase longue. Les clés simples et le WPS activé sont des faiblesses courantes.
  • Désactiver WPS et UPnP si vous ne les utilisez pas. Ces services facilitent parfois l’accès à distance non désiré.
  • Limiter la puissance d’émission du Wi‑Fi si la box enveloppe inutilement le voisinage.
  • Pour les environnements domotiques, placer les objets connectés sur un réseau dédié optimise la sécurité. Notre guide sur les Objets Connectés pour la Maison : Guide Complet de la Domotique Intelligente détaille ces pratiques pour les appareils courants.

Sur le plan matériel, choisir un routeur avec un bon support, logs exportables et possibilités de VLAN est préférable au routeur basique fourni par défaut. Installer une solution de monitoring basique qui archive les logs aide à trouver des patterns temporels et à prouver une intrusion si besoin.

Cas avancés et pratiques pour utilisateurs avertis

Pour ceux qui veulent aller plus loin sans devenir administrateur réseau, voici des options techniques qui changent la donne.

  • Firmwares alternatifs : certaines box acceptent OpenWrt ou des firmwares propriétaires qui ouvrent 802.1X, VLANs et filtrage avancé. Attention aux incompatibilités et à la perte de garantie.
  • Surveillance passive : exporter les logs DHCP et syslog vers un petit serveur local ou un Raspberry Pi permet d’analyser des connexions récurrentes et d’alerter automatiquement.
  • Captive portal et authentification temporaire : utile pour les visiteurs. Permet de contrôler qui obtient un accès internet sans divulguer la clé du réseau principal.
  • RADIUS et certificats : pour un réseau domestique très durci, renseigner chaque appareil via certificats élimine la question des clés partagées.
  • Problèmes électriques et CPL : la technologie CPL peut brouiller la topologie logique du réseau et créer des effets inattendus lors du filtrage. La lecture des impacts techniques est abordée dans l’article sur l’Influence des différentiels sur la CPL : comment limiter les pertes et améliorer le réseau domestique.

Ces solutions demandent du temps et parfois de l’investissement matériel. Elles sont cependant ce qui sépare une configuration bricolée d’un réseau qui reste sûr sans interventions fréquentes.

Quand bloquer un appareil suffit

Parfois, la réponse pragmatique est simple : l’invité a fini sa visite, l’appareil ne pose pas de risque immédiat, et l’éviction par blacklist est acceptable. Dans une configuration segmentée, bloquer ponctuellement un appareil sur le réseau invité suffit et ne nécessite pas de changement majeur.

Ce court réflexe est utile pour les urgences, mais gardez en tête qu’il faut accompagner l’action d’un audit rapide pour comprendre comment l’appareil est arrivé là.

Que faire si l’intrusion persiste

Si un appareil revient malgré les blocages, procédez méthodiquement : capturez les logs au moment où l’intrusion réapparaît, notez l’heure, l’adresse MAC et l’IP, changez la clé Wi‑Fi et surveillez si l’appareil tente de se reconnecter. Si le problème dépasse votre expertise, impliquez le fournisseur d’accès et faites appel à des communautés spécialisées pour un diagnostic approfondi. La Communauté Tech et Domotique : Échanges, Entraide et Passionnés peut orienter vers des configurations adaptées ou des intervenants compétents.

Si le routeur lui-même montre des comportements anormaux (reboots, interfaces web altérées), considérez une réinitialisation usine et l’installation d’un firmware sécurisé.

Questions fréquentes

Q : Comment fonctionne le blocage par adresse MAC et pourquoi il n’est pas infaillible ?
R : Le filtrage MAC compare l’adresse MAC de l’appareil à une liste autorisée ou refusée. C’est simple à configurer mais faible car une adresse MAC peut être usurpée par n’importe quel appareil sur le réseau local. C’est utile pour des exclusions ponctuelles, pas comme mesure de sécurité unique.

Q : Est‑ce légal de bloquer un appareil connecté à mon Wi‑Fi ?
R : Vous avez la maîtrise de votre réseau privé et la possibilité d’empêcher des connexions non autorisées. Si la situation implique un litige ou un accès malveillant récurrent, documentez les logs et adressez-vous au fournisseur d’accès ou aux autorités compétentes plutôt que d’agir hors cadre.

Q : Un routeur fourni par l’opérateur suffit‑il pour sécuriser un foyer connecté ?
R : Pour un usage basique, oui. Mais si vous avez plusieurs objets connectés, des services exposés ou un besoin de segmentation, un routeur plus flexible et à jour offre des fonctions indispensables comme VLAN, logs détaillés et options d’authentification avancée.

Q : Puis‑je détecter un intrus sans accès à l’interface du routeur ?
R : C’est plus difficile. Les outils réseau locaux peuvent aider, mais l’interface du routeur reste la source la plus fiable. Si vous n’avez pas cet accès, demandez au titulaire du compte ou au fournisseur d’accès les informations sur les appareils connectés.

💡 Conseil : conservez une copie des logs DHCP lors d’une intrusion persistante, elle facilite le diagnostic et la communication avec le fournisseur d’accès.
⚠️ Attention : éviter les méthodes qui perturbent le réseau de tiers, comme les attaques de désauthentification, elles peuvent être illégales.
📌 À retenir : segmenter le réseau réduit le besoin de bloquer appareil par appareil et limite l’impact d’un appareil compromis.

Aurélien Marcos

Aurélien Marcos

Ingénieur thermicien de formation (INSA Lyon, 2009), passé par le bureau d'études d'EDF puis par le conseil en stratégie énergie-climat. Il a fondé Wattlet pour créer un média qui part de la physique, pas de l'opinion.

Cet article est publie a titre informatif. Faites vos propres recherches avant toute decision.