Comment protéger mon mot de passe Wi-Fi contre l'affichage par les téléphones Android lorsque je le partage avec un code QR ?

La réponse à cette question est plus générale que le matériel spécifique auquel vous faites référence dans votre question, et n'est en aucun cas spécifique à Android, mais puisque cette question semble se poser de temps en temps, je vais y répondre du mieux que je peux afin que les gens puissent voir qu'il ne s'agit en aucun cas de "magie".

La raison pour laquelle votre mot de passe est affiché est que le code QR pour les informations WiFi stocke et transmet le mot de passe WiFi en texte clair, de sorte que toute personne qui scanne le code QR aura votre mot de passe WiFi. Le code QR n'a rien de spécial : bien que vous ne puissiez pas le "lire" en soi, tout appareil connaissant le code standard utilisé pour le symbole QR peut le lire comme des mots sur une feuille de papier. C'est ainsi que sont réalisés les codes QR pour le WiFi et peu importe qu'il s'agisse d'un appareil TP-Link, Asus, Linksys ou autre qui les crée : le mot de passe est en texte clair. L'appareil qui lit le code QR n'a pas non plus d'importance : qu'il s'agisse d'un Redmi, d'un Samsung, d'un Apple, d'un Google, d'un Huawei ou autre, il peut lire le code QR et afficher le nom du réseau et le mot de passe en texte clair, bien que certaines applications puissent "masquer" le mot de passe pour des raisons de confidentialité (mais elles disposent de l'information).

La bonne façon de gérer cette sécurité dans un environnement domestique est de ne pas donner votre mot de passe WiFi à vos amis, mais uniquement à votre famille (ou de le configurer vous-même pour eux, bien qu'ils puissent toujours récupérer le mot de passe). Et pour l'usage de vos amis ou invités, ayez un SSID séparé avec un mot de passe simple qui est configuré pour accéder uniquement à l'Internet (communément appelé Isolation du client), éventuellement à un débit réduit. Je ne connais pas TP-Link, mais de nombreuses sociétés comme Asus ont une application pour votre téléphone portable qui peut très rapidement vous permettre d'activer un réseau WiFi invité pour une certaine période de temps (disons 4, 24, 72 heures) puis de le désactiver automatiquement. Cet exemple est utile pour les amis qui sont là pour le dîner, la journée entière ou le week-end peut-être. Certaines personnes, dont je fais partie, se contentent d'activer en permanence un réseau d'invités avec un mot de passe, mais ce réseau est isolé du client (les utilisateurs ne peuvent accéder qu'à Internet) et il est limité à environ 1 à 2 % des vitesses de mon fournisseur d'accès (ils peuvent utiliser 5 Mbps en aval et 500 Kbps en amont) ; je change le mot de passe 3 à 4 fois par an et je l'affiche sur le réfrigérateur. Aucune de ces solutions n'est parfaite en matière de sécurité, mais elles sont généralement suffisantes.

Sinon, si vous donnez à des personnes l'accès à votre réseau, vous pouvez tout aussi bien leur donner le mot de passe WiFi... Une fois qu'ils sont connectés au WiFi, c'est en grande partie la même chose que s'ils se branchent sur votre réseau avec un câble et peuvent accéder à tout, donc avoir un accès physique au réseau et avoir le mot de passe WiFi sont essentiellement la même chose. De plus, il est assez facile de changer le mot de passe WiFi plus tard si nécessaire pour restreindre l'accès. Ce n'est pas non plus une mauvaise idée de changer votre mot de passe WiFi régulièrement, une fois tous les 30-90 jours environ, de sorte que si le mot de passe existe, il ne peut pas être accédé plus tard si les choses changent, comme votre ami pour une raison quelconque n'est plus votre ami.

La réponse courte à cette question est que vous ne pouvez pas empêcher quelqu'un qui a le mot de passe WiFi de le partager. C'est exactement ce que fait le téléphone lorsqu'il génère le code QR.

Si vous voulez empêcher les utilisateurs de votre réseau de partager l'accès avec d'autres, vous devez utiliser un autre mot de passe que le WPA par défaut pour sécuriser le réseau. Il existe un certain nombre de solutions possibles

• Utilisez des listes blanches d'adresses MAC, ce qui signifie que seul le matériel connu sera autorisé à se connecter même s'il a le mot de passe (les adresses MAC sont facilement usurpées avec les ordinateurs portables, je ne suis pas sûr que ce soit possible sans jailbreaker un téléphone).

• Utilisation de WPA-TLS, qui utilise des certificats individuels pour chaque utilisateur, une fois installé sur le téléphone, il n'y a aucun moyen d'exporter la clé privée et donc aucun moyen de la partager avec d'autres (il est possible d'extraire les clés sur certains téléphones cassés qui n'ont pas d'éléments de sécurité matériels).

• Utilisez un portail captif et exigez un second mot de passe qui change régulièrement (il pourrait s'agir d'un jeton 2fa donné uniquement aux utilisateurs autorisés).

Cette liste n'est pas exhaustive, mais elle devrait vous donner quelques pistes à suivre.

Vous pouvez avoir un SSID dédié aux invités (si votre routeur le prend en charge). Cela peut séparer les invités de vous dans une certaine mesure, selon les capacités du routeur.

Si vous ne voulez pas donner aux invités un accès permanent, vous pouvez changer le mot de passe de temps en temps.

Si vous voulez aller plus loin, vous pouvez vous tourner vers WPA2/WPA3 Enterprise. Cela permet un meilleur contrôle d'accès. Cependant, vous n'avez probablement pas envie de le faire sur votre réseau Wi-Fi domestique, car il est trop complexe à configurer et vous aurez peut-être besoin d'un meilleur routeur Wi-Fi (et plus cher) pour cela.

Pour savoir pourquoi le code QR ne cache pas le mot de passe, voir le post de @acejavelin.

J'ai un deuxième routeur, juste un petit routeur bon marché, connecté par câble au routeur principal. Ils ont des réseaux wifi différents et des mots de passe différents. Je ne donne à mes amis que le mot de passe du second routeur.

Je peux le changer facilement à tout moment. Ou le déconnecter.

Je trouve que c'est une solution facile et efficace.