L’interface d’administration de votre Bbox est accessible depuis mabbox.bytel.fr. Elle expose plusieurs paramètres réseau avancés que Bouygues Telecom configure de façon optimale par défaut. Les modifier sans comprendre leur rôle peut exposer votre réseau domestique à des risques réels. Voici pourquoi les réglages Bbox sécurité méritent d’être compris avant d’y toucher. Voici les quatre zones de l’interface à connaître absolument avant d’y toucher.
Le pare-feu de votre Bbox propose trois niveaux de protection : Faible, Normal et Élevé. Par défaut, il est réglé sur Normal. Ce niveau autorise tous les flux IPv6 en sortie et bloque tous les flux entrants non sollicités. C’est l’équilibre adapté à un usage domestique : vos appareils peuvent communiquer librement vers l’extérieur, mais personne ne peut initier une connexion vers eux depuis Internet.
| Niveau | Flux IPv6 entrant | Usage recommandé |
|---|---|---|
| Faible | Autorisé | Non recommandé pour un usage domestique |
| Normal (défaut) | Bloqué | Convient à la grande majorité des foyers |
| Élevé | Bloqué avec règles strictes | Profil sécurité renforcé, peut bloquer certains services |
Par ailleurs, votre Bbox applique dès la mise en service une règle active de protection : elle bloque les ports 25 (messagerie sortante) et 445 (partage de fichiers Windows) en TCP et UDP. Ces deux ports figurent parmi les plus exploités par les malwares et les attaques automatisées. Leur blocage par défaut protège votre réseau même si vous n’avez jamais ouvert l’interface d’administration. C’est un signal rassurant : la configuration de sortie est déjà durcie sur les points les plus critiques.
Quand passer au niveau Élevé ?
Le niveau Élevé peut convenir si vous n’utilisez aucun service nécessitant des connexions entrantes : jeux en ligne multijoueur, accès à distance, NAS. Toutefois, il peut bloquer certaines fonctionnalités réseau légitimes. Testez-le et vérifiez que vos usages habituels fonctionnent normalement avant de le laisser actif de façon permanente. En cas de doute, le niveau Normal reste le choix par défaut le plus sûr.
Le protocole UPnP (Universal Plug and Play) est actif par défaut sur votre Bbox. Son rôle est de permettre aux appareils connectés sur votre réseau d’ouvrir automatiquement des ports sans intervention de votre part. Une console de jeu, une application de streaming ou un NAS peuvent ainsi s’autoriser un accès depuis Internet sans que vous le sachiez et sans que vous ayez configuré quoi que ce soit.
C’est précisément là que réside le risque : un logiciel malveillant installé sur l’un de vos appareils peut exploiter UPnP pour ouvrir un port et recevoir des connexions depuis l’extérieur. Votre Bbox ne vous demande aucune confirmation et n’affiche aucune notification. Si un appareil de votre réseau se trouve compromis, UPnP peut ainsi devenir un canal d’intrusion invisible. Ce risque concerne notamment les objets connectés anciens ou les appareils qui ne reçoivent plus de mises à jour de sécurité.
En revanche, si vous utilisez une console de jeu récente qui gère ses connexions de façon légitime via UPnP, désactiver ce protocole peut dégrader votre expérience en ligne. Il s’agit donc d’un arbitrage à faire selon votre situation.
Comment vérifier et désactiver UPnP
Connectez-vous sur mabbox.bytel.fr et accédez à la section Réseau avancé. Le toggle UPnP est visible directement. Si aucune règle n’est listée, UPnP n’a pas encore été utilisé par vos appareils. Si vous ne jouez pas en ligne et n’hébergez pas de services, désactivez-le. Attendez ensuite 48 heures pour vérifier qu’aucun usage n’est perturbé.
La section NAT/PAT de votre interface Bbox permet de rediriger un port spécifique depuis Internet vers un appareil précis de votre réseau local. Par défaut, votre Bbox n’applique aucune règle de ce type : votre réseau ne comporte aucune ouverture vers l’extérieur en dehors de ce que vous initiez vous-même. C’est la situation idéale, et elle est active dès l’installation.
Ouvrir un port manuellement est parfois nécessaire, notamment pour héberger un serveur local, accéder à distance à un NAS ou faire fonctionner certains jeux en ligne en NAT ouvert. Toutefois, chaque règle NAT/PAT constitue une ouverture dans votre protection. Une règle mal configurée peut exposer un appareil interne à des scans automatisés et des tentatives de connexion depuis Internet. N’ajoutez donc une règle que si vous comprenez précisément quel service l’utilise, sur quel appareil, et pour quelle durée.
La DMZ (zone démilitarisée) est l’option la plus dangereuse de toute l’interface. Elle expose directement un appareil de votre réseau à toutes les connexions entrantes depuis Internet, sans aucun filtrage pare-feu. Aucune DMZ n’est activée par défaut sur la Bbox, et c’est délibéré. Dans un usage domestique, vous n’avez pratiquement jamais besoin d’en créer une. Si un service nécessite des connexions entrantes spécifiques, une règle NAT/PAT ciblée sur les bons ports sera toujours préférable à l’activation de la DMZ.
Faites le ménage dans vos règles NAT/PAT
Si vous avez ouvert des ports par le passé pour un jeu ou un service que vous n’utilisez plus, consultez la liste de vos règles actives sur mabbox.bytel.fr et supprimez celles qui sont obsolètes. Un port ouvert qui ne sert plus est un risque inutile. En cas de doute sur une règle, supprimez-la : vous pourrez toujours la recréer si un service cesse de fonctionner.
Une console de jeu récente utilise UPnP de façon contrôlée pour ouvrir les ports nécessaires aux sessions multijoueur. C’est l’usage prévu du protocole. Le risque vient davantage des autres appareils du réseau : un smartphone infecté, un ordinateur porteur d’un logiciel malveillant ou un objet connecté mal sécurisé peuvent également exploiter UPnP. Si vous avez des appareils IoT anciens ou des systèmes non mis à jour sur votre réseau, la désactivation d’UPnP reste une précaution supplémentaire raisonnable, même si vous possédez une console.
Connectez-vous sur mabbox.bytel.fr et consultez deux sections : d’abord les Redirections de port (NAT/PAT) pour voir les règles manuelles actives, ensuite la section UPnP si elle liste des règles générées automatiquement. Si vous observez des règles que vous ne reconnaissez pas, notez les adresses IP locales de destination et identifiez les appareils correspondants sur votre réseau. Une règle non expliquée peut indiquer qu’un appareil compromis a ouvert un port automatiquement.
Oui. Le niveau Faible autorise les flux IPv6 entrants, ce qui signifie que vos appareils disposant d’une adresse IPv6 publique deviennent potentiellement joignables depuis Internet sans filtrage. Contrairement à IPv4 où le NAT agit comme un bouclier naturel, IPv6 attribue des adresses publiques directement à vos appareils. Le pare-feu est alors la seule barrière entre eux et l’extérieur. Le niveau Normal est le minimum à conserver pour tout usage domestique.
C’est techniquement possible, mais fortement déconseillé. La DMZ expose l’appareil ciblé à l’ensemble du trafic Internet entrant, sans aucun filtrage. Pour un NAS ou un serveur maison, il est préférable d’ouvrir uniquement les ports nécessaires via des règles NAT/PAT ciblées : par exemple le port 443 (HTTPS) pour un accès web sécurisé, ou le port 22 (SSH) si vous avez besoin d’un accès en ligne de commande. Ainsi, seuls les services que vous choisissez sont exposés, et non l’ensemble de l’appareil.
Sources : Interface d’administration Bbox, mabbox.bytel.fr ; ANSSI, recommandations pour la sécurisation des réseaux domestiques ; Cybermalveillance.gouv.fr ; CERT-FR, notes techniques sur les équipements réseau grand public.