Mot de passe Wi-Fi invité : pourquoi (et comment) le séparer du réseau principal en 2026
Donner votre mot de passe Wi-Fi principal à chaque visiteur, livreur ou ami de passage est une mauvaise habitude. Pas parce qu’ils sont mal intentionnés, mais parce que leurs téléphones, leurs apps et leurs appareils se connectent à votre même réseau que votre NAS, votre imprimante et votre PC pro. Un Wi-Fi invité avec mot de passe dédié règle le problème en 10 minutes.
Pourquoi ne plus partager votre Wi-Fi principal en 2026
Trois raisons solides, classées par fréquence des incidents observés :
- Les objets connectés mal patchés contaminent tout le réseau. Caméras IP no-name, ampoules connectées, jouets enfants, vieilles imprimantes : leurs failles servent de pivot pour scanner le LAN. Sur un réseau unique, l’attaquant trouve votre NAS, vos partages SMB, vos backups Time Machine.
- Le mot de passe principal finit dans 50 téléphones. Chaque ami qui se connecte enregistre votre clé Wi-Fi en clair dans son trousseau. À jour, à votre cinquième famille reçue, votre mot de passe vit dans plus de smartphones que vous ne pouvez compter — dont un sera volé ou vendu d’occasion sans factory reset.
- Pas d’isolation = pas d’invité ponctuel. Vous ne pouvez pas couper l’accès de votre voisin pour les vacances sans changer votre mot de passe et reconfigurer tous vos appareils.
Un Wi-Fi invité dédié élimine ces trois risques d’un coup.
Ce que doit faire un bon Wi-Fi invité
Un réseau invité correctement configuré coche ces cases :
- SSID séparé (ex.
Maison-Invite) - Mot de passe différent du Wi-Fi principal (au moins 16 caractères aléatoires ou passphrase de 5 mots)
- Isolation client activée (les appareils invités ne se voient pas entre eux)
- Pas d’accès LAN (les invités sortent uniquement vers Internet, pas vers votre NAS)
- Bande passante limitée si possible (évite qu’un invité streaming ne sature votre télétravail)
- Activable/désactivable rapidement (depuis l’app de votre box ou son interface web)
Configurer un Wi-Fi invité — Box française
Freebox (Pop, Revolution, Delta, Ultra)
- Connectez-vous à
mafreebox.freebox.frou ouvrez l’app Freebox. - Wi-Fi → Configuration. Dans la liste des réseaux, ajoutez un réseau invité (la Freebox crée un SSID dédié).
- Définissez un nom (ex.
Maison-Invite) et un mot de passe différent du principal. - Activez Isolation client dans les paramètres avancés.
- La Freebox bloque automatiquement les flux LAN-LAN entre invités et réseau principal.
Livebox (Orange, Sosh)
- Allez sur
livebox.homeou192.168.1.1. Connexion administrateur. - Wi-Fi → Wi-Fi invités. Activez le toggle.
- Personnalisez SSID + mot de passe. Sur la Livebox 6, vous pouvez aussi définir une durée d’activation (par défaut 24 h).
- L’isolation est activée d’office, pas besoin de toucher.
Bbox (Bouygues)
- Connexion à
192.168.1.254ou via l’app Bbox. - Wi-Fi → Wi-Fi des invités. Activez. Le SSID se nomme par défaut
Bbox-XXXX-Invité. - Définissez un mot de passe distinct. Par défaut Bouygues fournit un mot de passe aléatoire — gardez-le si vous ne savez pas en générer.
- Validez. Pas de réglage d’isolation à faire (gérée auto).
Box SFR
192.168.1.1ou app SFR & Moi.- Wi-Fi → Wi-Fi invité. Activer.
- Personnaliser le SSID (recommandé : ne pas laisser
SFR_XXXX_Invitequi révèle votre opérateur). - Mot de passe : changer le mot de passe par défaut, c’est important — voir pourquoi changer le mot de passe Wi-Fi par défaut.
Routeur tiers (Asus, Netgear, TP-Link)
Sur un routeur tiers, l’option s’appelle généralement Guest Network ou Réseau invité dans l’interface Wi-Fi. Activez-la, créez 1 ou 2 SSID invités (5 GHz et 2,4 GHz si dual-band), cochez AP Isolation (ou Client Isolation), bloquez l’accès au LAN privé. Sur Asus, c’est Guest Network → Enable Intranet Access = NO.
Quel mot de passe pour le Wi-Fi invité
Le mot de passe d’un réseau invité subit deux contraintes opposées :
- Il doit être dictable à l’oral ou scannable via QR code (votre invité doit pouvoir le rentrer en 10 secondes)
- Il doit rester résistant : un voisin curieux ou un invité mal intentionné qui essaie un wordlist doit échouer
La bonne réponse en 2026 : passphrase de 4 mots français, du type framboise-piano-velours-orage. C’est simple à dicter, plus de 60 bits d’entropie (résiste au brute-force standard WPA2), pas dans un wordlist. Notre générateur de passphrase côté client en mode Diceware sort exactement ce format en un clic, avec calcul d’entropie en temps réel.
Évitez les classiques :
- Numéro de téléphone, date de naissance, nom de l’enfant
motdepasse123,wifi2026, ou la combinaison de mots du nom de votre Wi-Fi- Le mot de passe par défaut imprimé sous la box (à changer obligatoirement)
Tableau récap : sécurité avant / après séparation
| Risque | Wi-Fi unique partagé | Wi-Fi principal + invité |
|---|---|---|
| Accès NAS / partages depuis téléphone invité | OUI (visible sur LAN) | NON (segmenté) |
| Mot de passe dans 30+ téléphones étrangers | OUI | NON (mot de passe principal jamais partagé) |
| Couper un invité = changer la clé pour tout le monde | OUI | NON (désactiver le SSID invité suffit) |
| Caméra IP compromise pivote vers PC pro | OUI | NON (isolation client) |
| Visiteur scanne votre LAN (Fing, etc.) | OUI | NON |
Cas pratiques : à qui le Wi-Fi invité
| Situation | Réseau à donner |
|---|---|
| Famille qui dort 3 jours | Invité (pas LAN) |
| Babysitter occasionnelle | Invité |
| Coloc qui partage le LAN | Principal (avec un mot de passe différent par site) |
| Caméra IP, ampoule connectée, frigo Wi-Fi | Réseau invité ou IoT dédié |
| Console de jeu enfant | Invité (limite la latence d’IoT, isole le LAN) |
| Imprimante partagée bureau perso | Principal |
Quand changer le mot de passe Wi-Fi invité
Pas tout le temps, mais systématiquement dans ces cas :
- Vous avez accueilli un invité prolongé (> 1 semaine) qui ne reviendra plus
- Vous avez vendu/donné un IoT qui était connecté au réseau invité
- Vous voyez des appareils inconnus dans la liste des clients connectés (interface box → liste équipements)
- Vous avez écrit le mot de passe sur un post-it dans l’entrée et déménagé
Le changement prend 30 secondes : nouveau mot de passe (toujours via le générateur côté client), validation, les invités présents seront déconnectés et redemanderont la clé.
FAQ — Wi-Fi invité 2026
Faut-il aussi un Wi-Fi invité quand je n’ai jamais d’invité ?
Oui, pour les objets connectés. Caméras, ampoules, jouets, frigo Wi-Fi : ils n’ont pas besoin d’accéder à votre LAN privé, juste à Internet. Mettez-les sur le réseau invité avec isolation. Si l’un est compromis, l’attaquant n’atteint pas votre PC.
Le Wi-Fi invité ralentit-il mon Wi-Fi principal ?
Sur une box moderne (2022+), l’impact est négligeable : la box a assez de RAM pour gérer deux SSID avec QoS. Les seuls cas problématiques : routeurs entrée de gamme avant 2018 ou réseaux saturés (10+ appareils principaux + 10+ invités sur la même bande 2,4 GHz). Activez le Wi-Fi invité en 5 GHz uniquement si possible : moins de portée mais moins de monde.
Mon mot de passe invité doit-il faire 16 caractères aléatoires ?
Non, dans ce cas précis la passphrase 4 mots est plus pratique sans perte de sécurité réelle. Le but du Wi-Fi invité n’est pas de tenir face à un attaquant étatique, c’est d’éviter que le voisin se connecte gratuitement et que vos invités ponctuels n’aient pas accès à votre LAN. 60 bits d’entropie suffisent largement.
Comment partager le mot de passe sans le dicter ?
Génération QR code WPA : sur Android (Paramètres → Wi-Fi → réseau → QR), sur iPhone (Réglages → Wi-Fi → réseau → Partager mot de passe avec QR). Vos invités scannent, ils sont connectés sans rien taper. Le mot de passe peut donc rester long sans gêne d’usage.
Et si ma box ne propose pas de Wi-Fi invité ?
Toutes les box françaises 2022+ le proposent. Si la vôtre ne l’a pas, deux options : (1) demander à votre opérateur de remplacer la box, (2) ajouter un routeur Wi-Fi tiers (Asus, TP-Link entrée de gamme à 50 €) qui propose le Guest Network derrière la box. Configuration : box en mode bridge si possible, sinon double NAT acceptable pour un usage domestique.
Récap — votre Wi-Fi invité en 10 minutes
- Activez le Wi-Fi invité dans l’interface de votre box (5 minutes max)
- Générez un mot de passe passphrase 4 mots avec notre générateur côté client (10 secondes)
- Activez l’isolation client + bloquez l’accès au LAN
- Migrez vos IoT (caméras, ampoules) vers ce nouveau SSID
- Donnez ce mot de passe à vos invités, jamais le mot de passe principal
- Stockez les deux dans Bitwarden (entrée Wi-Fi maison principal + Wi-Fi maison invité)
Pour finir, si vous n’avez pas encore de gestionnaire pour stocker ces deux clés Wi-Fi proprement, Bitwarden gratuit sait gérer un type Wi-Fi qui vous évite de chercher dans des notes éparses. Pour créer un mot de passe maître robuste avant d’y stocker quoi que ce soit, suivez le guide dédié.