L’UPnP est une suite de protocoles réseau conçue principalement pour permettre aux appareils d’un même réseau local de se découvrir et de se connecter automatiquement les uns aux autres. Si cela ressemble à un rêve pour les utilisateurs non initiés, c’est bien le cas à bien des égards.
Après tout, dans le monde ultra-connecté d’aujourd’hui, la commodité est reine. Des consoles de jeux qui se connectent sans effort à Internet aux smart TV et aux appareils IoT(nouvelle fenêtre) qui semblent “fonctionner directement” à peine sortis de leur boîte, les réseaux modernes sont conçus pour réduire les efforts de l’utilisateur. L’une des technologies qui permettent discrètement cette connectivité transparente est l’Universal Plug and Play (UPnP).
Cependant, l’UPnP est également souvent utilisé pour configurer la redirection de port sur les routeurs, ce qui permet aux appareils sur Internet d’accéder aux ressources de votre réseau local (LAN). Cette fonctionnalité (ainsi que d’autres vulnérabilités de sécurité que nous aborderons plus tard) signifie qu’il peut être judicieux de désactiver complètement l’UPnP.
Dans cet article, nous allons aborder :
- Qu’est-ce que l’UPnP ?
- Comment fonctionne l’UPnP ?
- Pourquoi l’UPnP est-il dangereux ?
- Pourquoi vous devriez désactiver l’UPnP
- Redirection de port, UPnP et VPN
- Comment désactiver l’UPnP sur les routeurs
- L’UPnP : la commodité a un prix
Qu’est-ce que l’UPnP ?
Comme son nom l’indique, l’objectif principal de l’UPnP est de rendre les appareils en réseau « plug and play » (prêts à l’emploi). En d’autres termes, lorsque vous connectez un appareil à votre réseau, il doit fonctionner directement, sans qu’il soit nécessaire de fouiller dans les paramètres de votre routeur, d’ouvrir des ports ou de manipuler des adresses IP.
L’UPnP y parvient grâce à un ensemble de protocoles réseau qui permettent aux appareils de votre réseau local, tels que les ordinateurs personnels, les imprimantes, les modems, les routeurs et les appareils mobiles, de détecter de manière transparente la présence les uns des autres sur le réseau, puis de communiquer entre eux.
L’UPnP peut également être utilisé pour configurer la redirection de port, en acheminant les connexions à travers le pare-feu de votre routeur afin que vous puissiez connecter des appareils sur Internet à des appareils de votre réseau local. Les raisons courantes de cette utilisation sont notamment les suivantes :
- Appareils IoT : par exemple, pour consulter le flux de votre caméra de sécurité, contrôler votre thermostat connecté ou gérer votre système domotique de n’importe où dans le monde.
- Serveurs multimédias domestiques : pour regarder du contenu depuis votre serveur Plex ou Jellyfin sur Internet lorsque vous n’êtes pas chez vous.
- Serveurs de jeux : pour héberger des parties multijoueurs sans payer de frais de serveurs tiers.
- Partage de fichiers P2P : pour autoriser les connexions entrantes afin d’améliorer les vitesses de téléchargement. Consultez notre Guide ultime du torrenting pour en savoir plus sur son fonctionnement.
Comment fonctionne l’UPnP ?
En termes simples, le fonctionnement de l’UPnP peut être découpé en plusieurs étapes :
- Découverte : lorsqu’un appareil est connecté à un réseau, il diffuse un message pour annoncer sa présence. Les autres appareils du réseau peuvent répondre à ce message, ce qui leur permet de se découvrir mutuellement.
- Description : une fois que les appareils se sont découverts, ils échangent des informations sur leurs capacités et leurs services. Cette étape permet aux appareils de partager des informations détaillées sur ce qu’ils peuvent faire et sur la façon dont les autres appareils peuvent interagir avec eux.
- Configuration automatique : les appareils peuvent demander automatiquement une redirection de port auprès du routeur. Par exemple, une console de jeux peut demander au routeur d’ouvrir des ports spécifiques pour pouvoir héberger des jeux multijoueurs sans intervention manuelle.
Pourquoi l’UPnP est-il dangereux ?
Bien que l’UPnP apporte une commodité indéniable, il pose également de graves problèmes de sécurité. Ce qui rend l’UPnP risqué, ce n’est pas seulement son fonctionnement, mais aussi le peu de contrôle et de visibilité dont vous disposez généralement sur ce qu’il fait en arrière-plan. Les principaux risques liés à l’UPnP sont :
Redirection de port automatique
Bien qu’elle soit conçue principalement pour connecter des appareils sur un réseau local, l’une des fonctionnalités les plus utiles de l’UPnP est sa capacité à ouvrir automatiquement des ports sur un routeur afin que les appareils de votre LAN puissent communiquer avec des appareils sur Internet. Malheureusement, les ports ouverts peuvent permettre à des acteurs malveillants d’accéder aux appareils de votre réseau local.
Il convient de noter que ce risque est également présent si vous configurez manuellement la redirection de port sur votre routeur. Cependant, si l’UPnP est activé, il peut ouvrir des ports pour configurer automatiquement plusieurs appareils (potentiellement vulnérables) sur votre réseau local, à votre insu.
Absence d’authentification
L’UPnP a été conçu pour des réseaux locaux de confiance. Il ne nécessite donc généralement aucune authentification de la part des appareils pour fonctionner. Cela signifie que n’importe quel appareil sur le même réseau (y compris ceux potentiellement compromis) peut envoyer des demandes au routeur pour ouvrir des ports ou rediriger le trafic.
Si un logiciel malveillant est présent sur un seul appareil infecté au sein de votre réseau, il peut modifier discrètement les paramètres réseau et créer des failles dans votre pare-feu à votre insu, permettant ainsi au logiciel malveillant de communiquer avec le monde extérieur. C’est ce qui s’est produit avec le célèbre botnet Mirai(nouvelle fenêtre), qui a exploité les failles de l’UPnP pour infecter des appareils IoT (comme des caméras domestiques) et des routeurs afin de lancer certaines des plus grandes attaques DDoS(nouvelle fenêtre) au monde.
Ce manque d’authentification signifie également que les logiciels malveillants peuvent facilement se propager aux appareils UPnP connectés à votre réseau local.
Risque plus élevé d’attaques par balayage de ports
En raison principalement de routeurs anciens ou mal configurés qui acceptent des connexions UPnP depuis Internet (et pas seulement locales), des millions d’appareils réseau et de routeurs(nouvelle fenêtre) sont vulnérables aux attaques DDoS et à d’autres types d’attaques.
Pourquoi vous devriez désactiver l’UPnP
L’UPnP peut vous faciliter la vie en automatisant la configuration de votre réseau, mais son manque de contrôles de sécurité et son potentiel d’abus en font une fonctionnalité à haut risque. C’est particulièrement vrai pour les routeurs grand public, où la philosophie de conception par défaut de l’UPnP « faire confiance à tout » ne correspond tout simplement pas aux meilleures pratiques de sécurité modernes et favorise la propagation des logiciels malveillants. Pour la plupart des gens, la commodité n’en vaut donc probablement pas le risque.
Le manque de visibilité sur les ports qui sont ouverts, la raison pour laquelle ils le sont et la question de savoir si vous les avez correctement fermés crée des zones d’ombre dans la sécurité de votre réseau. Cela offre un point d’entrée facile pour les logiciels malveillants et les pirates, qui peuvent alors créer des portes dérobées persistantes dans votre réseau, ou même acheminer votre trafic via des serveurs DNS contrôlés par l’attaquant (comme on a pu le voir avec le cheval de Troie Switcher(nouvelle fenêtre)).
Une bien meilleure solution consiste à configurer manuellement la redirection de port au fur et à mesure de vos besoins, afin de garder un contrôle et une visibilité complets sur les ports ouverts.
Découvrez comment configurer manuellement la redirection de port sur différents routeurs
Sachez toutefois qu’il est inutile de configurer une redirection de port sur votre routeur pour les appareils qui se connectent à un VPN (voir ci-dessous).
Redirection de port, UPnP et VPN
Lorsque vous connectez un appareil à un serveur VPN, toutes les données circulant entre l’appareil et le serveur sont acheminées via un tunnel VPN chiffré. Lors du transit par ce tunnel VPN, personne d’autre ni aucun autre appareil ne peut voir vos données.
Cela inclut votre fournisseur d’accès Internet (FAI) et, par extension, votre gouvernement, mais aussi votre propre routeur. Ainsi, lors de l’utilisation d’un VPN, la connexion contourne de fait votre routeur, rendant l’UPnP (et la redirection manuelle de port sur le routeur) obsolète. La redirection de port lors de l’utilisation d’un VPN implique l’ouverture d’un port sur le pare-feu NAT utilisé par votre fournisseur VPN pour protéger le serveur VPN, et non sur le routeur.
Si un appareil (ou une application s’exécutant sur cet appareil, comme un client BitTorrent) prend en charge l’UPnP, vous devez désactiver ce paramètre pour éviter tout conflit avec le logiciel VPN.
En savoir plus sur la redirection de port avec Proton VPN
Comment désactiver l’UPnP sur les routeurs
La désactivation de l’UPnP sur votre routeur est un processus simple, mais les étapes exactes varient selon la marque et le modèle de votre matériel. Vous trouverez ci-dessous des instructions générales pour désactiver l’UPnP sur certaines des marques de routeurs les plus courantes. Sur d’autres routeurs, les instructions seront similaires.
Pour commencer, saisissez l’adresse IP de votre routeur (généralement 192.168.1.1 ou 192.168.0.1) dans la barre d’adresse de votre navigateur et connectez-vous avec votre nom d’utilisateur et votre mot de passe admin. Ces informations figurent généralement sur une étiquette collée sur votre routeur (sauf si vous les avez modifiées). Ensuite :
Routeurs Linksys
Allez dans l’onglet Administration → UPnP → et basculez le paramètre UPnP sur Désactivé. Cliquez sur Enregistrer les paramètres pour appliquer les modifications. Il est recommandé de redémarrer votre routeur pour vous assurer que les modifications prennent effet. Pour ce faire, allez dans l’onglet Administration → Redémarrer.
Routeurs Netgear
Allez dans l’onglet Administration → UPnP → et basculez le paramètre UPnP sur Désactivé. Cliquez sur Appliquer pour enregistrer les modifications. Il est recommandé de redémarrer votre routeur pour vous assurer que les modifications prennent effet. Pour ce faire, allez dans l’onglet Maintenance → Redémarrer.
Routeurs TP-Link
Allez dans l’onglet Avancé → Redirection NAT → UPnP et basculez le paramètre UPnP sur Désactivé. Il est recommandé de redémarrer votre routeur pour vous assurer que les modifications prennent effet. Pour ce faire, allez dans l’onglet Système → Redémarrer.

Réflexions finales sur l’UPnP — la commodité a un coût
L’UPnP a été conçu avec de bonnes intentions : faciliter la mise en réseau pour le grand public en permettant aux appareils de communiquer et de se configurer automatiquement. Mais à une époque où les cybermenaces sont plus sophistiquées et fréquentes que jamais, cette commodité est également une source de vulnérabilité.
L’absence d’authentification de l’UPnP, la redirection de port et son historique d’exploitation en font une fonctionnalité risquée à laisser activée, en particulier sur les routeurs domestiques qui sont rarement surveillés ou mis à jour. Bien qu’il puisse simplifier la configuration des jeux, des appareils de streaming et des gadgets de maison connectée, il ouvre également discrètement des portes que les pirates et les logiciels malveillants se font un plaisir de franchir.
Heureusement, désactiver l’UPnP est simple, et la plupart des gens ne remarqueront aucune différence dans leur utilisation quotidienne d’Internet, en particulier si vous prenez un peu de temps pour configurer manuellement les rares services qui ont réellement besoin de ports ouverts.
C’est encore plus facile si vous utilisez Proton VPN sur vos appareils, car il vous suffit d’activer la fonctionnalité et nous ouvrirons un port adapté dans notre pare-feu VPN pour vous.
Découvrez comment utiliser la redirection de port avec Proton VPN






