En vacances, méfiez-vous du wi-fi gratuit

En vacances, méfiez-vous du wi-fi gratuit

High-tech
DirectLCI
J'AI TESTÉ - Pratique, le wi-fi ouvert que vous offrent les lieux publics est aussi une opportunité pour des pirates de s'attaquer à vos données. On a testé certains outils pour hackers en herbe.

Sur les quais de gare, dans les halls d'aéroport, les bars d'hôtels, parfois même dans certains avions, le wi-fi est partout, comme une oasis sur laquelle se rueraient les voyageurs en mal de connexion. S'il faut souvent s'identifier sur une page d'accueil avant d'y accéder vraiment, la connexion, elle, est ouverte, sans mot de passe, et donc en clair. Une facilité qui est aussi une faille dont peuvent profiter d'autres utilisateurs, beaucoup moins bien intentionnés.


Plus le lieu est fréquenté par des personnes de passage - notamment par des étrangers qui préféreront épargner leur connexion mobile - plus il y aura de chances d'être ciblé par des attaques. Dans le haut du panier des cibles de choix, les salons d'aéroports, les gares, les halls de grands hôtels, et tous les endroits où l'on vient travailler, du Starbucks aux espaces de co-working qui éclosent aujourd'hui, même si ces derniers ont d'ordinaire des connexions protégées par mot de passe.

"Free airport wi-fi" : le hacking pour les nuls

Hacker un réseau sans fil, il y a des machines pour ça, comme le "Wi-fi Pineapple", une sorte de grosse clé USB à deux antennes, vendue aux Etats-Unis pour une centaine de dollars ; une machine pensée pour aider les responsables réseau à éprouver la sécurité de leurs propres systèmes et que nous avons utilisé pour nos tests. Schématiquement, l'appareil est un petit ordinateur (voir photo ci-dessous), qui peut fonctionner grâce à une batterie externe, un tout petit PC qui embarque deux connexions wi-fi. De quoi en faire un vrai petit couteau suisse. 

Selon le but recherché, il existe plusieurs manières de hacker un réseau wi-fi, mais ce que l'appareil simplifie singulièrement, c'est ce que les spécialistes appellent une attaque "Man In The Middle", ou comment vous, le hacker, devenez l'interface, l'intermédiaire, entre les internautes et l'internet. Pour ce faire, le Pineapple va se faire passer pour le wi-fi auquel vous voulez vous connecter, il peut même en cloner la page d'accueil. Même si vous ne vous êtes pas connectés à un réseau wi-fi, il peut écouter les requêtes de votre smartphone qui cherche constamment à se connecter à des réseaux déjà connus, et se faire passer pour eux en temps réel. Et vous voilà, à votre insu, connecté à un réseau malveillant. Pour votre ordinateur ou votre smartphone, rien ne diffère, difficile de déceler l'attaque au premier abord. Pourtant, vous avez tout à y perdre.

Parmi les données les plus simples à capturer, les identifiants de connexion, quand vous vous connectez au wi-fi ouvert d'un hôtel par exemple. Rien de très personnel, le formulaire demande pour l'essentiel votre nom de famille et votre numéro de chambre, deux informations à l'aide desquelles celui qui les interceptera pourra éviter de payer le wi-fi à son tour ou, mieux encore, mettre à votre nom, et sur votre facture, ses consommations dans les bars et restaurants de l'hôtel. Mais il y a plus complexe, et plus alarmant. 

Mot de passe Gmail

Parmi les trophées de choix que peut rechercher un pirate, il peut y avoir vos identifiants cruciaux, votre mot de passe Gmail, votre compte Facebook, tout ce qui touche à vos comptes bancaires, ceux aussi qui vous permettent de vous connecter à votre entreprise par exemple. Depuis quelque temps, la bonne nouvelle c'est que l'essentiel des sites majeurs, pour le mail, les réseaux sociaux, les banques et le reste, utilisent une connexion chiffrée, des adresses https://, bref, ce qui se passe entre eux et vous n'est pas lisible en clair. Apple l'a rendu obligatoire depuis 2016 pour les applications sous iOS, Google avertira bientôt les utilisateurs du navigateur Chrome de toute connexion à un site qui n'utiliserait pas le chiffrement SSL.


Vous seriez donc toujours - ou presque - protégés par défaut ? Pas forcément, car la mauvaise nouvelle, c'est qu'en s'interposant entre vous et l'internet, des outils comme le Wi-fi Pineapple permettent des attaques sur ces connexions : dans la panoplie des outils disponibles, on en trouve plusieurs, comme SSLstrip, qui permettent de filtrer les connexions chiffrées, et de tenter de vous forcer à vous connecter sur la version "en clair" d'un site ; version qui permettrait d'écouter le contenu de vos échanges.

Protégez-vous, ou préférez la 4G

S'il est difficile d'imaginer se passer à jamais du wi-fi, il y a plusieurs choses que vous pouvez faire pour vous protéger de ses vulnérabilités majeures :


- D'abord, et puisque n'importe qui peut se faire passer pour l'un de vos réseaux wi-fi préférés, pensez à couper le wi-fi sur votre smartphone quand vous ne l'utilisez pas. 


- En mobilité, pensez aussi à jeter un œil sur le réseau sur lequel il s'est connecté par défaut. Si vous êtes à New-York mais que votre smartphone pense être connecté au wi-fi de la Gare Montparnasse, c'est qu'un pirate se fait passer pour l'un de vos réseaux wi-fi favoris.


- Si votre forfait le permet, en mobilité, la 4G est votre amie. Si l'on peut se faire passer pour votre opérateur, cela demande des compétences moins triviales et du matériel bien plus cher.


- Dans les hôtels et ailleurs, demandez si, à côté du réseau ouvert, il en existe un, chiffré, qui ne soit accessible qu'avec un mot de passe. 


- Si vous voyagez beaucoup, si vous devez utiliser régulièrement des connexions wi-fi ouvertes, le risque est trop grand. Il vous faut alors un VPN, un service qui chiffrera toutes vos connexions, les mettant à l'abri de l'essentiel des attaques. Évitez cependant les services de VPN gratuits, dont le modèle est d'ordinaire basé sur l'exploitation commerciale de vos données de connexion, ce qui est un peu l'inverse du but recherché.


- Enfin, par acquis de conscience, au moment de rentrer vos identifiants sur vos services habituels sur le web, jetez un œil sur la barre d'adresses, pour vérifier que le site est sécurisé.

Sur le même sujet

Plus d'articles

Lire et commenter