À propos de ce blog

Thèmes Populaires

Dangers du Wi-Fi public : les Internautes prêts à abandonner leur enfant !

Guillaume Ortega

30.09.14 5 min de lecture

Abandonneriez-vous votre premier-né ou votre animal de compagnie préféré afin d’avoir du Wi-Fi gratuitement ? Bien sûr que non. Une évidence même ! Mais dans une enquête indépendante réalisée pour F-Secure, plusieurs personnes ont accepté ça ! Juste pour être en mesure de se connecter librement à Internet lors de leurs déplacements.
Pour cette expérience, nous avons demandé à Finn Steglich de la société de tests d’intrusion allemande, SySS, de construire un hotspot WiFi, de le mettre en place dans les rues de Londres, et d’attendre que les gens se connectent. Le but ? Découvrir la facilité déconcertante (et dangereuse !) avec laquelle les gens se connectent à un hotspot WiFi inconnu.

Et une chose est sûre : les points d’accès, eux, ne le sont pas ! Le Wi-Fi public n’a tout simplement n’a pas été construit avec les exigences de sécurité du 21ème siècle à l’esprit. Lorsque vous utilisez le Wi-Fi public sans des mesures de sécurité additionnelles, vous provoquez la fuite de vos propres données depuis votre appareil. Nous le savons, mais nous avons voulu savoir comment les gens dehors en ont conscience, si ils prennent ou non des précautions, et quel type de données ils peuvent faire fuiter.

Nous avons également demandé l’aide du journaliste indépendant Peter Warren, de l’Institut de Recherche de Cybersécurité du Royaume-Uni, venu pour documenter tout cela. Sean Sullivan, Security Advisor chez F-Secure, les a également accompagnés.

 

Fuite de données personnelles

Nous avons constaté que les gens se sont connectés plutôt facilement, ignorant que leur activité Internet était en fait espionnée par l’équipe. En à peine une demie heure, 250 appareils se sont connectés au hotspot. La plupart d’entre eux étaient probablement des connexions automatiques, sans même que leur propriétaire ne s’en rende compte. 33 personnes ont utilisé le trafic Internet, en effectuant des recherches web, l’envoi de courriels, etc… L’équipe a recueilli 32 Mo de trafic – qui ont été rapidement détruits dans l’intérêt de la vie privée des utilisateurs.

Les chercheurs étaient un peu surpris lorsqu’ils ont découvert qu’ils pouvaient réellement lire le texte de courriels envoyés sur un réseau POP3, ainsi que les adresses de l’expéditeur et du destinataire, et même le mot de passe de l’expéditeur. Et le cryptage des données ? Si vous n’en utilisez pas encore, il est grand temps !

Une clause à la Hérode

Pour une partie de l’expérience, nos trois acolytes ont mis en place une page de « Conditions Générales d’Utilisation » (CGUs), page que les internautes avaient besoin d’accepter avant de pouvoir utiliser le hotspot. L’un des termes stipule que l’utilisateur devait renoncer à son premier enfant ou bien son animal de compagnie préféré, en échange de l’utilisation gratuite du Wi-Fi. Dans le court laps de temps où la page des CGUs était active, six personnes ont accepté cette clause improbable !

Bien sûr, cet exemple illustre simplement le manque d’attention que les gens accordent à ces pages. Les CGUs sont généralement tellement longues que la plupart des gens ne prennent pas le temps de les lire, et bien souvent, elles sont difficiles à comprendre. Bien entendu, nous n’appliquerons pas de clause et les internautes ne nous donneront rien – mais cela devrait nous faire tous réfléchir : Que faisons-nous vraiment quand nous cochons la case « J’accepte » à la fin d’un longue liste de CGUs que nous ne lisons pas ? Il y a un besoin de clarté et de transparence sur ce qui est effectivement perçu ou non par l’utilisateur.

Le problème

Alors, quel est vraiment le problème ici ? Que va-t-il arriver à vos données ?

Il y a beaucoup de criminels qui aiment mettre la main sur le trafic Wi-Fi pour recueillir les noms d’utilisateur, les mots de passe, etc… Il est facile et suffisamment peu cher pour eux de mettre en place leur propre hotspot quelque part (à titre d’exemple, la configuration du point d’accès de SySS ne coûte que 200 euros), lui donner un nom crédible, et laisser venir le flux de données. Et même si le point d’accès est assuré par une entreprise ou une organisation légitime, les criminels peuvent toujours utiliser des outils “renifleurs” pour espionner le trafic Internet des autres.

Alors prenez garde : le Wi-Fi public n’est PAS sécurisé ou sécuritaire. Mais nous ne vous disons pas ne pas l’utiliser, nous vous disons ne pas l’utiliser sans sécurité adéquate. Un bon VPN vous fournira un cryptage adéquat, de façon à ce que même si quelqu’un essaie, il ne pourra pas puiser dans vos données.

La solution

F-Secure Freedome est notre solution super simple pour une sécurité Wi-Fi ou VPN. Freedome crée une connexion sécurisée et cryptée à partir de votre appareil et vous protège contre les espions, où que vous alliez et quel que soit le Wi-Fi que vous utilisiez. (Bonus: Il comprend également la protection du tracking des e-commerçants et du marketing sur Internet, la protection de la navigation pour bloquer les sites et les applications malveillantes, et vous permet de choisir votre propre emplacement virtuel, de sorte que vous pouvez afficher votre contenu Web préféré, même lorsque vous êtes à l’étranger.)

Pas encore convaincu que le Wi-Fi public comporte des risques? Jetez un œil de plus près la prochaine fois que vous êtes confronté à une page de Conditions Générales d’Utilisation pour accéder à un hotspot public. Vous constaterez qu’un bon nombre de fournisseurs de Wi-Fi public prennent le temps de vous indiquer dans leurs CGUS qu’il y a des risques inhérents à la communication sans fil et vous suggèrent même d’utiliser un VPN. On vous aura prévenu !

Lisez le rapport complet ici (en anglais): “Tainted Love: How Wi-Fi Betrays Us

Ecoutez le podcast, avec des interviews de Victor Hayes, le “Père du Wi-Fi,” Sean Sullivan de F-Secure et bien d’autres encore (en anglais)

Avertissement: Au cours de cette expérience, aucun utilisateur n’a été compromis et aucune donnée n’a été exposée afin d’être mal utilisée. Nous n’avons pas enregistré d’informations propres aux utilisateurs, et au cours de l’expérience, un avocat spécialisé a supervisé toutes nos activités pour éviter une quelconque infraction légale.

Guillaume Ortega

30.09.14 5 min de lecture

Article mis en avant

Publications connexes

Newsletter modal

Merci de votre intérêt pour F-Secure. Vous recevrez bientôt un email pour confirmer votre abonnement à la newsletter.

Gated Content modal

Félicitations – Vous pouvez maintenant accéder à votre contenu en cliquant sur le bouton ci-dessous.