Un ingénieur prénommé Anil Polat, ou FoXnoMad (son identifiant sur les réseaux sociaux), a récemment mis à la disposition des voyageurs une carte interactive recensant pas loin de 130 hotspots WiFi d’aéroport et les données de connexion permettant d’y accéder gratuitement. Cela n’est pas sans conséquence.
Voici le commentaire de Matthieu Dierick, spécialiste de la sécurité chez F5 Networks :
L’application proposée par cet ingénieur référence avant tout les réseaux ouverts au sein des aéroports (cafés, librairies, etc.). L’un des premières remarques que l’on peut faire c’est que l’on constate que malgré une communication régulière de la part des constructeurs et des spécialistes de la sécurité informatique, nombre de hostpots publics gratuits posent encore des risques de sécurité informatique pour les utilisateurs, mais également les fournisseurs desdits hotspots.
Au niveau utilisateur, il convient de rappeler que les réseaux WiFi ne sont pas obligatoirement chiffrés et que par défaut l’activité d’un utilisateur peut y être visible. Une personne malintentionnée pourrait ainsi « sniffer » le réseau et intercepter les communications entre l'équipement (PC, smartphone, tablette) et la borne WiFi. Cela lui permettrait ainsi de repérer les identifiants et mots de passe utilisés par une personne pour accéder à ses emails, son compte en banque, ses applications, etc. Il n’y a également aucun moyen pour l’utilisateur de savoir si le réseau utilisé n’a pas été compromis par un malware, comme dans le cas de DarkHotel par exemple. Il convient donc d’être très prudent lorsque l’on utilise un réseau public et d’utiliser des tunnels VPN SSL afin de chiffrer les contenus. Pour les voyageurs d’affaires, il n’est pas non plus inutile de rappeler qu’une entreprise peut aujourd’hui mettre en place des solutions anti-fraude qui permettent de chiffrer le mot de passe l’utilisateur et ainsi éviter le vol d’identifiant.
Certains fournisseurs de hotspot identifiés par Anil Polat commettent également des erreurs de sécurité basiques. Ainsi dans certains pays – comme en France par exemple – la réglementation prévoit que l’authentification d’un utilisateur de hostpot est obligatoire. Dans la mesure où le visiteur n’est pas identifié et identifiable, seule l’organisation est responsable des comportements déviants sur Internet. Aujourd’hui il est obligatoire pour une entreprise ou une administration d’identifier et de conserver toutes traces (logs, données de connexion, etc.) qui serviront de preuves pour poursuivre quelqu’un ou pour protéger l’entreprise de quelqu’un qui a mal agit et pour lequel la responsabilité primaire de l’entreprise est engagée. Or la plupart des hotspots de contentent de fournir un accès générique à leurs utilisateurs – sans doute pour leur faciliter l’accès à Internet – sans les authentifier par ailleurs, d’autres ne prennent pas le soin de proposer la double authentification ce qui permettrais d’empêcher un utilisateur de transmettre facilement ses identifiants/mots de passe.
Enfin, le service proposé par le hostpot sera impacté en cas de connexion trop nombreuses. Le fait d’échanger les informations de connexion contribuera alors à une saturation de la qualité de service. Cela peut donc nuire à l’image de services haut de gamme sur lequel communiquent certains lounges et autres services VIP.
Enfin il est conseillé aux utilisateurs particuliers ou professionnels de lire le « Passeport de conseils aux voyageurs de l’ANSSI ». |