Une connexion sur un réseau Wi-Fi public est moins anodine qu'il n'y paraît : n'importe qui peut récupérer vos identifiants et vos sessions.
En cette période de départ en vacances, beaucoup de voyageurs vont se connecter au réseau sans fil d'un bar, d'un restaurant ou d'un hôtel pour rapidement consulter leurs mails. Mais combien savent que, par ce geste anodin, ils peuvent "offrir" sans le savoir un accès direct à tous leurs comptes personnels (mail, Facebook, Twitter...) ? En l'absence de chiffrement approprié, un autre client peut très facilement prendre le contrôle de votre session, voire récupérer vos identifiants.
Le site spécialisé PCWorld.com a consacré un article à ce qu'une personne malveillante peut savoir de vous simplement en se connectant au même réseau. Pour cela, le journaliste s'est rendu au café du coin armé de son ordinateur, de son smartphone, et de quelques logiciels très faciles à trouver et à configurer. Lorsque l'on voit les résultats, on se se félicite qu'il n'ait eu "aucune mauvaise intention".
Mails interceptés en quelques minutes
Avec un analyseur de paquets, aussi appelé "renifleur", il peut dans un premier temps très simplement voir les pages web que visitent les autres clients du café s'afficher sur son écran. Il fait aussi l'expérience d'envoyer un ou deux mails avec son smartphone : bingo, son PC les intercepte. Plus inquiétant, le nom d'utilisateur et le mot de passe sont aussi récupérés... Il continue en utilisant la messagerie instantanée de Yahoo Messenger et voit sa conversation s'afficher sur son écran d'ordinateur "renifleur". "Personne ne devrait utiliser ces services de messagerie instantanée non cryptés en espérant garder un semblant de vie privée...", regrette-t-il.Pour la suite de sa démonstration, il va utiliser un outil encore plus simple, puisqu'il s'agit d'une simple application Android, DroidSheep. Celle-ci ne récupère pas le nom d'utilisateur ou le mot de passe de la "victime" mais permet tout simplement de prendre le contrôle de la session active d'un webmail ou d'un réseau social. Comme le montre la capture d'écran ci-dessous, le journaliste aurait pu très facilement prendre le contrôle de sessions LinkedIn, Yahoo ou Google et ainsi récupérer leurs données personnelles. Un conseil : ne vous connectez surtout pas à un réseau public pour toutes ces raisons. Quand il n'est toutefois pas possible de l'éviter, il existe quelques règles d'or à respecter pour ne pas faire face à de mauvaises surprises.
Comment se protéger des curieux sur un réseau Wi-Fi public ?
Pour ne pas s'exposer au risque de se faire voler ses identifiants en se connectant à un réseau Wi-Fi public, voici quelques pistes de protection.
Une connexion sur un réseau Wi-Fi public est moins anodine qu'il n'y paraît : n'importe qui peut récupérer vos identifiants et vos sessions ainsi transmises sur la Toile. PCWorld.com liste quelques-uns des gestes incontournables pour éviter les mauvaises surprises :
- À chaque connexion sur un site, il faut s'assurer que celle-ci est bien chiffrée. Pour en avoir le coeur net, vérifiez que l'adresse commence par "https" et non "http", et que l'icône d'un petit cadenas est présente (peut varier en fonction du navigateur).
- Vérifiez que la connexion reste sécurisée. Certains sites (dont Facebook) ont une page de connexion chiffrée puis repassent sur une page classique ensuite. Vous pouvez configurer cela dans les paramètres de Facebook par exemple.
- Vérifiez que votre service mail (comme Outlook ou un webmail type Gmail) utilise le chiffrement.
- N'utilisez pas de services FTP non chiffrés (ce qui est le cas la plupart du temps).
- Utilisez un VPN pour assurer le chiffrement de toutes les données que vous envoyez ou recevez (parfois payant).
- Attention aux réseaux privés : certains sont tout aussi vulnérables que les réseaux publics. Par exemple, n'importe quelle personne qui a le mot de passe de votre réseau Wi-Fi, personnel ou d'entreprise, peut utiliser l'analyse de paquet pour accéder à vos sessions.
Aucune de ces recommandations ne permet d'être anonyme sur Internet, ni même complètement à l'abri d'une personne malveillante, elles permettent simplement d'assurer un niveau de sécurité basique.
- À chaque connexion sur un site, il faut s'assurer que celle-ci est bien chiffrée. Pour en avoir le coeur net, vérifiez que l'adresse commence par "https" et non "http", et que l'icône d'un petit cadenas est présente (peut varier en fonction du navigateur).
- Vérifiez que la connexion reste sécurisée. Certains sites (dont Facebook) ont une page de connexion chiffrée puis repassent sur une page classique ensuite. Vous pouvez configurer cela dans les paramètres de Facebook par exemple.- Vérifiez que votre service mail (comme Outlook ou un webmail type Gmail) utilise le chiffrement.
- N'utilisez pas de services FTP non chiffrés (ce qui est le cas la plupart du temps).
- Utilisez un VPN pour assurer le chiffrement de toutes les données que vous envoyez ou recevez (parfois payant).
- Attention aux réseaux privés : certains sont tout aussi vulnérables que les réseaux publics. Par exemple, n'importe quelle personne qui a le mot de passe de votre réseau Wi-Fi, personnel ou d'entreprise, peut utiliser l'analyse de paquet pour accéder à vos sessions.
Aucune de ces recommandations ne permet d'être anonyme sur Internet, ni même complètement à l'abri d'une personne malveillante, elles permettent simplement d'assurer un niveau de sécurité basique.
