Avec un petit boîtier très simple qu'il fabrique lui-même pour une somme dérisoire, un chercheur américain peut espionner la cible de son choix.
Chaque petit boîtier "creepyDOL" coûte moins de 50 dollars à produire. © Brendan O'Conner / Malice Afterthought
Depuis les révélations sur Prism, vous êtes persuadé que le gouvernement d'Obama espionne chacune de vos conversations privées ? Brendan O'Connor, un spécialiste américain en sécurité informatique, prouve que votre voisin pourrait tout aussi bien, et pour bien moins cher que la NSA, vous surveiller. Avec une simple boîte en plastique, un mini-ordinateur de la taille d'une carte de crédit à 25 euros (le Raspberry Pi) et quelques capteurs sans fil pour un total de 50 dollars, ce chercheur est capable de surveiller vos réseaux sans fil, explique le New York Times.
Avec 10 boîtiers maison, il a décidé de "s'auto-espionner", et le résultat l'a amené à qualifier lui-même son système de "terrifiant". En plaçant quelques boîtiers sur son parcours dans une avenue du centre-ville, il a pu capter l'ensemble des informations non chiffrées qui transitaient lorsqu'il se connectait à un réseau Wi-Fi public (ce qui, on le rappelle, est déconseillé). Il pouvait alors consulter son historique de navigation, voire récupérer son adresse mail ou une photo. Et même sans connecter son téléphone au moindre réseau, il pouvait suivre tout son parcours à la trace grâce aux requêtes régulières et automatiques de son iPhone à des réseaux Wi-Fi environnants.
"Terriblement facile"
"C'est très facile. Terriblement facile en fait. Cela peut être utilisé pour à peu près n'importe quoi, tout dépend du niveau de malice que vous y mettez", explique-t-il. Il imagine ainsi qu'on puisse très aisément et discrètement espionner un ex ou surveiller une manifestation. Les boîtiers, qu'il appelle les "creepyDOL", pourraient en effet récolter de précieuses données sur l'identité des participants d'un regroupement, grâce à leurs smartphones ou tablettes. "Si vous êtes une personne dans une ville, nous vous trouverons et nous le ferons pour trois fois rien", assure le chercheur, pointant du doigt que le savoir et la technologie nécessaires ne sont plus l'apanage des services secrets, mais accessibles à tous.
En plus de leur très faible prix, les boîtiers sont suffisamment petits pour être cachés sous une table ou un banc public, voire déposés par de petits drones télécommandés. Pour des raisons légales, le chercheur n'a en revanche pu mettre en pratique ses expériences qu'à son échelle personnelle, puisque toute surveillance de personnes tierces serait contraire à la loi fédérale américaine. Mais, techniquement, rien n'empêche quiconque de le faire.
Pour ne rien arranger, Brendan O'Connor propose sur son site de vendre ses petits boîtiers prêts à l'emploi. Le plus grave ? À part quelques conseils basiques de sécurité concernant les réseaux publics, il n'existe "pas vraiment" de moyen efficace de se protéger de ce type de mouchard pour les particuliers, conclut-il. À moins, évidemment, de couper son téléphone, sa tablette et son ordinateur portable.
Pourquoi il est dangereux de se connecter sur les réseaux Wi-Fi publics
En cette période de départ en vacances, beaucoup de voyageurs vont se connecter au réseau sans fil d'un bar, d'un restaurant ou d'un hôtel pour rapidement consulter leurs mails. Mais combien savent que, par ce geste anodin, ils peuvent "offrir" sans le savoir un accès direct à tous leurs comptes personnels (mail, Facebook, Twitter...) ? En l'absence de chiffrement approprié, un autre client peut très facilement prendre le contrôle de votre session, voire récupérer vos identifiants.
Le site spécialisé PCWorld.com a consacré un article à ce qu'une personne malveillante peut savoir de vous simplement en se connectant au même réseau. Pour cela, le journaliste s'est rendu au café du coin armé de son ordinateur, de son smartphone, et de quelques logiciels très faciles à trouver et à configurer. Lorsque l'on voit les résultats, on se se félicite qu'il n'ait eu "aucune mauvaise intention".
Avec un analyseur de paquets, aussi appelé "renifleur", il peut dans un premier temps très simplement voir les pages web que visitent les autres clients du café s'afficher sur son écran. Il fait aussi l'expérience d'envoyer un ou deux mails avec son smartphone : bingo, son PC les intercepte. Plus inquiétant, le nom d'utilisateur et le mot de passe sont aussi récupérés... Il continue en utilisant la messagerie instantanée de Yahoo Messenger et voit sa conversation s'afficher sur son écran d'ordinateur "renifleur". "Personne ne devrait utiliser ces services de messagerie instantanée non cryptés en espérant garder un semblant de vie privée...", regrette-t-il.
Pour la suite de sa démonstration, il va utiliser un outil encore plus simple, puisqu'il s'agit d'une simple application Android, DroidSheep. Celle-ci ne récupère pas le nom d'utilisateur ou le mot de passe de la "victime" mais permet tout simplement de prendre le contrôle de la session active d'un webmail ou d'un réseau social. Comme le montre la capture d'écran ci-dessous, le journaliste aurait pu très facilement prendre le contrôle de sessions LinkedIn, Yahoo ou Google et ainsi récupérer leurs données personnelles. Un conseil : ne vous connectez surtout pas à un réseau public pour toutes ces raisons. Quand il n'est toutefois pas possible de l'éviter, il existe quelques règles d'or à respecter pour ne pas faire face à de mauvaises surprises.
Comment se protéger des curieux sur un réseau Wi-Fi public ?
Une connexion sur un réseau Wi-Fi public est moins anodine qu'il n'y paraît : n'importe qui peut récupérer vos identifiants et vos sessions ainsi transmises sur la Toile. PCWorld.com liste quelques-uns des gestes incontournables pour éviter les mauvaises surprises :
- À chaque connexion sur un site, il faut s'assurer que celle-ci est bien chiffrée. Pour en avoir le coeur net, vérifiez que l'adresse commence par "https" et non "http", et que l'icône d'un petit cadenas est présente (peut varier en fonction du navigateur).
- Vérifiez que la connexion reste sécurisée. Certains sites (dont Facebook) ont une page de connexion chiffrée puis repassent sur une page classique ensuite. Vous pouvez configurer cela dans les paramètres de Facebook par exemple.
- Vérifiez que votre service mail (comme Outlook ou un webmail type Gmail) utilise le chiffrement.
- N'utilisez pas de services FTP non chiffrés (ce qui est le cas la plupart du temps).
- Utilisez un VPN pour assurer le chiffrement de toutes les données que vous envoyez ou recevez (parfois payant).
- Attention aux réseaux privés : certains sont tout aussi vulnérables que les réseaux publics. Par exemple, n'importe quelle personne qui a le mot de passe de votre réseau Wi-Fi, personnel ou d'entreprise, peut utiliser l'analyse de paquet pour accéder à vos sessions.
Aucune de ces recommandations ne permet d'être anonyme sur Internet, ni même complètement à l'abri d'une personne malveillante, elles permettent simplement d'assurer un niveau de sécurité basique.
Le site spécialisé PCWorld.com a consacré un article à ce qu'une personne malveillante peut savoir de vous simplement en se connectant au même réseau. Pour cela, le journaliste s'est rendu au café du coin armé de son ordinateur, de son smartphone, et de quelques logiciels très faciles à trouver et à configurer. Lorsque l'on voit les résultats, on se se félicite qu'il n'ait eu "aucune mauvaise intention".
Mails interceptés en quelques minutes
Pour la suite de sa démonstration, il va utiliser un outil encore plus simple, puisqu'il s'agit d'une simple application Android, DroidSheep. Celle-ci ne récupère pas le nom d'utilisateur ou le mot de passe de la "victime" mais permet tout simplement de prendre le contrôle de la session active d'un webmail ou d'un réseau social. Comme le montre la capture d'écran ci-dessous, le journaliste aurait pu très facilement prendre le contrôle de sessions LinkedIn, Yahoo ou Google et ainsi récupérer leurs données personnelles. Un conseil : ne vous connectez surtout pas à un réseau public pour toutes ces raisons. Quand il n'est toutefois pas possible de l'éviter, il existe quelques règles d'or à respecter pour ne pas faire face à de mauvaises surprises.
Comment se protéger des curieux sur un réseau Wi-Fi public ?
Une connexion sur un réseau Wi-Fi public est moins anodine qu'il n'y paraît : n'importe qui peut récupérer vos identifiants et vos sessions ainsi transmises sur la Toile. PCWorld.com liste quelques-uns des gestes incontournables pour éviter les mauvaises surprises :
- À chaque connexion sur un site, il faut s'assurer que celle-ci est bien chiffrée. Pour en avoir le coeur net, vérifiez que l'adresse commence par "https" et non "http", et que l'icône d'un petit cadenas est présente (peut varier en fonction du navigateur).
- Vérifiez que la connexion reste sécurisée. Certains sites (dont Facebook) ont une page de connexion chiffrée puis repassent sur une page classique ensuite. Vous pouvez configurer cela dans les paramètres de Facebook par exemple.
- Vérifiez que votre service mail (comme Outlook ou un webmail type Gmail) utilise le chiffrement.
- N'utilisez pas de services FTP non chiffrés (ce qui est le cas la plupart du temps).
- Utilisez un VPN pour assurer le chiffrement de toutes les données que vous envoyez ou recevez (parfois payant).
- Attention aux réseaux privés : certains sont tout aussi vulnérables que les réseaux publics. Par exemple, n'importe quelle personne qui a le mot de passe de votre réseau Wi-Fi, personnel ou d'entreprise, peut utiliser l'analyse de paquet pour accéder à vos sessions.
Aucune de ces recommandations ne permet d'être anonyme sur Internet, ni même complètement à l'abri d'une personne malveillante, elles permettent simplement d'assurer un niveau de sécurité basique.
Egger Ph.