12 avril 2017

Dans la foulée du piratage de données

Ce piratage Wifi si répandu...
 
À relire
 
Publié le 29 août 2015
 
L’article qui suit a largement été relayé en octobre  2014, mais on dirait que personne n’a lu ou compris... L’expérience est pourtant concluante et devrait inciter les utilisateurs à redoubler de vigilance. (Voyez aussi «Surveillance intrusive») 

L’affaire Ashley Madison nous donne une autre bonne leçon. Le thème du site est sans importance – je ne parlerai pas des nonos qui se croyaient à l’abri alors que les gouvernements se font eux-mêmes pirater.

Le cybercrime est un business lucratif, et les pirates peuvent se servir à volonté au bar ouvert Wifi. Mais, il existe des «pirates éthiques» qui enseignent aux individus et aux entrepreneurs à se garer des intrusions. Comme le mentionne l’auteur de l'article, on ne le répétera jamais assez : ne vous branchez pas sur les réseaux Wifi des espaces publics sans protection adéquate.
 
Illustration : Kristina Collantes

Auteur : Maurits Martijn, De Correspondent; octobre 2014
Traduction néerlandais/anglais : Jona Meijers
 
(Traduction/adaptation maison)

Nous avons amené un pirate dans un café et, en 20 minutes, il savait où chaque client était né, quels collèges il avait fréquentés et les cinq dernières choses qu'il avait googlées.

Wouter Slotboom, 34 ans, transporte dans son sac-à-dos un appareil noir, à peine plus gros qu'un paquet de cigarettes, gréé d’une antenne. Je le rencontre dans un café au centre-ville d'Amsterdam. C'est une journée ensoleillée et presque toutes les tables sont occupées. Certaines personnes causent, d'autres travaillent sur leurs ordinateurs portables ou jouent avec leurs smartphones.

Wouter sort son ordinateur portable, place le dispositif noir sur la table et le camouffle sous un menu. Nous demandons à la serveuse deux cafés et le mot de passe de connexion Wifi. Entre-temps, Wouter branche le dispositif à son portable et lance certains programmes; bientôt l'écran commence à afficher des lignes de texte vertes. Il devient peu à peu évident que le dispositif de Wouter se connecte aux ordinateurs portables, smartphones et tablettes des clients du café.

Sur son écran, des expressions comme «iPhone Joris» et «Simone's MacBook» apparaissent. L'antenne du périphérique intercepte les signaux envoyés par les ordinateurs, smartphones et tablettes autour de nous.

Plus de texte commence à s’afficher sur l'écran. Nous pouvons voir à quels réseaux Wifi les périphériques avaient été précédemment connectés. Parfois, les noms de réseaux sont composés principalement de chiffres et de lettres aléatoires, ce qui rend difficile de les situer à un endroit précis, mais plus souvent qu'autrement, les réseaux Wifi divulguent leur localisation.

Nous apprenons que Joris est allé chez McDonald's auparavant, qu’il a probablement passé ses vacances en Espagne (beaucoup de noms de réseaux en espagnol), et qu’il a fait du kart-racing (il s’était connecté au réseau local du Kart-Racing Center bien connu). Martin, un autre client du café, s’était connecté au réseau de l'aéroport d'Heathrow et de la compagnie American Airline Southwest. À Amsterdam, il séjourne probablement à l’hôtel White Tulip. Il a également visité le café Bulldog.

Session 1 : Que chacun se connecte à notre réseau fictif!

Une fois connecté au Wifi du café, Slotboom peut fournir à tous les clients une connexion internet fictive et rediriger le trafic vers son petit appareil.

La plupart des smartphones, ordinateurs portables et tablettes cherchent automatiquement à se connecter aux réseaux Wifi. Ils sélectionnent préférablement un réseau où une connexion a déjà été établie. Si vous avez ouvert une session sur le réseau T-Mobile, dans un train par exemple, votre appareil recherchera un réseau T-Mobile dans la région.

L’appareil de Slotboom peut enregistrer ces recherches et prendre l’apparence d’un réseau Wifi fiable. Soudain je vois le nom de mon réseau domestique apparaître sur la liste de disponibilités de mon iPhone, incluant mon lieu de travail, une liste de cafés, de halls d'hôtel, de gares et d’autres lieux publics que j'ai visités. Mon téléphone se connecte à l'un de ces réseaux automatiquement redirigé vers le périphérique noir.

Slotboom peut également lancer un nom de réseau fictif pour faire croire aux utilisateurs qu'ils sont réellement connectés à celui du lieu qu'ils visitent. Si le réseau Wifi de l’endroit est composé de lettres et de chiffres aléatoires (Fritzbox Slotboom XYZ123) il peut changer le nom du réseau pour Starbucks par exemple. Les gens, dit-il, seront beaucoup plus enclins à s’y connecter.

Nous voyons de plus en plus de gens se connecter à notre réseau fictif. Le chant de la sirène du petit périphérique noir semble irrésistible. Déjà 20 smartphones et ordinateurs nous appartiennent. S'il le voulait, Slotboom pourrait maintenant ruiner totalement la vie des gens connectés : il peut récupérer leurs mots de passe, voler leur identité et piller leurs comptes bancaires. Plus tard aujourd'hui, il me montrera comment procéder. Je lui ai donné la permission de me pirater pour démontrer ce dont il est capable, mais cela pourrait se faire à l’insu de n’importe quelle personne disposant d'un smartphone ou d’un ordinateur portable en quête d’une connexion Wifi.

Mis à part quelques rares exceptions, tout peut être craqué.

L'idée que les réseaux Wifi publics ne sont pas sécuritaires n'est pas nouvelle. Toutefois, c’est une chose qu’on ne répétera jamais assez. On estime qu’il a plus de 1,43 milliard d'utilisateurs de smartphones dans le monde entier, dont plus de 150 millions aux États-Unis; plus de 92 millions d’Américains ont une tablette et plus de 155 millions un ordinateur portable. La demande mondiale pour les ordinateurs portables et les tablettes augmente à chaque année. En 2013, 206 millions de tablettes et 180 millions d'ordinateurs ont été vendus dans le monde. Quiconque possède un appareil portatif s’est sans doute connecté au moins une fois à un réseau Wifi dans un café, un train ou un hôtel.

La bonne nouvelle est qu’il existe des réseaux mieux protégés que d'autres; certains services de courrier électronique et de médias sociaux utilisent des méthodes de cryptage plus sécuritaires que leurs concurrents. Mais, passez une journée en ville avec Wouter Slotboom et vous verrez que presque tout ce qui est connecté à un réseau Wifi peut être piraté. Une étude menée par l’agence de sécurité Risk Based Security estime que plus de 822 millions de données confidentielles ont été divulguées à travers le monde en 2013 : numéros de cartes de crédit, dates de naissance, renseignements médicaux, numéros de téléphone, numéros de sécurité sociale, adresses, noms d'utilisateurs, courriels, noms et mots de passe. Soixante-cinq pour cent de ces données provenait des États-Unis. Selon la société de sécurité informatique Kaspersky Lab, en 2013, 37,3 millions d'utilisateurs dans le monde et 4,5 millions d'Américains ont été victimes d’hameçonnage – ou de fraude – les détails de comptes bancaires ayant été saisis via des ordinateurs portables, des smartphones ou des sites web piratés.

L’un après l’autre, tous les rapports indiquent que le vol d'identité est un problème de plus en plus fréquent. Les pirates et les cybercriminels disposent actuellement de plusieurs outils différents. Mais la prévalence des réseaux Wifi ouverts et non sécuritaires leur rendent la tâche extrêmement facile. Les Centre national de cyber-sécurité des Pays-Bas, une division du ministère de la sécurité et de la justice, n'a pas diffusé cet avertissement en vain : «Il n'est pas recommandé d'utiliser les réseaux Wifi ouverts dans les lieux publics. Il vaut mieux éviter de les utiliser pour le travail ou les activités financières.»

Slotboom se voit comme un «pirate éthique», un bon gars, un mordu de technologie qui divulgue les dangers potentiels d'Internet et de la technologie. Il enseigne aux particuliers et aux entreprises comment mieux protéger leurs données. Comme avec moi aujourd’hui, il le fait habituellement en démontrant à quel point il est facile de causer des dommages. C'est en effet un jeu d'enfant : l'appareil n'est pas cher, le logiciel pour intercepter le trafic est très facile à télécharger et à utiliser. «Vous avez besoin de 70 euros, d'un QI moyen et d’un peu de patience, c’est tout», dit-il. Je m'abstiens d'élaborer sur certains aspects plus techniques, tels que l’équipement, les logiciels et les applications nécessaires pour pirater les gens.

Session 2 : Scanner le nom, les mots de passe et l'orientation sexuelle

Nous nous rendons à un café réputé pour la beauté de ses fleurs dessinées dans la mousse des lattes; un endroit très fréquenté par les pigistes qui travaillent avec des ordinateurs portables. L’endroit est bourré de clients concentrés sur leurs écrans.

Slotboom installe son équipement. Il refait les mêmes étapes et au bout de quelques minutes, une vingtaine de périphériques sont connectés au nôtre. Nous voyons à nouveau défiler des adresses MAC et des historiques de connexion, et dans certains cas des noms de propriétaires. À ma demande, nous passons à une autre étape.

Slotboom lance un autre programme (également facile à télécharger) qui lui permet d'extraire encore plus d'information sur les ordinateurs et les smartphones connectés. Nous pouvons voir les spécifications des modèles de téléphone mobile (Samsung Galaxy S4), les paramètres de langue des différents périphériques, et la version du système d'exploitation utilisée (iOS 7.0.5). Si le système d’exploitation du périphérique est obsolète par exemple, on sait qu’il y a des «bugs» ou des trous dans le système de sécurité facilement exploitables. Avec ce genre d'information, vous avez tout ce qu’il faut pour entrer dans le système d'exploitation et prendre les rênes de l'appareil. Un échantillonnage des clients du café révèle que personne n’a la dernière version du système d'exploitation. Tous ces systèmes ont donc un bug connu répertorié en ligne.

Nous pouvons maintenant voir le trafic Internet des gens qui nous entourent. Quelqu’un navigue avec un MacBook sur le site NU.nl. Plusieurs  périphériques envoient des documents par WeTransfer, certains utilisent à Dropbox et d’autres Tumblr. Nous voyons quelqu'un qui vient de se connecter à FourSquare. Le nom de cette personne est également indiqué, et après l’avoir googlé, nous reconnaissons la personne, assise à quelques mètres de nous.

L'information entre à flot, même sur les clients qui ne sont pas en train de travailler ou de fureter. Plusieurs applications et programmes de messagerie sont constamment en contact avec leurs serveurs – une activité nécessaire pour qu’un périphérique récupère les nouveaux courriels. Dans certains périphériques et programmes, nous pouvons voir l'information envoyée, et à quel serveur.

Et maintenant, ça devient vraiment personnel. Nous voyons l’application Gay Dating Grindr installée sur le smartphone d’un client. Ainsi que le nom et le type de smartphone qu'il utilise (iPhone 5S). Nous nous arrêtons là, mais ce serait un jeu d'enfant de savoir à qui appartient le téléphone. Nous voyons quelqu'un dont le téléphone tente de se connecter à un serveur en Russie, transmettant également le mot de passe du client que nous pourrions intercepter.

Session 3 : Obtenir des informations sur l'occupation, les hobbies et les problèmes relationnels

Plusieurs applications, programmes, sites web, et certains types de logiciels utilisent des technologies de cryptage. On s’assure ainsi que les informations envoyées et reçues à partir d'un périphérique ne soient pas accessibles à des yeux non autorisés. Mais si l'utilisateur est connecté au réseau Wifi fictif de Slotboom, ces mesures de sécurité peuvent être contournées assez facilement à l'aide d’un logiciel de décryptage.

À notre grand étonnement, nous voyons une application envoyer des informations personnelles à une entreprise qui vend de la publicité en ligne. Entre autres choses, les données de localisation, et de l'information technique sur le téléphone et le réseau Wifi. Nous voyons également l’identité (prénom et nom de famille) d'une femme utilisant le bookmarking social du site Delicious (qui permet aux utilisateurs de partager les signets qui les intéressent). En principe, les pages que les utilisateurs de Delicious partagent sont disponibles publiquement, mais nous ne pouvons pas nous empêcher de nous sentir comme des voyeurs quand nous réalisons à quel point nous pouvons en apprendre sur cette femme sur la base de cette information.

Nous entrons d'abord son nom, ce qui nous permet de déterminer immédiatement à quoi elle ressemble et où elle est assise dans le café. Nous apprenons qu'elle est née dans un autre pays européen et qu’elle a déménagé récemment aux Pays-Bas. Par le biais de Delicious nous découvrons qu'elle a visité le site Web d'un cours de langue et mis un signet pour un site web offrant des cours d'intégration.

En moins de 20 minutes, voici ce que nous avons découvert sur cette femme assise à trois mètres de nous : son lieu de naissance, où elle a étudié, elle s’intéresse au yoga, elle a ajouté à ses favoris un site de mantras anti-ronflement, elle a récemment visité la Thaïlande et le Laos, et enfin elle a un intérêt marqué pour les sites qui offrent des conseils pour sauver une relation.

Slotboom me montre quelques astuces supplémentaires de piratage. À l'aide d'une application sur son téléphone, il peut modifier des mots spécifiques sur n'importe quel site web. Par exemple, à chaque fois que le nom «Opstelten» (un politicien hollandais) est mentionné, il est remplacé par le nom «Dutroux» (un individu reconnu coupable de meurtres en série), et c’est ce que les visiteurs voient sur la page. Nous avons testé et ça fonctionne. Nous essayons un autre truc : quiconque télécharge un site Web qui inclut des photos voit une image sélectionnée par Slotboom. Tout cela peut paraître drôle quand on ne cherche pas à nuire, mais cela peut devenir dramatique si, par exemple, un pirate malicieux télécharge des images de pornographie juvénile sur le smartphone de quelqu'un d’autre – la possession de telles photos est une infraction criminelle.

Mot de passe intercepté

Nous visitons un autre café. Ma dernière requête : Slotboom me montrera ce qu’il ferait s'il voulait réellement me causer du tort. Il me demande d’ouvrir Live.com (site de messagerie Microsoft) et d’entrer un nom d'utilisateur et un mot de passe au hasard. Quelques secondes plus tard, l'information que je viens juste de taper apparaît sur son écran. «J'ai maintenant les détails de connexion de ton compte de messagerie», déclare Slotboom. «Je commencerais par changer le mot de passe de ton compte et je signalerais aux autres comptes que tu utilises que ‘j'ai oublié mon mot de passe’. La plupart des gens utilisent le même compte de messagerie pour tous leurs services. Ces nouveaux mots de passe seront ensuite envoyés à ta boîte de réception, ce qui signifie que je les aurai également à ma disposition.» Nous faisons la même chose avec Facebook : Slotboom peut intercepter le nom de connexion et le mot de passe que je viens d’enregistrer avec une relative facilité.

Un dernier truc : Slotboom détourne mon trafic Internet. Par exemple, si j'essaie d'accéder à la page web de ma banque, il demande à son programme de me réorienter vers une page qui lui appartient : un site cloné qui semble identique à Trusted Site, mais en réalité totalement contrôlé par Slotboom. Les pirates appellent ça usurpation DNS. L’information que j'ai entrée sur le site est a été stockée chez le serveur appartenant à Slotboom. En 20 minutes, il a obtenu les détails de connexion et les mots de passe de mes comptes Live.com, SNS Bank, Facebook et DigiD.

Je ne me connecterai plus jamais à un réseau Wifi non protégé sans prendre les précautions de sécurité nécessaires.

Cet article a paru initialement en néerlandais sur le site journalistique De Correspondent. Tous les noms sont fictifs, à l’exception de Wouter Slotboom. Nous avons traité les données interceptées avec le plus grand soin et elles ont été effacées immédiatement après notre dernière rencontre.

Source (en anglais) : Maybe Better If You Don't Read This Story on Public WiFi
We took a hacker to a café and, in 20 minutes, he knew where everyone else was born, what schools they attended, and the last five things they googled.
https://medium.com/matter/heres-why-public-wifi-is-a-public-health-hazard-dd5b8dcb55e6

Comment se protéger (en anglais) :
https://decorrespondent.nl/1103/How-to-safely-use-a-public-Wi-Fi-network/31096879-74f654ff

Aucun commentaire:

Publier un commentaire