L’article qui suit a largement été relayé en octobre
dernier, mais on dirait que personne n’a lu ou compris... L’expérience est pourtant
concluante et devrait inciter les utilisateurs à redoubler de vigilance. (Voyez
aussi «Surveillance intrusive»)
L’affaire Ashley Madison nous donne une autre
bonne leçon. Le thème du site est sans importance – je ne parlerai pas des
nonos qui se croyaient à l’abri alors que les gouvernements se font eux-mêmes pirater.
Le cybercrime est un business lucratif, et les pirates peuvent
se servir à volonté au bar ouvert Wifi. Mais, il existe des «pirates éthiques» qui
enseignent aux individus et aux entrepreneurs à se garer des intrusions. Comme
le mentionne l’auteur de l'article, on
ne le répétera jamais assez : ne vous branchez pas sur les réseaux
Wifi des espaces publics sans protection adéquate.
Illustration : Kristina Collantes
Auteur : Maurits
Martijn, De Correspondent;
octobre 2014
Traduction néerlandais/anglais : Jona Meijers
(Traduction/adaptation maison)
Nous avons amené un pirate dans un café et, en 20
minutes, il savait où chaque client était né, quels collèges il avait fréquentés
et les cinq dernières choses qu'il avait googlé.
Wouter Slotboom, 34 ans, transporte dans son
sac-à-dos un appareil noir, à peine plus gros qu'un paquet de cigarettes, gréé
d’une antenne. Je le rencontre dans un café au centre-ville d'Amsterdam. C'est
une journée ensoleillée et presque toutes les tables sont occupées. Certaines
personnes causent, d'autres travaillent sur leurs ordinateurs portables ou jouent
avec leurs smartphones.
Wouter sort son ordinateur portable, place le
dispositif noir sur la table et le camouffle sous un menu. Nous demandons à la
serveuse deux cafés et le mot de passe de connexion Wifi. Entre-temps, Wouter branche
le dispositif à son portable et lance certains programmes; bientôt l'écran
commence à afficher des lignes de texte vertes. Il devient peu à peu évident
que le dispositif de Wouter se connecte aux ordinateurs portables, smartphones
et tablettes des clients du café.
Sur son écran, des expressions comme «iPhone
Joris» et «Simone's MacBook» apparaissent. L'antenne du périphérique intercepte
les signaux envoyés par les ordinateurs, smartphones et tablettes autour de
nous.
Plus de texte commence à s’afficher sur l'écran.
Nous pouvons voir à quels réseaux Wifi les périphériques avaient été précédemment
connectés. Parfois, les noms de réseaux sont composés principalement de
chiffres et de lettres aléatoires, ce qui rend difficile de les situer à un endroit
précis, mais plus souvent qu'autrement, les réseaux Wifi divulguent leur localisation.
Nous apprenons que Joris est allé chez McDonald's
auparavant, qu’il a probablement passé ses vacances en Espagne (beaucoup de
noms de réseaux en espagnol), et qu’il a fait du kart-racing (il s’était
connecté au réseau local du Kart-Racing Center bien connu). Martin, un autre client
du café, s’était connecté au réseau de l'aéroport d'Heathrow et de la compagnie
American Airline Southwest. À Amsterdam, il séjourne probablement à l’hôtel White
Tulip. Il a également visité le café Bulldog.
Session 1 : Que
chacun se connecte à notre réseau fictif!
Une fois connecté au Wifi du café, Slotboom peut
fournir à tous les clients une connexion internet fictive et rediriger le trafic vers son petit appareil.
La plupart des smartphones, ordinateurs portables
et tablettes cherchent automatiquement à se connecter aux réseaux Wifi. Ils sélectionnent
préférablement un réseau où une
connexion a déjà été établie. Si vous avez ouvert une session sur le réseau
T-Mobile, dans un train par exemple, votre appareil recherchera un réseau
T-Mobile dans la région.
L’appareil de Slotboom peut enregistrer ces recherches
et prendre l’apparence d’un réseau Wifi fiable. Soudain je vois le nom de mon
réseau domestique apparaître sur la liste de disponibilités de mon iPhone, incluant
mon lieu de travail, une liste de cafés, de halls d'hôtel, de gares et d’autres
lieux publics que j'ai visités. Mon téléphone se connecte à l'un de ces réseaux
automatiquement redirigé vers le périphérique noir.
Slotboom peut également lancer un nom de réseau
fictif pour faire croire aux utilisateurs qu'ils sont réellement connectés à
celui du lieu qu'ils visitent. Si le réseau Wifi de l’endroit est composé de
lettres et de chiffres aléatoires (Fritzbox Slotboom XYZ123) il peut changer le
nom du réseau pour Starbucks par exemple. Les gens, dit-il, seront beaucoup
plus enclins à s’y connecter.
Nous voyons
de plus en plus de gens se connecter à notre réseau fictif. Le chant de la
sirène du petit périphérique noir semble irrésistible. Déjà 20 smartphones et
ordinateurs nous appartiennent. S'il le voulait, Slotboom pourrait maintenant ruiner
totalement la vie des gens connectés : il peut récupérer leurs mots de passe,
voler leur identité et piller leurs comptes bancaires. Plus tard
aujourd'hui, il me montrera comment procéder. Je lui ai donné la permission de me
pirater pour montrer ce dont il est capable, mais cela pourrait se faire à l’insu
de n’importe quelle personne disposant d'un smartphone ou d’un ordinateur
portable en quête d’une connexion Wifi.
Mis à part quelques rares exceptions, tout peut
être craqué.
L'idée que les réseaux Wifi publics ne sont pas
sécuritaires n'est pas nouvelle. Toutefois, c’est une chose qu’on ne répétera
jamais assez. On estime qu’il a plus de 1,43 milliard d'utilisateurs de
smartphones dans le monde entier, dont plus de 150 millions aux États-Unis; plus
de 92 millions d’Américains ont une tablette et plus de 155 millions un ordinateur
portable. La demande mondiale pour les ordinateurs portables et les tablettes
augmente à chaque année. En 2013, 206 millions de tablettes et 180 millions
d'ordinateurs ont été vendus dans le monde. Quiconque possède un appareil
portatif s’est sans doute connecté au moins une fois à un réseau Wifi dans un
café, un train ou un hôtel.
La bonne nouvelle est qu’il existe des réseaux
mieux protégés que d'autres; certains services de courrier électronique et de
médias sociaux utilisent des méthodes de cryptage plus sécuritaires que leurs
concurrents. Mais, passez une journée en ville avec Wouter Slotboom et vous verrez
que presque tout ce qui est connecté à un réseau Wifi peut être piraté. Une
étude menée par l’agence de sécurité Risk Based Security estime que plus de 822
millions de données confidentielles ont été divulguées à travers le monde en
2013 : numéros de cartes de crédit, dates de naissance, renseignements
médicaux, numéros de téléphone, numéros de sécurité sociale, adresses, noms
d'utilisateurs, courriels, noms et mots de passe. Soixante-cinq pour cent de
ces données provenait des États-Unis. Selon la société de sécurité informatique
Kaspersky Lab, en 2013, 37,3 millions d'utilisateurs dans le monde et 4,5
millions d'Américains ont été victimes d’hameçonnage – ou de fraude – les détails
de comptes bancaires ayant été saisis via des ordinateurs portables, des
smartphones ou des sites web piratés.
L’un après l’autre, tous les rapports indiquent
que le vol d'identité est un problème de plus en plus fréquent. Les pirates et
les cybercriminels disposent actuellement de plusieurs outils différents. Mais
la prévalence des réseaux Wifi ouverts et non sécuritaires leur rendent la
tâche extrêmement facile. Les Centre national de cyber-sécurité des Pays-Bas,
une division du ministère de la sécurité et de la justice, n'a pas diffusé cet avertissement
en vain : «Il n'est pas recommandé d'utiliser les réseaux Wifi ouverts
dans les lieux publics. Il vaut mieux éviter de les utiliser pour le travail ou
les activités financières.»
Slotboom se voit comme un «pirate éthique», un bon
gars, un mordu de technologie qui divulgue les dangers potentiels d'Internet et
de la technologie. Il enseigne aux particuliers et aux entreprises comment
mieux protéger leurs données. Comme avec moi aujourd’hui, il le fait
habituellement en démontrant à quel point il est facile de causer des dommages.
C'est en effet un jeu d'enfant : l'appareil n'est pas cher, le logiciel pour
intercepter le trafic est très facile à télécharger et à utiliser. «Vous avez
besoin de 70 euros, d'un QI moyen et d’un peu de patience, c’est tout», dit-il.
Je m'abstiens d'élaborer sur certains aspects plus techniques, tels que l’équipement,
les logiciels et les applications nécessaires pour pirater les gens.
Session 2 : Scanner
le nom, les mots de passe et l'orientation sexuelle
Nous nous rendons à un café réputé pour la beauté
de ses fleurs dessinées dans la mousse des lattes; un endroit très fréquenté par
les pigistes qui travaillent avec des ordinateurs portables. L’endroit est
bourré de clients concentrés sur leurs écrans.
Slotboom installe son équipement. Il refait les
mêmes étapes et au bout de quelques minutes, une vingtaine de périphériques
sont connectés au nôtre. Nous voyons à nouveau défiler des adresses MAC et des historiques
de connexion, et dans certains cas des noms de propriétaires. À ma demande,
nous passons à une autre étape.
Slotboom lance un autre programme (également
facile à télécharger) qui lui permet d'extraire encore plus d'information sur
les ordinateurs et les smartphones connectés. Nous pouvons voir les
spécifications des modèles de téléphone mobile (Samsung Galaxy S4), les paramètres
de langue des différents périphériques, et la version du système d'exploitation
utilisée (iOS 7.0.5). Si le système d’exploitation du périphérique est obsolète
par exemple, on sait qu’il y a des «bugs» ou des trous dans le système de sécurité
facilement exploitables. Avec ce genre d'information, vous avez tout ce qu’il
faut pour entrer dans le système d'exploitation et prendre les rênes de
l'appareil. Un échantillonnage des clients du café révèle que personne n’a la
dernière version du système d'exploitation. Tous ces systèmes ont donc un bug
connu répertorié en ligne.
Nous pouvons maintenant voir le trafic Internet des
gens qui nous entourent. Quelqu’un navigue avec un MacBook sur le site NU.nl.
Plusieurs périphériques envoient des
documents par WeTransfer, certains utilisent à Dropbox et d’autres Tumblr. Nous
voyons quelqu'un qui vient de se connecter à FourSquare. Le nom de cette
personne est également indiqué, et après l’avoir googlé, nous reconnaissons la
personne, assise à quelques mètres de nous.
L'information entre à flot, même sur les clients
qui ne sont pas en train de travailler ou de fureter. Plusieurs applications et
programmes de messagerie sont constamment en contact avec leurs serveurs – une activité
nécessaire pour qu’un périphérique récupère les nouveaux courriels. Dans
certains périphériques et programmes, nous pouvons voir l'information envoyée,
et à quel serveur.
Et maintenant, ça devient vraiment personnel. Nous
voyons l’application Gay Dating Grindr installée sur le smartphone d’un client.
Ainsi que le nom et le type de smartphone qu'il utilise (iPhone 5S). Nous nous
arrêtons là, mais ce serait un jeu d'enfant de savoir à qui appartient le
téléphone. Nous voyons quelqu'un dont le téléphone tente de se connecter à un
serveur en Russie, transmettant également le mot de passe du client que nous pourrions
intercepter.
Alternative
Session 3 : Obtenir
des informations sur l'occupation, les hobbies et les problèmes relationnels
Plusieurs applications, programmes, sites web, et certains
types de logiciels utilisent des technologies de cryptage. On s’assure ainsi
que les informations envoyées et reçues à partir d'un périphérique ne soient
pas accessibles à des yeux non autorisés. Mais si l'utilisateur est connecté au
réseau Wifi fictif de Slotboom, ces mesures de sécurité peuvent être
contournées assez facilement à l'aide d’un logiciel de décryptage.
À notre grand étonnement, nous voyons une
application envoyer des informations personnelles à une entreprise qui vend de
la publicité en ligne. Entre autres choses, les données de localisation, de l'information
technique sur le téléphone et le réseau Wifi. Nous voyons également l’identité
(prénom et nom de famille) d'une femme utilisant le bookmarking social du site
Delicious (qui permet aux utilisateurs de partager les signets qui les
intéressent). En principe, les pages que les utilisateurs de Delicious
partagent sont disponibles publiquement, mais nous ne pouvons pas nous empêcher
de nous sentir comme des voyeurs quand nous réalisons à quel point nous pouvons
en apprendre sur cette femme sur la base de cette information.
Nous entrons d'abord son nom, ce qui nous permet
de déterminer immédiatement à quoi elle ressemble et où elle est assise dans le
café. Nous apprenons qu'elle est née dans un autre pays européen et qu’elle a déménagé
récemment aux Pays-Bas. Par le biais de Delicious nous découvrons qu'elle a
visité le site Web d'un cours de langue et mis un signet pour un site web offrant
des cours d'intégration.
En moins de 20 minutes, voici ce que nous avons découvert
sur cette femme assise à trois mètres de nous : son lieu de naissance, où elle a étudié, elle s’intéresse au
yoga, elle a ajouté à ses favoris un site de mantras anti-ronflement, elle a récemment
visité la Thaïlande et le Laos, et elle a un intérêt marqué pour les sites qui
offrent des conseils pour sauver une relation.
Slotboom me montre quelques astuces
supplémentaires de piratage. À l'aide d'une application sur son téléphone, il peut
modifier des mots spécifiques sur n'importe quel site web. Par exemple, à chaque
fois que le nom «Opstelten» (un politicien hollandais) est mentionné, il est
remplacé par le nom «Dutroux» (un individu reconnu coupable de meurtres en
série), et c’est ce que les visiteurs voient sur la page. Nous avons testé et ça
fonctionne. Nous essayons un autre truc : quiconque télécharge un site Web qui inclut
des photos voit une image sélectionnée par Slotboom. Tout cela peut paraître
drôle quand on ne cherche pas à nuire, mais cela peut devenir dramatique si,
par exemple, un pirate malicieux télécharge des images de pornographie juvénile
sur le smartphone de quelqu'un d’autre – la possession de telles photos est une
infraction criminelle.
Mot de
passe intercepté
Nous visitons un autre café. Ma dernière requête :
Slotboom me montrera ce qu’il ferait s'il voulait réellement me causer du tort.
Il me demande d’ouvrir Live.com (site de messagerie Microsoft) et d’entrer un
nom d'utilisateur et un mot de passe au hasard. Quelques secondes plus tard,
l'information que je viens juste de taper apparaît sur son écran. «J'ai
maintenant les détails de connexion de ton compte de messagerie», déclare Slotboom.
«Je commencerais par changer le mot de passe de ton compte et je signalerais aux
autres comptes que tu utilises que ‘j'ai oublié mon mot de passe’. La plupart
des gens utilisent le même compte de messagerie pour tous leurs services. Ces
nouveaux mots de passe seront ensuite envoyés à ta boîte de réception, ce qui
signifie que je les aurai également à ma disposition.» Nous faisons la même chose
avec Facebook : Slotboom peut intercepter le nom de connexion et le mot de
passe que je viens d’enregistrer avec une relative facilité.
Un dernier truc : Slotboom détourne mon
trafic Internet. Par exemple, si j'essaie d'accéder à la page web de ma banque,
il demande à son programme de me réorienter vers une page qui lui appartient :
un site cloné qui semble identique à Trusted Site, mais en réalité totalement
contrôlé par Slotboom. Les pirates appellent ça usurpation DNS. L’information
que j'ai entrée sur le site est a été stockée chez le serveur appartenant à
Slotboom. En 20 minutes, il a obtenu les détails de connexion et les mots de
passe de mes comptes Live.com, SNS Bank, Facebook et DigiD.
Je ne me connecterai plus jamais à un réseau Wifi non
protégé sans prendre les précautions de sécurité nécessaires.
Cet article a paru initialement en néerlandais sur
le site journalistique De Correspondent.
Tous les noms sont fictifs, à l’exception de Wouter Slotboom. Nous avons traité
les données interceptées avec le plus grand soin et elles ont été effacées
immédiatement après notre dernière rencontre.
Source :
https://medium.com/matter/heres-why-public-wifi-is-a-public-health-hazard-dd5b8dcb55e6
Comment se protéger (en anglais) :
https://decorrespondent.nl/1103/How-to-safely-use-a-public-Wi-Fi-network/31096879-74f654ff
