Halfpoint - stock.adobe.com
Toujours plus de raisons de se méfier du Wi-Fi gratuit
Les points d’accès sans fil publics sont assurément séduisants. Mais entre configurations laxistes, insouciance, vulnérabilités et efficacité parfois limitée des outils de protection, les raisons ne manquent pas de s’en méfier.
C’était début 2013 : en attendant mon vol à l’aéroport de San Francisco, je parcourais le réseau Wi-Fi permettant d’accéder gratuitement à Internet. Sans véritable surprise, j’y ai découvert de nombreux ordinateurs d’autres voyageurs, dont certains partageaient librement et ouvertement leurs fichiers sur le réseau, sans la moindre couche d’authentification. Et cela jusqu’au patron d’une startup européenne qui donnait ainsi accès à des documents financiers, aux côtés de fichiers Torrent et autres films et séries téléchargés sur Internet.
Ce type d’incident est loin d’être isolé. Ce genre de découverte est fréquent sur les salons professionnels. Ainsi, à l’occasion d’une édition de Citrix Synergy, je suis tombé sur le MacBook Pro d’un employé de l’éditeur. Configuré par défaut pour s’annoncer sur le réseau, l’ordinateur indiquait clairement le nom de son utilisateur. C’est sur Facebook que je l’ai trouvé et contacté pour l’alerter sur tout ce qu’il exposait à l’ensemble des participants à l’événement.
Des configurations réseau très ouvertes
Le fait est que beaucoup de points d’accès Wi-Fi ouverts sont configurés sans les fonctionnalités d’isolation entre terminaux : n’importe quel appareil connecté peut communiquer avec n’importe quel autre. Il en va ainsi dans les trains ICE allemands, notamment. Et bien sûr, cela ne s’arrête pas là : il faut aussi compter avec les réseaux configurés « à plat » dont le plan d’adressage IP permet d’accéder sans la moindre segmentation à un nombre ahurissant de machines connectées…
So, SEP mobile by @symantec knows that flat open AX Hotels WAP as suspicious. But still, it says it’s ok I’m on it... pic.twitter.com/gRinaPREke
— Valery Marchive (@ValeryMarchive) October 15, 2017
Sur les terminaux mobiles, des outils sont censés avertir lorsque l’on se connecte à un tel point d’accès : ils sont répertoriés comme au moins suspects, pour inviter à la prudence. Mais ces outils ne sont pas infaillibles. Ainsi, récemment, SEP Mobile, de Symantec – issu du rachat de Skycure en juillet dernier –, voyait que mon iPhone était connecté au réseau Wi-Fi de mon hôtel, répertorié comme suspect, en raison de sa configuration et des risques qu’elle présentait. Mais comme les données de géolocalisation ne correspondaient pas exactement, l’outil estimait que tout allait bien, montrant ses limites.
Des systèmes (qui s’ignorent) vulnérables
Mais n’aborder le sujet que sous l’angle de la configuration des services de partage réseau serait oublier la question des vulnérabilités, connues comme inédites.
L’épisode WannaCry est encore bien présent dans les mémoires. Mais ce n’est pas le seul maliciel à avoir mis à profit l’exploit du protocole réseau SMB issu de l’arsenal de l’agence américaine du renseignement, la NSA. Cylance alertait, au mois d’août dernier, sur le « succès sans partage » que les vulnérabilités de SMB ont offert aux auteurs de logiciels malveillants en 2017.
Mais fin novembre, un chercheur a découvert une grave vulnérabilité affectant macOS High Sierra. Corrigée depuis, elle ouvrait la voie à la prise de contrôle complète, à distance, des machines affectées exposant des services de partage réseau.
Dès lors, il apparaît évident que l’une des premières choses à faire, avant de se connecter à un point d’accès public, consiste à désactiver tous les partages réseau de son ordinateur. Et de vérifier que le pare-feu embarqué est bien actif, aux côtés de tous les contrôles de sécurité réseau de sa suite de protection du poste de travail.
Et d’autres risques encore
Et ce n’est pas tout. En situation de mobilité, l’autonomie est une valeur clé. Las, à Buenos Aires, l’opérateur chargé de fournir la connexion à Internet dans les cafés Starbucks s’est permis une légèreté avec la batterie des clients : consommer 10 secondes de fonctionnement de leur processeur pour miner des crypto-deniers, avec le script de CoinHive.
Hi @Starbucks @StarbucksAr did you know that your in-store wifi provider in Buenos Aires forces a 10 second delay when you first connect to the wifi so it can mine bitcoin using a customer's laptop? Feels a little off-brand.. cc @GMFlickinger pic.twitter.com/VkVVdSfUtT
— Noah Dinkin (@imnoah) December 2, 2017
Le fait que des indélicats fassent leur beurre sur la facture d’électricité des visiteurs de sites Web n’est hélas pas un phénomène isolé. L’incident Starbucks l’est en revanche, et la chaîne a indiqué avoir pris immédiatement les mesures nécessaires pour faire cesser ce « cryptojacking ». Mais qui dit que d’autres ne s’inspireront pas de l’initiative, quitte afficher ouvertement leur choix, afin d’améliorer la rentabilité de leur service, au-delà des seules incontournables publicités obligatoires de certains ?