Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Trois personnalités politiques britanniques piratées sur des réseaux Wi-Fi publics

juillet 2015 par F-Secure

Une enquête réalisée à Londres prouve que dérober les données personnelles des internautes utilisant les réseaux Wi-Fi publics est un véritable jeu d’enfant. F-Secure s’est associé à Mandalorian Security Services, une société experte en tests d’intrusion, et au Cyber Security Research Institute (institut de recherche pour la cybersécurité) pour pirater l’appareil mobile de trois personnalités politiques.

Ces personnes ont délibérément été sélectionnées parmi les hautes sphères politiques du Royaume-Uni : le très honorable David Davis, membre du Parlement, Mary Honeyball, députée européenne et Lord Strasburger. Ces personnalités, qui ont accepté de prendre part à l’expérience, ont expliqué qu’elles n’avaient jamais reçu de formation ou d’informations sur les risques de piratage liés à l’utilisation de réseaux Wi-Fi publics, et ce, malgré leur rôle important au sein de leurs administrations respectives. Elles ont également affirmé utiliser régulièrement ce type de connexion.

David Davis, dont le compte de messagerie a été piraté, déclare : « C’est assez effrayant. Vous avez réussi à trouver mon mot de passe, qui est beaucoup plus complexe que ceux que les internautes utilisent en général. Jamais je ne choisirais des combinaisons comme "motdepasse" ». Le problème, c’est que la complexité du mot de passe ne permet pas d’éviter ce genre d’attaque : les réseaux Wi-Fi publics sont par définition non sécurisés, et les identifiants et les mots de passe sont clairement lisibles derrière les points d’accès. Ils peuvent donc être dérobés très facilement par les pirates.

Afin de montrer l’ampleur du risque, Mandalorian a enregistré un brouillon dans la boîte de messagerie de David Davis, annonçant qu’il allait rejoindre le parti UKIP. Son compte PayPal a également été piraté, puisqu’il utilisait les mêmes identifiants que pour son compte Gmail, une erreur bien souvent commise.

L’un des appels VoIP (Voice over IP) effectués depuis une chambre d’hôtel par Lord Strasburger a été intercepté et enregistré à l’aide d’outils disponibles gratuitement sur Internet et relativement faciles à utiliser. Ce dernier explique : « Il y a de quoi prendre peur : cette technologie est très puissante ! N’importe quel débutant peut apprendre à l’utiliser en quelques heures. Il faut beaucoup mieux connaître les technologies que nous utilisons, et chacun doit se préoccuper de sa propre sécurité… car personne ne le fera à votre place ! ».

Mary Honeyball, députée européenne, est membre du comité européen à l’origine de la campagne « We Love Wi-Fi ». Alors qu’elle utilisait le réseau Wi-Fi d’un café, elle a reçu un e-mail envoyé par un pirate participant à l’expérience. Le message, provenant à première vue de Facebook, l’invitait à s’identifier de nouveau sur le site, car sa session avait expiré. Sans le savoir, elle a transmis ses identifiants au pirate, qui a donc pu accéder à son compte Facebook.

Mary Honeyball utilisait une tablette remise par le service IT du Parlement européen quelques jours auparavant. Elle a exprimé son inquiétude quant au manque de conseils dudit service. « Il est clair qu’il faut faire quelque chose. Nous pensons tous qu’il suffit d’un simple mot de passe pour se protéger. C’est ce que je croyais moi aussi. Je suis à la fois surprise et choquée », s’inquiète-t-elle.

Chacune de ces actions a permis de prouver à quel point il est simple de contourner les services protégés par des mots de passe, mais également de montrer comment les données dérobées peuvent être exploitées dans le cadre d’attaques ultérieures. « L’utilisateur lambda se dit en général que les pirates ne cherchent pas vraiment à savoir quelle est son équipe de foot préférée », explique Steve Lord, directeur de Mandalorian. « Or, une fois qu’ils détiennent cette information, ils peuvent s’en servir pour rédiger un e-mail de phishing (hameçonnage) ciblant précisément cet utilisateur et ses goûts personnels : le message aura ainsi plus de chances d’être lu. Lorsque vous cliquez sur un lien dans un e-mail ou que vous téléchargez une pièce jointe, il est déjà trop tard : les pirates peuvent désormais envoyer des logiciels malveillants à vos appareils pour dérober vos données personnelles. Si vous utilisez vos appareils personnels pour vous connecter au réseau de votre bureau, les données de votre entreprise sont elles aussi menacées. »

Sean Sullivan, conseiller en sécurité chez F-Secure, rassure les utilisateurs de réseaux Wi-Fi publics : « Personne ne devrait avoir peur d’utiliser le Wi-Fi public, c’est un service formidable. Il est par contre essentiel de comprendre les risques et de s’en prémunir. Il suffit pour cela d’utiliser un logiciel appelé VPN (Virtual Private Network, ou réseau privé virtuel). On en trouve sous forme d’application pour les smartphones et les tablettes. Notre VPN F-Secure Freedome chiffre toutes les données circulant entre l’appareil et le réseau : les pirates ne peuvent donc pas intercepter des informations importantes. En l’activant, vous bénéficiez d’une protection optimale sur les réseaux Wi-Fi publics. L’esprit tranquille, vous pouvez utiliser votre appareil et le réseau Wi-Fi en toute sérénité. »




Voir les articles précédents

    

Voir les articles suivants