Répondre

[SÉCURITÉ] Éviter les hotspots WiFi "maquillés" (rogue access points)

Ancien Top contributeur
Envois : 8 333
Inscrit : ‎06-10-2011

[SÉCURITÉ] Éviter les hotspots WiFi "maquillés" (rogue access points)

[ modifié ]

Qu’est-ce que c’est ?

C’est un hotspot de hameçonnage déguisé en hotspot Orange, McDonald's, Starbucks… Par exemple, vous voyez un réseau WiFi ouvert portant le nom « orange ». Vous vous connectez. Dès que vous ouvrez votre navigateur Web, vous tombez comme d’habitude sur la page d’authentification d’Orange qui vous demande votre numéro de téléphone mobile et votre mot de passe. En fait, le nom du hotspot (SSID WiFi) est usurpé et le portail d'accès est une copie du vrai site Web d'authentification mais il accepte n'importe quel mot de passe.

 

Quel est le but ?

Ce hotspot n'est qu'un ordinateur connecté à Internet dont le propriétaire cherche à voir tout votre trafic Internet pour récupérer des données intéressantes (identifiants de connexion, mots de passe, adresses mail, numéros de téléphone…etc).  Il est en effet beaucoup plus facile d'analyser le trafic en créant un faux hotspot sur son ordinateur qu'en reniflant le trafic d'un vrai hotspot. N'importe quel geek moyen peut le faire, il suffit d'installer deux applications sur son ordinateur portable, un serveur Web et un logiciel d'analyse de trafic IP, puis de choisir pour SSID le nom d'un opérateur télécom ou d'une chaine de restaurants/hôtels qui a un établissement tout proche.

 

Quand le risque existe-t-il ?

Chaque fois que vous vous connectez à un hotspot WiFi ouvert quel qu'il soit, sauf :

-          sur les hotspots Orange si vous utilisez pour vous connecter l'application WiFi d'Orange (disponible pour iOS, Android et Windows Phone)

-          sur les hotspots des opérateurs télécoms utilisant une authentification EAP-SIM (utilisation de la carte SIM pour contrôler l'accès au hotspot) mais Orange ne le propose pas pour l'instant.

 

Comment s'en prémunir ?

Le moyen le plus simple est de toujours commencer par saisir un mauvais code secret / mot de passe sur la page d'authentification. Si le serveur Web l'accepte, c'est un rogue access point !

 

Le simple contrôle du nom de domaine est peu fiable : généralement vous ne le connaissez pas par cœur, certains navigateurs pour mobile le masquent, le pirate peut utiliser une page personnelle chez un opérateur télécom dont le nom de domaine sera trompeur, certains petits hotspots (ex: petits hôtels ou restaurants indépendants) n'ont pas de nom de domaine et affichent juste une adresse IP.

 

Quant au nom du hotspot, il n'est absolument pas fiable puisque le pirate peut afficher n'importe quel SSID et se trouver dans le même établissement que vous avec son ordinateur portable, par exemple le client attablé à quelques mètres de vous ou qui séjourne dans la chambre voisine.

 

Si le hotspot n'a tout simplement pas de page d'authentification (illégal en France), passez votre chemin ou utilisez une connexion VPN bien sécurisée (IPSec ou OpenVPN). Voir [TUTORIEL] Avec un VPN, protéger vos données sur les hotspots WiFi publics et contourner la censure

@gai_luron, chien sachant sosher, radiotéléphoniste androidophile
« On the Internet, nobody knows you're a dog » [Peter Steiner]

Ancien Top contributeur
Envois : 4 970
Inscrit : ‎03-02-2013

Re : [SÉCURITÉ] Éviter les hotspots WiFi "maquillés" (rogue access points)

merci luron je serais m'en souvenir

---------------------------------------------------------------------------------------------------
le forum est animé par les clients comme vous . ils vous font bénéficier de leurs expériences et peuvent vous orienter.
Mais seuls les conseillers du Tchat et les webconseillers sur le forum ont la compétence pour régler vos difficultées.
veuillez surveiller votre fil de discussion car lorsque les webconseillers interviennent ce n'est pas forcement le même jour
-----------------------------------------------------------------------------------------
Si vous pensez que l'info vous a été utile : vous pouvez liker .. enfin si vous voulez :smileyvery-happy: