Vos données en libre accès

Lucas Barioulet/EPJT

À la portée d’un clic, les bornes de Wi-Fi public sont désormais disponibles partout autour de nous. Sans même lire les conditions d’utilisation ni nous renseigner sur les clauses de confidentialité, nous n’hésitons plus à les utiliser. Quitte à mettre à disposition des hackers et des fournisseurs nos données les plus confidentielles.

Par Lucas BARIOULET, Robin DOREAU et Jeanne LAUDREN

Agrandir

41800002285_33cc084af4_o

Source : Avast.

Infographie : Robin Doreau, avec piktochart.

 

 Onze minutes. C’est le temps qu’il a fallut à Betsy Davies, une jeune Britannique de 7 ans, pour pirater le Wi-Fi public d’un restaurant et récupérer les données des autres PC connectés. La jeune fille a été en mesure de consulter l’historique des utilisateurs, de récupérer les mots de passe des boites mail ou comptes Facebook et d’avoir accès aux comptes bancaires en ligne. Réalisée en janvier dernier par le service de cybersécurité HideMyAss, cette expérience montre à quel point pirater ces Wi-Fi publics, aussi appelés hotspots, est un jeu d’enfant.

Une mine d’or d’informations confidentielles

Aujourd’hui, les hotspots sont installés partout : gares, restaurants, hôpitaux, hôtels, aéroports, etc. En France, on en recensait plus de 18 millions au 1er décembre 2015, si on en croit Maravedis, une société d’analyse des réseaux sans fil. Et 80 % des Français s’y connecteraient chaque mois (Sondage Avast). Outre-Atlantique, Private Wi-fi, entreprise de sécurité informatique américaine, a fait le même constat : en 2013, 85 % des utilisateurs se connectaient sur les réseaux sociaux via un Wi-Fi public. Pis, ils étaient 13 % à y utiliser leur carte bancaire.

Dans la plupart des cas, il suffit d’accepter les conditions d’utilisation. Parfois, il faut aussi utiliser un mot de passe, ce qui donne un semblant de sécurité à ces réseaux. Mais pour un hacker, cela ne ne change absolument rien. « Sur un point d’accès Wi-Fi, on diffuse l’information via les ondes radios. Les données flottent dans les airs : c’est vraiment “open bar”. Tout ce qui circule peut être récupéré », met en garde Vincent Guyot, enseignant chercheur à l’Esiea, une école d’ingénieur informatique parisienne. « Des outils sont disponibles en ligne, prêts à l’emploi, pour espionner ou voler des informations sur ces hotspots », poursuit-il.

Agrandir

28825751448_8e9c8d4ebc_o

Infographie Jeanne Laudren, avec Canva.com

 

N’importe quel hacker peut donc écouter le trafic qui circule sur le Wi-Fi public. Écouter un réseau (sniffing en anglais), c’est « capturer toutes les informations qui circulent, de l’historique jusqu’aux données bancaires », précise Olivier, testeur en intrusion pour la start up de cybersécurité Sekoia.

Pour lui, rien de plus simple. A l’aide d’un logiciel, Wireshark, le jeune Parisien parvient à observer les données qui transitent sur un même réseau Wi-Fi. Il suffit qu’un utilisateur se connecte à une application, avec un mot de passe et un nom d’utilisateur, pour que ces derniers apparaissent sur l’écran du pirate.

Les hotspots sont de véritables passoires pour nos données. Tous les professionnels sont d’accord sur ce point. Kamal Hennou, responsable pédagogique systèmes, réseaux et sécurité informatique à l’Esgi, une école d’ingénieur parisienne ne déroge pas à la règle : « Un hotspot, ça n’est rien d’autre qu’un système qui diffuse les informations sur des ondes autour de lui. Donc quand un utilisateur s’y connecte, il n’est pas le seul à être en mesure de récupérer ses informations. Les données sont à la portée de tous. » Les Wi-Fi publics sont donc un véritable mine d’or pour ceux à l’affût d’informations confidentielles.

Ces entreprises qui nous espionnent

D’après la Cnil, un grand nombre d’entreprises récupèrent et conservent illégallement nos données grâce aux hotspots. Photo : Colin/Flickr

Les hackers ne seraient pas les seuls à s’aventurer dans l’illégalité pour récupérer vos données. Les entreprises qui fournissent une connexion au Wi-Fi gratuit sont aussi responsables. C’est en tout cas ce que pointe le rapport Internet et Wi-Fi en libre accès : bilan des contrôles de la Cnil, publié en décembre 2014. La loi leur interdit de les détenir plus d’un an. Pourtant, certaines entreprises qui proposent à leurs clients un accès au Wi-Fi public garderaient l’historique des correspondances échangées et les sites web visités. Tous cela dans le dos des utilisateurs.

De leur côté, les sociétés qui fournissent aux entreprises ces accès Wi-Fi récupèrent des données encore plus spécifiques : comptes bancaires, sites visités, pages lues ou encore migration géographique. C’est le cas de Comminter, créatrice de hotspots depuis huit ans et responsable de 5 115 bornes en France. « Ces données sont cryptées et non exploitables, sauf sur décision de justice », explique Alban Masson, son directeur. Les bornes peuvent même servir à nous localiser quand nous sommes équipé d’un Smartphone.

C’est le cas à l’aéroport de Paris-Charles-de-Gaulle, dont le réseau public est géré par Hub One. Les bornes Wi-Fi nous repèrent avant même que nous nous y connections. Le principe est simple : repérer les adresses MAC des téléphones, un identifiant propre à chaque appareil. « La loi nous interdit de savoir que tel téléphone appartenant à tel personne est à cet endroit. Par contre, nous avons le droit de suivre une adresse MAC sans savoir à qui le téléphone appartient », confie Thibault, employé au sein du service informatique de l’aéroport Paris-Charles-de-Gaulle. Il affirme que l’objectif est d’améliorer le trajet des passagers dans les années à venir en mettant en place des logiciels.

Agrandir

41800001995_fe172da756_c
Pour Kamal Hennou, les entreprises proposant un Wi-Fi gratuit offrent « un service à minima ».

Photo : Lucas Barioulet/EPJT

L’idée du Wi-Fi gratuit a été largement adoptée par la population. La plupart des utilisateurs attendent juste que le service fonctionne, sans se soucier des dangers. Certains, par automatisme, acceptent les conditions d’utilisation sans les lire. C’est ce qu’illustre une enquête menée en septembre 2014 par F-Secure. Pendant un court laps de temps, des chercheurs ont mis en place un faux hotspot dans un parc public de Londres. Pour s’y connecter, l’utilisateur devait préalablement accepter les conditions générales d’utilisation.

« La sécurité n’est absolument pas garantie »

Celles-ci incluaient un clause baptisée « Hérode », qui précisait que le Wi-Fi ne serait fourni que si « le destinataire acceptait de nous donner [son] enfant le plus âgé pour l’éternité ». En une heure trente, pas moins de six personnes – sur les trente-trois qui se sont volontairement connectées au hotspot – ont ainsi perdu leur aîné

Parfois, les dangers sont connus mais volontairement mis de côté. « Les entreprises et les particuliers offrent un service a minima, la sécurité n’est absolument pas garantie », dénonce Kamal Hennou. Claude Delimauge, directeur des systèmes d’information d’Alliance Hôtel, une chaîne d’une dizaine d’établissements en France, se défend : « Nous ne sommes pas là pour protéger l’utilisateur. C’est à lui d’être responsable. »

C’est donc en toute conscience qu’il ne sécurise pas le service Wi-Fi qu’il propose. Pour lui, ce serait une atteinte à la liberté de ses clients : « On ne peut pas restreindre ce que fait l’utilisateur sur les réseaux Wi-Fi. Il doit pouvoir faire ce qu’il veut. » Ce que confirme Alban Masson : « C’est aux utilisateurs de s’assurer de la sécurité de leur PC et de ne pas se connecter à n’importe quoi. » Il souligne aussi que sur Internet, il n’y a jamais de risque zéro. « Pour 1000 personnes qui font tout leur possible pour sécuriser un réseau, 1 million tentent de le craquer. Et au final, ils y arrivent. »

Des fournisseurs coupables aux yeux de la loi

En cas de vol de données sur un Wi-Fi public, le fournisseur est le seul à être poursuivi. Sauf s’il prouve qu’il n’a pas été informé des risques. Photo : Lucas Barioulet/EPJT

Agrandir

28825751358_2d84cec64d_c

Infographie Robin Doreau, réalisée sur piktochart.com

« Je ne pense pas que ce soit une volonté de la part des entreprises et des particuliers de proposer une connexion gratuite non sécurisée : la plupart ne connaissent pas les risques liés aux hotspots », précise Kamal Hennou.

À la brasserie tourangelle l’Annexe, on est effectivement loin d’être informé des dangers. « Il existe probablement des risques. Mais je n’en ai pas été informé. Et je n’y connais pas grand chose », reconnaît Philippe*. Le responsable. Numéricable, qui a installé son Wi-Fi « il y a plusieurs années », est resté muet sur le sujet. À ses yeux, « lorsqu’on est capable de mettre au point un réseau Wi-Fi comme celui-là, on se doit de mettre en place le pare-feu qui va avec. S’il est aussi simple que cela de pirater le Wi-Fi de mon restaurant, c’est la faute de l’opérateur, pas la mienne. »

Philippe a pourtant tort. « Quand on propose un service à un consommateur, comme un accès au Wi-Fi public, on doit lui donner des informations sur les risques qu’il prend en s’y connectant, souligne Me Ségolène Rouillé-Mirza, avocate dans les domaines du droit de l’Internet et des nouvelles technologies. Si le commerçant n’est pas conscient des risques, c’est qu’il y a un problème. »

À L’Annexe, c’est donc Philippe qui serait poursuivi en cas de vol de données. « Le fournisseur est le seul à être poursuivi, confirme Me Rouillé-Mirza. À moins qu’il ne prouve qu’il n’a pas été informé des dangers par le prestataire. » En cas de poursuite contre le fournisseur, ce dernier doit donc prouver sa bonne foi et démontrer que le consommateur a délibérément pris des risques sur le réseau. Pas simple…

De 3 000 à 15 000 euros d’amende

L’article L121-83 du code de la consommation est formel : les fournisseurs de services de communication doivent informer les clients sur les moyens de se protéger, contre les risques d’atteinte à la sécurité individuelle, à la vie privée et aux données à caractère personnel.

À L’Annexe, si un client de fait voler ses données, Philippe sera contraint de payer une amende qui n’ira pas au delà de 3 000 euros. Si c’est une personne morale qui est condamnée, c’est-à-dire une société, l’amende sera plus conséquente. Elle pourra s’élver jusqu’à 15 000 euros.

Certains grands groupes, comme McDonald’s, ont fait le choix d’un Wi-Fi totalement ouvert. Accepter les conditions d’utilisation suffit à n’importe qui pour s’y connecter. Une stratégie commerciale astucieuse aux yeux de Vincent Guyot : « McDonald’s pourrait sécuriser son Wi-Fi en contrôlant l’accès grâce à des mots de passe et des comptes utilisateurs mais son argument marketing “Tout le monde peut venir chez nous utiliser notre réseau gratuit” tomberait alors à l’eau. Et avec lui, tous les consommateurs qui ne viennent que pour ça. »

On peut le comprendre. Mais cette stratégie commerciale favorisent objectivement la naissance d’un nouvel espace rêvé pour les cybercriminels.