Accès Wi-Fi gratuit : méfiance dans les hôtels pendant les fêtes !
Je suis actuellement en déplacement professionnel dans un hôtel, où je viens d’avoir 3 belles surprises.
Tout d’abord, il y a un restaurant très bon marché, avec des pizzas fantastiques, une vue merveilleuse, et un Wi-Fi gratuit (peut être qu’il s’agit là d’une quatrième surprise !).
Ici, pas de pseudos pizzas caoutchouteuses et spongieuses, avec une pâte épaisse comme une miche de pain rassis, pas de vue imprenable sur le parking à l’arrière de l’hôtel où l’on décharge les marchandises, et pas non plus d’accès internet à 20$ les 200 Mo, que l’on peut trouver dans certains endroits.
WI-FI GRATUIT ET RAPIDE
Un accès Wi-Fi gratuit et rapide semble plutôt pratique et séduisant, et c’est le cas ! Mais nous avons déjà écrit, à de nombreuses reprises, sur les potentiels risques encourus avec un accès Wi-Fi gratuit.
Les dangers que vous pouvez rencontrer sont les suivants :
UTILISER UN VPN
Une manière de se protéger est d’utiliser un VPN, acronyme de Virtual Private Network.
Un VPN permet, au niveau de votre ordinateur, le cryptage de toutes les données relatives à votre trafic internet, avant que ces dernières ne quittent votre ordinateur portable ou téléphone, et envoie ensuite le flux de données cryptées vers votre propre réseau.
Lorsque les données cryptées sont enfin en sécurité et en terrain connu, elles sont alors décryptées et envoyées sur le réseau internet, comme si vous étiez à votre domicile ou au bureau, contournant ainsi l’accès Wi-Fi gratuit de départ, et ses dangers potentiels.
Beaucoup de réseaux Wi-Fi gratuits, vous font passer au préalable par une sorte de processus d’authentification, qui vous dirige vers ce qui est appelé un portail captif, à savoir une page internet spéciale, qui s’affiche à la place de la page web désirée.
Les portails captifs vous demandent, en général, d’accepter des conditions d’utilisation, vous montrent quelques publicités, ou bien vous demandent des identifiants, pour suivre votre activité sur le net.
La dernière demande mentionnée ci-dessus, est plutôt habituelle dans les hôtels, afin de différentier les utilisateurs payants, les utilisateurs pour une journée assistant à une conférence par exemple, et les personnes de passage non autorisées.
En d’autres mots, même si vous voulez utiliser un VPN, vous devez passer un peu de temps en ligne, avec une protection minimale, avant d’avoir traversé ces portails captifs.
Ensuite, l’accès Wi-Fi gratuit laissera votre trafic internet sortir pour de bon, et votre VPN pourra alors entrer en contact avec le réseau de votre domicile ou de votre bureau.
PROTECTION MINIMALE
Voici ce qu’il s’est produit dans mon hôtel, durant ce bref moment où ma protection internet était minimale :
Je suis certain que vous avez déjà remarqué le problème !
Pour activer ma connexion, l’hôtel veut pouvoir valider que je suis un client. Pour ce faire, il utilise exactement le même genre d’informations qu’il utiliserait au bar de la piscine, ou encore au moment de payer la facture dans la pizzeria de l’hôtel : nom et numéro de chambre.
Les clés des chambres n’affichent pas les numéros, ainsi c’est une méthode simple, facile d’utilisation, et plutôt satisfaisante pour réguler le prix de la chambre.
Seulement dans notre cas, le service de Wi-Fi gratuit de l’hôtel, est géré par une entreprise extérieure, dont le portail vous demande de rentrer votre nom et votre numéro de chambre, par le biais d’une connexion internet HTTP non sécurisée.
Ainsi, n’importe quel ordinateur à proximité, équipé d’un sniffer (j’ai utilisé Wireshark), peut alors lire les champs en question :
Vous devez, bien sûr, dire la vérité, car inventer les réponses pour vous protéger ne marchera pas :
EN CAS DE DOUTE, NE FAITES RIEN !
En arrivant à l’hôtel, lorsque je me suis enregistré, on ne m’a pas demandé si je voulais utiliser le Wi-Fi gratuit, ni si j’étais d’accord pour fournir les détails de mon séjour au portail Wi-Fi de la société gérant ce service, pour permettre de mener à bien le processus de validation.
Si j’avais su, j’aurais refusé bien évidemment, en accord avec le fameux principe : en cas de doute, ne faites rien !
Au final, j’ai utilisé ma solution de rechange, dans laquelle j’ai pleinement confiance : une carte SIM prépayée, avec assez de forfait data inclus pour me dépanner. Mon téléphone s’est alors transformé en borne Wi-Fi personnelle.
Aujourd’hui, aux Etats-Unis, vous avez toujours la possibilité d’utiliser cette astuce, en vertu d’une loi qui interdit aux hôtels de mettre en place des moyens technologiques, pour vous empêcher d’utiliser une solution alternative.
Suivre @SophosFrance
//
// ]]>
Billet inspiré de “Anatomy of a Wi-Fi hole: Take care in your hotel this Christmas!” par Paul Ducklin de Naked Security
Partagez “Accès Wi-Fi gratuit : méfiance dans les hôtels pendant les fêtes !” avec http://wp.me/p2YJS1-2gq