Se connecter sur un point d’accès Wi-Fi inconnu présente des risques, même si l’on surfe sur des sites sécurisés en HTTPS. La situation se complique encore davantage si un pirate le contrôle. Explications et démonstration en vidéo.
Quand on est en vadrouille, il est parfois commode de se connecter à des points d’accès Wi-Fi publics, que ce soit à l’hôtel, à l’aéroport ou dans un café. Mais cet usage comporte un risque, car ces réseaux sont peut-être créés et contrôlés par des pirates, dans le but d’intercepter le trafic web. Avec la généralisation des sites accessibles en HTTPS, ce risque peut sembler dérisoire. En effet, les certificats TLS permettent non seulement de chiffrer les données, mais en plus d’authentifier l’identité du site web. À moins d’être en accointance avec une autorité de certification et de forger un faux certificat, il est difficile de déchiffrer les données échangées. Toutefois, ce n’est pas impossible. « Pas mal d’autorités de certifications ont été compromises ou sont détenues par des états ou des entreprises d’État », nous rappelle Renaud Lifchitz, chercheur en sécurité.
Mais en dehors de ce cas improbable, il y a également d’autres risques. Tout d’abord, le pirate peut, depuis sa position d’interception, lire les requêtes DNS qui ne sont jamais chiffrées. Il peut donc savoir quels sites consulte sa victime. Ensuite, il existe des techniques qui permettent de piéger les utilisateurs, même s’ils se connectent sur des sites sécurisés. Dans notre vidéo, nous montrons deux exemples d’attaques : le « DNS Spoofing » et le « SSL Stripping ». Dans le premier cas, le pirate associe un nom de domaine à l’adresse IP de sa propre machine sur laquelle il fait tourner une version fausse et non sécurisée du site ciblé. L’internaute ne remarque pas l’arnaque, rentre ses données de connexion et se fait avoir.
Dans le second cas, le pirate fait office de passe-plat entre l’utilisateur et le véritable site. Avec le second, les échanges sont chiffrés de manière normale. Mais avec le premier, ils ne le sont pas. De nouveau, l’utilisateur est confronté à une version non sécurisée du site et se trouve piégé s’il ne s’en rend pas compte.
Ces attaques ne sont possibles que dans certaines situations. Tout d’abord, il faut que l’internaute tape directement le nom de domaine dans la barre d’URL. Par exemple : « www.creditmutuel.fr ». Par défaut, le navigateur va d’abord initier une connexion en HTTP, avant de basculer en HTTPS sur demande du serveur. Ce bref échange en HTTP permet au pirate de s’intercaler et de lancer les attaques de DNS Spoofing ou de SSL Stripping. Si l’internaute tape « https://www.creditmutuel.fr » – ou s’il utilise un marque-page équivalent – elles ne fonctionnent pas.
Ces attaques ne fonctionnent pas non plus si l’internaute a déjà consulté ce site auparavant. En effet, les navigateurs actuels gardent en mémoire certains paramètres des sites visités. Du coup, même si l’utilisateur tape « www.creditmutuel.fr », le navigateur va directement tenter d’établir une connexion sécurisée. Et le pirate rentre bredouille.
HSTS Preload coupe l'herbe sous le pied du pirate Signalons, par ailleurs, que certains éditeurs comme Facebook ou Twitter ont pris les devants et ont inscrit leur domaine sur la liste « HSTS Preload », qui est intégrée dans les navigateurs web. HSTS signifie « HTTP Strict Transport Security ». C’est un mécanisme qui permet au serveur web de forcer l’utilisation du protocole HTTPS. La liste « HSTS Preload » permet aux éditeurs de forcer le mode HTTPS directement depuis le navigateur, même si l’utilisateur ne s’est jamais rendu sur ce site web. Aucun échange HTTP n’est alors possible. Malheureusement, tous les éditeurs n’utilisent pas ce dispositif. En particulier, nous n’avons vu aucune banque française sur cette liste. C’est dommage.
Pour éviter tous ces risques, l’usage d’un VPN est une bonne idée. Cette technologie ajoute une couche de chiffrement au niveau de tous les flux. En particulier, elle dissimule les requêtes DNS. Le pirate ne voit alors plus rien du tout. Évidemment, il faut choisir un fournisseur de confiance et éviter les VPN gratuits et peu connus. Ceux qui n’ont pas de VPN peuvent quand même limiter le risque d’interception en utilisant systématiquement des URL en HTTPS. L’usage d’un bon vieux marque-page est, de ce point de vue, une excellente idée.
L’usage d’applications mobiles, en revanche, est à éviter si l’on n’a pas de VPN. « Encore pas mal d’applications mobiles n’utilisent pas systématiquement HTTPS de manière convenable », nous précise Renaud Lifchitz. Et, malheureusement, il est impossible pour l’utilisateur de s’en apercevoir.