Comment voler vos données? Un jeu d'enfants en créant un réseau Wi-Fi
Des hackers malintentionnés peuvent créer des réseaux Wi-Fi gratuits pour vous appâter et voler des données sensibles. Avec un expert, RTSinfo a mené l'expérience à Genève, afin de voir si les utilisateurs se font piéger.
En rade de 3G, forfait dépassé ou à l'étranger, autant de situations qui poussent à guetter la présence d'un Wi-Fi gratuit. Mais se connecter à un réseau inconnu comporte des risques.
Afin de montrer les dangers des points d'accès gratuits, nous en avons créé un avec l'aide d'un spécialiste en réseaux. Il a suffi d'un minimum de matériel et de quelques connaissances techniques pour y parvenir (lire ci-dessous).
L'expert a doté son réseau d'une fonction de hameçonnage (ou "phishing"), une attaque très utilisée par les fraudeurs pour voler des données sensibles. Lorsqu'on se connecte à ce Wi-Fi, la page d'accueil de Facebook apparaît automatiquement. Il s'agit en réalité d'un faux, quasiment identique à l'original, conçu pour piéger l'utilisateur. Si celui-ci entre son identifiant et son mot de passe, l'expert peut les capter.
Une quinzaine de personnes piégées en une heure
A l'heure où la 4G est quasi omniprésente, est-ce que beaucoup de personnes cherchent encore des Wi-Fi gratuits? Nous avons caché le dispositif dans un sac à dos et mené l'expérience à Genève (voir la vidéo ci-dessus). D'abord dans un bar, qui propose comme souvent son propre réseau aux clients, puis dans le centre-ville.
Résultats: en une heure, environ 80 appareils se sont connectés au faux réseau, appelé "freewifi". Une quinzaine de personnes, soit près d'une sur cinq, sont allées jusqu'à cliquer sur le bouton "Connexion" de la fausse page Facebook. Toutes avec des smartphones.
Pour ne pas tomber dans l'illégalité, aucune donnée n'a été récupérée lors de l'opération. Les personnes qui se sont connectées à la fausse page ont simplement reçu un message d'avertissement, leur indiquant qu'il s'agissait d'un piège.
Protéger ses données sensibles
Ce réseau ne permettait pas de naviguer sur internet. Si cela avait été le cas, nous aurions pu épier, sans qu'elles ne s'en rendent compte, l'activité des personnes piégées: pages consultées, applications utilisées, localisation, recherches effectuées ou identifiants et mots de passe sur des pages non cryptées. Quant aux sites sécurisés, comme les fournisseurs d'e-mails ou les sites de e-commerce et e-banking, un hacker malintentionné peut utiliser de fausses pages, afin de voler certaines données de l'internaute.
Peut-on être sûr qu'un réseau gratuit est sans risque? Certains navigateurs préviennent qu'une connexion n'est pas sécurisée, mais ils ne détectent pas toutes les attaques. Dans la mesure du possible, notre spécialiste recommande de ne pas se connecter à un Wi-Fi inconnu ou de se protéger avec un VPN (réseau privé virtuel). Et, surtout, d'éviter d'utiliser des données très sensibles, comme son numéro de carte de crédit, sur un autre réseau que le sien.
Valentin Tombez et Christelle Travelletti
Publié
Un faux Wi-Fi pour 50 francs
Afin de créer son faux réseau, l'expert de RTSinfo a eu besoin d'un mini-ordinateur appelé "Raspberry", une antenne et une batterie. L'ensemble coûte environ 50 francs et est suffisamment compact pour tenir dans un petit sac. L'antenne utilisée permet d'émettre le signal dans un rayon de 100 mètres en extérieur.
Tous les logiciels utilisés sont "open source" et donc gratuits. Leur configuration précise n'est, pour des raisons évidentes, pas détaillée. Cliquez sur ce lien pour obtenir plus d'informations sur le matériel et les logiciels utilisés.