Les hotspots WiFi sont par essence ouverts et simples d'utilisation. Ils s'adressent au grand public et ne peuvent donc s'alourdir de processus de chiffrement lourds et contraignants. Cela en fait des cibles rêvées pour des pirates sans scrupule ou barbouzes en mal de documents confidentiels. De plus, dans la majorité des cas, les utilisateurs d'un Hotspot se retrouvent à partager le même réseau, ce qui augmente les risques en milieu hostile ...
Comment exploiter alors les Hotspots Wifi en toute sérénité ' Suivez ces dix recommandations…
1. Désactiver le mode Ad-hoc
Le mode classique de connexion en WiFi est le mode infrastructure (Client vers Borne) mais il est possible de se connecter directement à un autre PC portable WiFi en mode ad-hoc (Client vers Client). Si le mode Ad-hoc est activé, il est alors possible pour un intrus d'établir à votre insu une liaison entre son poste et le vôtre. Il faut donc vérifier avant toute connexion dans un environnement de hotspot que ce mode est désactivé. Cette désactivation est à vérifier dans les paramètres de connexion de la carte réseau WiFi.
2. Utiliser un VPN
Lors d'une connexion à un hotspot WiFi n'importe qui pourrait intercepter le trafic, capturer des paquets envoyés et reçus. Cela comprend bien évidemment les logins et mots de passe qui circulent en clair sur le réseau, les emails, les fichiers joints, etc. Une façon simple de se protéger est d'utiliser un tunnel VPN sur la connexion WiFi. L'ensemble des données est alors chiffré, empêchant ainsi tout vol de données. Plusieurs solutions techniques existent sur le marché, de l'activation du VPN inclus dans Windows XP pour les pro-Windows, à des modes plus complexes et robustes, en allant jusqu'à la licence payée mensuellement (service managé). Les VPNs d'entreprise sont dans leur grande majorité supportés par tous les hotspots.
3. Utiliser une clef USB avec chiffrement
Afin de protéger au maximum les données sensibles, il est judicieux de considérer que les PCs portables et les applications constituent un socle « jetable » et que seules les données comptent. Il est ainsi conseillé de stocker l'ensemble des données sensibles sur une clef USB dont le contenu est chiffré avec un logiciel adéquat. De nombreuses clefs USB sont livrées avec des logiciels de ce type qu'il suffit d'activer. Ainsi si un intrus arrive à accéder au PC portable, l'accès aux données lui sera impossible.
4. Vérifier la présence d'un firewall de poste de travail ou en installer un à défaut
En effet, ce parefeu protégera l'ordinateur portable de tout accès depuis l'extérieur. Il empêchera notamment les autres utilisateurs du Hotspot de tenter de se connecter à votre machine. Il existe pléthore de solutions peu onéreuses voire gratuites qui remplissent très bien cette mission.
5. Désactiver les répertoires partagés
Autant ces partages peuvent êtres justifiés et utiles au sein d'un réseau d'entreprise ou à domicile, autant il est dangereux de les laisser ouverts lors d'une connexion sur un hotspot WiFi. Il donc indispensable de désactiver le partage des répertoires en modifiant les droits associés via l'Explorateur Windows avant même toute connexion au réseau.
6. Vérifier l'authenticité du hotspot WiFi
En effet, une des dernières techniques en vogue est la mise en place de faux Hotspots WiFi opérés par des individus peu scrupuleux. Ces derniers, ayant la main sur l'infrastructure à laquelle vous vous connectez, en profitent pour intercepter le trafic réseau, subtiliser des mots de passe et données sensibles ! La solution est alors de faire valider les données de connexion (ssid, avec ou sans clef WEP ou WPA, etc …) par le responsable du Hotspot ou le personnel du lieu concerné.
7. Enlever ou désactiver la carte WiFi si elle n'est pas utilisée
Si votre objectif est simplement de travailler « off line » en profitant des installations du hotspot – comme l'alimentation électrique par exemple – il est judicieux de désactiver la carte Wifi (ou de l'enlever). En effet, de récentes recherches ont permis à deux experts de mettre en évidence des problèmes de sécurité au cœur même des pilotes Wifi de certains constructeurs. A ce nouveau type d'attaque est associée la prise de main à distance sur votre PC et donc la possibilité pour le pirate de subtiliser vos données.
8. Chiffrer les emails
Les emails étant envoyés, par défaut, en clair à travers le réseau (RFC 821 oblige), il est impératif de sécuriser un minimum les informations que vous véhiculez. Certains logiciels de messagerie intègrent des outils de cryptographie, n'hésitez pas à les utiliser. NB : Si un VPN est mis en place entre votre poste et le serveur SMTP de votre entreprise, l'utilité de chiffrer vos emails est moindre car c’est redondant avec la connexion VPN qui protège déjà vos flux.
9. Regarder autour de soi
Ce conseil est d'ordre plus général que technique. En effet, il n'est pas forcément nécessaire de capturer du trafic ou faire du hacking pour récupérer des logins et mots de passe. La technique utilisée par les voleurs au distributeur de billets fonctionne aussi dans le monde de l'informatique. Un regard par-dessus les épaules et votre mot de passe s'envole ! La même discrétion que lorsque l'on tape son code PIN est ici suffisante, ainsi qu'un minimum de vigilance quant à l'orientation de l'écran.
10. Ne pas laisser son ordinateur portable sans surveillance
Il a été constaté que le nombre de vols d'ordinateurs portables dans les zones Hotspot a considérablement augmenté ces derniers mois aux Etats-Unis. Il est tellement plus simple de voler un PC portable dans un lieu public que dans une entreprise avec contrôle d'accès… Certains hotspots proposent d'ailleurs dans leur panel des services des mécanismes de sécurité physiques (antivols) alors servez-vous en !
Evidemment tous ces conseils ne doivent pas vous empêcher de régulièrement mettre à jour votre antivirus et d’installer au fur et à mesure les correctifs de sécurité qui s’imposent pour votre système. Bon surf.
Comment exploiter alors les Hotspots Wifi en toute sérénité ' Suivez ces dix recommandations…
1. Désactiver le mode Ad-hoc
Le mode classique de connexion en WiFi est le mode infrastructure (Client vers Borne) mais il est possible de se connecter directement à un autre PC portable WiFi en mode ad-hoc (Client vers Client). Si le mode Ad-hoc est activé, il est alors possible pour un intrus d'établir à votre insu une liaison entre son poste et le vôtre. Il faut donc vérifier avant toute connexion dans un environnement de hotspot que ce mode est désactivé. Cette désactivation est à vérifier dans les paramètres de connexion de la carte réseau WiFi.
2. Utiliser un VPN
Lors d'une connexion à un hotspot WiFi n'importe qui pourrait intercepter le trafic, capturer des paquets envoyés et reçus. Cela comprend bien évidemment les logins et mots de passe qui circulent en clair sur le réseau, les emails, les fichiers joints, etc. Une façon simple de se protéger est d'utiliser un tunnel VPN sur la connexion WiFi. L'ensemble des données est alors chiffré, empêchant ainsi tout vol de données. Plusieurs solutions techniques existent sur le marché, de l'activation du VPN inclus dans Windows XP pour les pro-Windows, à des modes plus complexes et robustes, en allant jusqu'à la licence payée mensuellement (service managé). Les VPNs d'entreprise sont dans leur grande majorité supportés par tous les hotspots.
3. Utiliser une clef USB avec chiffrement
Afin de protéger au maximum les données sensibles, il est judicieux de considérer que les PCs portables et les applications constituent un socle « jetable » et que seules les données comptent. Il est ainsi conseillé de stocker l'ensemble des données sensibles sur une clef USB dont le contenu est chiffré avec un logiciel adéquat. De nombreuses clefs USB sont livrées avec des logiciels de ce type qu'il suffit d'activer. Ainsi si un intrus arrive à accéder au PC portable, l'accès aux données lui sera impossible.
4. Vérifier la présence d'un firewall de poste de travail ou en installer un à défaut
En effet, ce parefeu protégera l'ordinateur portable de tout accès depuis l'extérieur. Il empêchera notamment les autres utilisateurs du Hotspot de tenter de se connecter à votre machine. Il existe pléthore de solutions peu onéreuses voire gratuites qui remplissent très bien cette mission.
5. Désactiver les répertoires partagés
Autant ces partages peuvent êtres justifiés et utiles au sein d'un réseau d'entreprise ou à domicile, autant il est dangereux de les laisser ouverts lors d'une connexion sur un hotspot WiFi. Il donc indispensable de désactiver le partage des répertoires en modifiant les droits associés via l'Explorateur Windows avant même toute connexion au réseau.
6. Vérifier l'authenticité du hotspot WiFi
En effet, une des dernières techniques en vogue est la mise en place de faux Hotspots WiFi opérés par des individus peu scrupuleux. Ces derniers, ayant la main sur l'infrastructure à laquelle vous vous connectez, en profitent pour intercepter le trafic réseau, subtiliser des mots de passe et données sensibles ! La solution est alors de faire valider les données de connexion (ssid, avec ou sans clef WEP ou WPA, etc …) par le responsable du Hotspot ou le personnel du lieu concerné.
7. Enlever ou désactiver la carte WiFi si elle n'est pas utilisée
Si votre objectif est simplement de travailler « off line » en profitant des installations du hotspot – comme l'alimentation électrique par exemple – il est judicieux de désactiver la carte Wifi (ou de l'enlever). En effet, de récentes recherches ont permis à deux experts de mettre en évidence des problèmes de sécurité au cœur même des pilotes Wifi de certains constructeurs. A ce nouveau type d'attaque est associée la prise de main à distance sur votre PC et donc la possibilité pour le pirate de subtiliser vos données.
8. Chiffrer les emails
Les emails étant envoyés, par défaut, en clair à travers le réseau (RFC 821 oblige), il est impératif de sécuriser un minimum les informations que vous véhiculez. Certains logiciels de messagerie intègrent des outils de cryptographie, n'hésitez pas à les utiliser. NB : Si un VPN est mis en place entre votre poste et le serveur SMTP de votre entreprise, l'utilité de chiffrer vos emails est moindre car c’est redondant avec la connexion VPN qui protège déjà vos flux.
9. Regarder autour de soi
Ce conseil est d'ordre plus général que technique. En effet, il n'est pas forcément nécessaire de capturer du trafic ou faire du hacking pour récupérer des logins et mots de passe. La technique utilisée par les voleurs au distributeur de billets fonctionne aussi dans le monde de l'informatique. Un regard par-dessus les épaules et votre mot de passe s'envole ! La même discrétion que lorsque l'on tape son code PIN est ici suffisante, ainsi qu'un minimum de vigilance quant à l'orientation de l'écran.
10. Ne pas laisser son ordinateur portable sans surveillance
Il a été constaté que le nombre de vols d'ordinateurs portables dans les zones Hotspot a considérablement augmenté ces derniers mois aux Etats-Unis. Il est tellement plus simple de voler un PC portable dans un lieu public que dans une entreprise avec contrôle d'accès… Certains hotspots proposent d'ailleurs dans leur panel des services des mécanismes de sécurité physiques (antivols) alors servez-vous en !
Evidemment tous ces conseils ne doivent pas vous empêcher de régulièrement mettre à jour votre antivirus et d’installer au fur et à mesure les correctifs de sécurité qui s’imposent pour votre système. Bon surf.
