C'est un fait : nous passons de plus en plus de temps sur Internet depuis notre smartphone ou même plus globalement à accéder à des services en ligne. C'est pour cela que de nombreux établissements comme les gares, hôtels, restaurants, bars, campings et autres proposent de plus en plus de hotspots WiFi gratuits.

Or ce qui semble être une idée généreuse au départ se présente parfois comme un véritable danger pour les utilisateurs. Les experts en sécurité expliquent ainsi que ces réseaux non identifiés posent de plus en plus de problèmes de sécurité, notamment pour deux facteurs principaux : ils sont pour une grande partie d'entre eux mal configurés, et les mots de passe des routeurs sont souvent trop faiblement sécurisés. En revanche, le recours à un VPN sur réseau WiFi (un serveur virtuel privé), permet de profiter d'un chiffrement des données et donc de limiter l'exploitation des données éventuellement récupérées par les hackers. Même dans le cas d'une interception de données (Man in the Middle), les données récupérées sont chiffrées et donc inexploitables pour le hacker.

Google WiFi principe

En effet, ces Hotspots gratuits qui connectent des centaines ou des milliers d'usagers chaque jour sont des cibles de choix pour les pirates qui peuvent ainsi y diffuser des malwares dans le but de récupérer des données confidentielles.

En quelques minutes, il est possible de mettre en place une attaque et de cibler un ou plusieurs terminaux en simultané, et de siphonner des données ciblées, voire d'installer des malwares pour une prise de contrôle à distance ultérieure et plus durable.

L'attaque la plus fréquemment utilisée, et sans doute la plus fiable, est l'attaque de type "man in the middle" : le hacker s'interpose ainsi entre l'appareil de l'utilisateur et le routeur pour détourner les données. Il peut ainsi récolter les données, mais aussi les modifier pour renvoyer des données vérolées à l'utilisateur dans le but d'exécuter du code.
Autre attaque fréquente : l'attaque "Evil Twin" qui consiste à dupliquer un réseau Wifi pour confondre les utilisateurs en vue de récupérer leurs données. Une fois connecté au réseau, un malware s'installe automatiquement sur l'appareil ciblé pour collecter des données personnelles.

VPN

Malheureusement, disposer d'un antivirus sur son PC portable ou son smartphone ne permet pas de contrer ces attaques, du moins pas celles qui ne reposent pas sur l'utilisation d'un malware.

Le VPN permet de camoufler son identité en renvoyant les données vers un tunnel chiffré ce qui rend tout détournement soit impossible, soit inefficace.

Si vous ne disposez pas d'un VPN sécurisé, l'une des meilleures options reste donc d'éviter les réseaux WiFi publics et de penser à désactiver la recherche de WiFi et la connexion automatique aux réseaux disponibles sur ses appareils.