Il est probable que vous ayez déjà entendu dire que les réseaux Wi-Fi publics présentent des risques. Les recommandations pour les éviter sont presque aussi fréquentes que les points d’accès Wi-Fi eux-mêmes. Certaines de ces mises en garde sont dépassées, car le Wi-Fi public est aujourd’hui plus sécurisé qu’il ne l’était autrefois. Cependant, certains dangers subsistent.
Le Wi-Fi public : sécurité ou danger ?
La question est complexe. Il est vrai que la navigation sur les réseaux Wi-Fi publics est devenue bien plus sûre et confidentielle grâce à l’adoption généralisée du protocole HTTPS sur le web. Les autres utilisateurs d’un même réseau Wi-Fi public ne peuvent plus aussi facilement espionner vos activités. Les attaques dites de « l’homme du milieu » ne sont plus aussi simples à mener qu’avant.
L’EFF (Electronic Frontier Foundation) a récemment affirmé que le Wi-Fi public était sûr, en soulignant qu’il y a « beaucoup de choses à craindre dans la vie » et qu’il est possible de « retirer le ‘Wi-Fi public’ de cette liste ».
Cette approche semble raisonnable. Et il serait idéal si le Wi-Fi public était totalement sans risque ! Nous avons nous-mêmes utilisé ces réseaux et nous ne nous inquiétons plus autant qu’avant.
Cependant, si l’on nous demande si le Wi-Fi est entièrement sûr, nous ne pouvons pas l’affirmer. David Lindner de Contrast Security a rédigé un contrepoint à l’argument de l’EFF, mettant en évidence les menaces que représentent les points d’accès frauduleux. La communauté de Hacker News avait également des réflexions sur les risques liés au Wi-Fi public. Nous allons tenter d’éclaircir ces dangers.
Voici l’essentiel : des inconnus ne vont plus épier vos actions sur le Wi-Fi public, mais il demeure possible qu’un point d’accès malhonnête commette des actes malveillants. Il est donc plus prudent d’utiliser un VPN sur un réseau Wi-Fi public ou de privilégier votre propre réseau de données cellulaires.
Pourquoi le Wi-Fi public est plus sécurisé qu’auparavant
Le chiffrement HTTPS, largement répandu sur le web, a résolu le principal problème de sécurité lié au Wi-Fi public. Avant sa généralisation, la majorité des sites web utilisaient le protocole HTTP non chiffré. Quand vous accédiez à un site web HTTP standard sur un réseau Wi-Fi public, d’autres utilisateurs pouvaient surveiller votre trafic, visualiser la page exacte que vous consultiez, ainsi que les messages et autres données que vous envoyiez.
Pire encore, le point d’accès Wi-Fi lui-même pouvait orchestrer une attaque de type « homme du milieu », en modifiant les pages web qui vous étaient envoyées. Il pouvait donc altérer n’importe quelle page ou contenu accessible par HTTP. Si vous téléchargez un logiciel via ce protocole, un point d’accès Wi-Fi public malveillant pouvait vous fournir un programme infecté.
Aujourd’hui, HTTPS est devenu la norme et les navigateurs considèrent les sites HTTP traditionnels comme « non sécurisés ». Si vous vous connectez à un réseau Wi-Fi public et que vous visitez des sites web HTTPS, les autres utilisateurs du même réseau pourront voir le nom de domaine du site auquel vous accédez (par exemple, howtogeek.com), et c’est tout. Ils ne peuvent pas visualiser la page web précise que vous consultez, ni modifier le contenu d’un site HTTPS durant son transfert.
La quantité de données que les intrus peuvent intercepter a considérablement diminué et il serait plus compliqué pour un réseau Wi-Fi, même mal intentionné, de falsifier votre trafic.
L’espionnage est toujours possible
Bien que le Wi-Fi public soit plus confidentiel qu’auparavant, il n’est pas totalement privé. Par exemple, si vous naviguez sur le web, vous pourriez vous retrouver sur un site HTTP. Un point d’accès malhonnête aurait pu modifier cette page pendant son transfert. D’autres utilisateurs du réseau Wi-Fi public pourraient ainsi observer vos interactions avec ce site : quelle page vous consultez, le contenu précis de celle-ci et les messages ou données que vous transmettez.
Même en utilisant HTTPS, l’espionnage demeure possible. Le DNS chiffré n’est pas encore généralisé, et les autres appareils du réseau peuvent ainsi voir les requêtes DNS de votre appareil. Lorsque vous vous connectez à un site web, votre appareil contacte son serveur DNS configuré sur le réseau et trouve l’adresse IP associée à ce site. Autrement dit, si vous êtes connecté à un réseau Wi-Fi public et que vous naviguez sur le web, une personne à proximité peut voir les sites web que vous consultez.
Toutefois, l’espion ne pourrait pas visualiser les pages web spécifiques que vous chargez sur ce site HTTPS. Il saurait, par exemple, que vous êtes connecté à howtogeek.com, mais pas quel article vous lisez. Il pourrait aussi voir d’autres informations, comme la quantité de données transférées, mais pas le contenu de ces données.
Les risques de sécurité persistent sur le Wi-Fi public
Il existe aussi d’autres menaces potentielles en matière de sécurité liées au Wi-Fi public.
Un point d’accès Wi-Fi frauduleux pourrait vous rediriger vers des sites web malveillants. Si vous vous connectez à un tel point d’accès et que vous essayez d’accéder à bankofamerica.com, il pourrait vous rediriger vers l’adresse d’un site de hameçonnage se faisant passer pour votre banque. Le point d’accès pourrait orchestrer une « attaque de l’homme du milieu », en chargeant le vrai site bankofamerica.com et en vous présentant une copie via HTTP. Lors de votre connexion, vous transmettez vos identifiants au point d’accès frauduleux, qui peut les intercepter.
Ce site de hameçonnage ne serait pas un site HTTPS, mais remarqueriez-vous vraiment l’absence du « s » dans l’adresse web ? Des techniques comme le HTTP Strict Transport Security (HSTS) permettent aux sites web d’indiquer aux navigateurs qu’ils doivent se connecter uniquement via HTTPS et jamais via HTTP, mais tous les sites n’en profitent pas.
Les applications peuvent également poser problème : toutes les applications de votre téléphone valident-elles correctement les certificats ? Toutes les applications de votre ordinateur sont-elles configurées pour transférer des données via HTTPS en arrière-plan, ou certaines utilisent-elles HTTP par défaut ? Théoriquement, les applications doivent correctement valider les certificats et éviter HTTP au profit de HTTPS. En pratique, il serait difficile de vérifier que chaque application se comporte bien.
D’autres appareils sur le réseau peuvent aussi être une source de problèmes. Par exemple, si vous utilisez un ordinateur ou un autre appareil présentant des failles de sécurité non corrigées, il pourrait être attaqué par d’autres appareils du réseau. C’est pourquoi les PC Windows sont livrés avec un pare-feu activé par défaut et pourquoi ce pare-feu est plus restrictif lorsque vous indiquez à Windows que vous êtes connecté à un Wi-Fi public plutôt qu’à un réseau privé. Si vous signalez à l’ordinateur que vous êtes sur un réseau privé, vos dossiers partagés sur ce réseau peuvent devenir accessibles aux autres ordinateurs connectés au Wi-Fi public.
Comment se protéger
Bien que le Wi-Fi public soit plus sûr et plus confidentiel que par le passé, la situation en matière de sécurité demeure plus complexe qu’on ne le souhaiterait.
Pour une protection optimale sur les réseaux Wi-Fi publics, nous recommandons toujours l’utilisation d’un VPN. Quand vous utilisez un VPN, vous vous connectez à un serveur VPN unique et tout le trafic de votre système est acheminé via un tunnel chiffré vers ce serveur. Le réseau Wi-Fi public auquel vous vous connectez ne voit qu’une seule connexion : votre connexion VPN. Personne ne peut ainsi savoir à quels sites vous accédez.
C’est une des principales raisons pour lesquelles les entreprises utilisent des VPN (réseaux privés virtuels). Si votre entreprise met un VPN à votre disposition, vous devriez sérieusement envisager de vous y connecter lorsque vous êtes sur un Wi-Fi public. Cependant, vous pouvez également payer pour un service VPN et y acheminer votre trafic quand vous utilisez des réseaux auxquels vous n’accordez pas une totale confiance.
Vous pouvez également ignorer complètement les réseaux Wi-Fi publics. Par exemple, si vous disposez d’un forfait de données cellulaires avec une fonction de point d’accès sans fil (modem) et une connexion cellulaire solide, vous pouvez connecter votre ordinateur portable au point d’accès de votre téléphone en public et éviter les problèmes potentiels liés au Wi-Fi public.