À l'ère du télétravail et des "digital nomads", il devient possible de travailler depuis n'importe où, avec un accès aux systèmes d'information de l'entreprise. Si cette flexibilité est plutôt bienvenue pour l'employé comme pour l'employeur, cela peut exposer les données professionnelles à plusieurs risques qu'il est bon de prendre en compte pour mettre en place un cadre sécurisé.
Que vous soyez en déplacement professionnel ou travailliez en tant que freelance tout en sillonnant le globe, de bonnes pratiques s'imposent pour protéger vos données personnelles lorsque votre appareil se connecte à Internet.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Quelles sont les menaces à éviter ?
Tous les réseaux Wi-Fi ne sont pas égaux
Les réseaux Wi-Fi publics sont rarement chiffrés ; de fait, chaque transmission de données en texte brut peut être interceptée par un tiers. Cette absence de protection permet à quiconque disposant d'un logiciel d'analyse de paquets de capturer l'intégralité des communications transitant sur le réseau. La technique du "sniffing" consiste précisément à écouter ces échanges pour extraire des informations sensibles comme les identifiants de connexion, les données bancaires ou les emails confidentiels.
Les protocoles de sécurité obsolètes aggravent cette vulnérabilité. Selon une étude menée par Kaspersky sur quelque 24 766 points de connexion WiFi public à Paris, 25% de ces derniers (6083) reposaient encore sur le protocole WPS, abandonné depuis plusieurs années au profit du WPA3. Le WPA3, adopté depuis 2018, intègre le protocole SAE (Simultaneous Authentication of Equals) qui bloque les attaques par dictionnaire et renforce le chiffrement à 192 bits en mode entreprise. Il devient donc plus compliqué d'opérer une intrusion.
La différence entre ces standards réside dans leurs méthodes d'authentification. Le WPA2 utilise une clé pré-partagée vulnérable aux attaques par force brute, tandis que le WPA3 implémente un système d'authentification mutuel, lequel protège même les mots de passe faibles. Mais selon les experts, seuls 6% des réseaux publics parisiens (1373) bénéficiaient de cette protection avancée en 2024.
L'attaque "Evil Twin" : l'art de l'usurpation numérique
L'attaque "Evil Twin" ou "jumeau maléfique" représente une menace particulièrement insidieuse dans les espaces de coworking et cafés. Cette technique consiste à créer un faux point d'accès Wi-Fi portant un nom identique ou très similaire au réseau légitime. L'attaquant utilise des outils comme Airbase-ng ou Wi-Fi Pineapple pour cloner le SSID (le nom) et l'adresse MAC du réseau ciblé.
Comment se déroule cette attaque ? Pour commencer, le cybercriminel analyse l'environnement Wi-Fi pour identifier un réseau fréquenté. Il configure ensuite son équipement pour émettre un signal plus puissant que l'original. D'emblée, son faux réseau apparaîtra donc en tête de liste des connexions disponibles sur l'appareil de la victime. Pour aller encore plus loin, il peut lancer une attaque par déni de service pour saturer le réseau légitime, forçant les utilisateurs à se rabattre sur son point d'accès malveillant.
Une fois la connexion établie, l'attaquant déploie un faux portail captif. Cette page piégée collecte les identifiants saisis avant de rediriger vers le véritable portail. Ni vu, ni connu. Les données sensibles transitent donc entièrement par l'infrastructure contrôlée par le pirate informatique.
L'interception "Man-in-the-Middle" : l'invité surprise
L'attaque "Man-in-the-Middle" (MITM) exploite les réseaux wifi publics pour s'immiscer dans les communications. Cette technique permet à un attaquant présent sur le même réseau de se positionner entre l'utilisateur et le serveur de destination. Il peut alors intercepter et potentiellement modifier l'intégralité des échanges.
L'attaquant envoie de fausses réponses ARP (Address Resolution Protocol) pour associer son adresse MAC à l'adresse IP de la passerelle réseau. Cette manipulation redirige automatiquement tout le trafic de la victime vers l'équipement du pirate avant retransmission vers la destination finale.
Les outils comme Ettercap automatisent ce processus et l'attaquant obtient ainsi une visibilité complète sur les communications de la victime. Concrètement, cela lui permet, une fois encore, d'aspirer les données confidentielles (identifiants, cookies de session…). Cette technique fonctionne même sur les réseaux protégés par mot de passe, pourvu que l'attaquant y soit connecté.
Comment se protéger des menaces en déplacement ?
Soyez plus malin que votre appareil
II est conseillé de désactiver la connexion automatique aux réseaux Wi-Fi publics. L'option présente dans les appareils ne se contente que de repérer les noms des SSID disponibles. Or, dans le cas d'un réseau Evil Twin portant un nom identique à un point de connexion précédemment utilisé, votre ordinateur ou votre smartphone n'y verra que du feu et s'y connectera instantanément !
Il est aussi conseillé de vérifier systématiquement la présence de certificats SSL/TLS et d'utiliser exclusive de sites HTTPS, lesquels ajoutent une couche de protection supplémentaire. Ces protocoles permettent de chiffrer les communications.
Le VPN : l'outil indispensable à l'ère du nomadisme numérique
Le VPN (Virtual Private Network) constitue la protection la plus efficace contre ces attaques en créant un tunnel chiffré entre l'appareil et un serveur distant. Cette technologie encapsule l'intégralité du trafic et le protège avec un protocole cryptographique, rendant les données illisibles même en cas d'interception. Le chiffrement AES-256 utilisé par les VPN professionnels résiste aux tentatives de déchiffrement, et peut donc neutraliser les attaques MITM et Evil Twin.
Le VPN masque également l'adresse IP réelle de l'utilisateur et empêche le suivi des activités par les opérateurs de hotspots publics. Certains réseaux Wi-Fi tentent d'ailleurs de bloquer les connexions VPN, mais les protocoles modernes, comme WireGuard, OpenVPN ou Stealth chez Proton, disposent de mécanismes de contournement efficaces, lesquels sont spécifiquement pensés pour contourner la censure et les filtrages.
Conformément aux recommandations de l'ANSSI (PDF), l'activation du VPN doit précéder toute connexion à un réseau externe à l'entreprise. Les solutions VPN d'entreprise intègrent souvent des fonctionnalités avancées comme le kill switch, qui coupe automatiquement la connexion internet en cas de défaillance du tunnel chiffré.
