Nous le savons, vous le savez, les réseaux Wi-Fi sont faillibles, d'autant plus lorsqu’ils sont publics, ouverts et gratuits. Mais pourquoi exactement ? Quelles sont les informations personnelles qui en subissent les conséquences ? Quelles données de trafic et activités en ligne peuvent être vues, par qui, en cas de compromission d'un réseau sans fil ? Face à ces risques, nous vous proposons de découvrir nos meilleurs VPN.
Qui n’a jamais entendu l’histoire de cet internaute dont le réseau Wi-Fi a été piraté ? Ses comptes en banque vidés, son identité usurpée, sa vie gâchée ? Aujourd’hui, le Wi-Fi est souvent considéré comme la pire des connexions réseau. Pour autant, il faut savoir faire la part des choses entre les risques réels qu’il représente, et les légendes urbaines qui circulent sur le web, dans les médias ou entre voisins.
C'est un fait, il est plus simple de compromettre un réseau sans fil qu’un réseau filaire. Et pour cause : le Wi-Fi se sert des ondes radio pour transmettre les données, faciles à intercepter. En revanche, les progrès des standards et des normes de sécurité qui régissent ce type de réseau tendent vers une amélioration constante de la protection des données de trafic qu’il transporte. À condition de bien comprendre comment le Wi-Fi fonctionne, quand il est impératif de rester vigilant, et dans quels cas il vaut mieux s’en passer.
Comprendre la sécurité des réseaux Wi-Fi
Qu’est-ce qu'un réseau Wi-Fi ?
Pour en donner une définition simple, le Wi-Fi (Wireless Fidelity) est une technologie de réseau sans fil qui permet de relier plusieurs appareils entre eux sans câble, grâce aux ondes radio. Aujourd’hui, on y recourt principalement pour connecter des équipements à une box ou un routeur Internet, comme des ordinateurs portables, des smartphones et des tablettes. On l'utilise aussi pour piloter toutes sortes d’objets et de systèmes connectés : enceintes, ampoules, montres, thermostats, TV, etc.
Dans le détail, le Wi-Fi consiste en un ensemble de protocoles de communication régis par les normes du groupe IEEE 802.11. Publié pour la première fois en 1997, le standard initial (802.11, portant sur les fréquences 2,4—2,5 GHz, taux de transfert max. 2 Mb/s, portée théorique intérieure 20 m, portée théorique extérieure 100 m) a beaucoup évolué.
Chaque nouvelle publication, également appelée amendement, est suivie d’une ou plusieurs lettres (a, b, g, n, ac, ax pour les principaux standards) qui témoignent des ajouts et des améliorations apportés à la norme originale.
Avec la généralisation de l’accès à Internet, ces numérotations peu parlantes ont laissé place à des termes définis par la Wi-Fi Alliance, organisation à but non lucratif fondée en 1999, propriétaire du logo et de la marque Wi-Fi, qui garantit, a priori, l’interopérabilité des équipements « Wi-Fi CERTIFIED". Ces fameux termes définis par la Wi-Fi Alliance sont facilement compréhensibles par le grand public : Wi-Fi 4 (802.11n), Wi-Fi 5 (802.11ac), Wi-Fi 6 et Wi-Fi 6E (802.11ax).
Aujourd’hui, la majorité des box commercialisées par les principaux opérateurs de télécommunication proposent le Wi-Fi 5 (fréquences 5,15—5,35 GHZ et 5,47—5,875 GHz, taux de transfert max. 1 300 Mb/s, portée théorique intérieure 12-35 m, portée théorique extérieure 300 m). Les abonnements un peu plus chers intègrent aussi le Wi-Fi 6 et/ou 6E (fréquences 2,4 GHz / 5 GHz / 6 GHz, taux de transfert max. 10,53 Gb/s, portée théorique intérieure 12-35 m, portée théorique extérieure 300 m).
Pour en profiter, il faut évidemment avoir des appareils compatibles avec ces normes, d’où l’intérêt d’étudier la fiche technique des smartphones, ordinateurs, tablettes, systèmes connectés que l’on envisage d’acquérir.
Prévue pour 2024, la standardisation du Wi-Fi 7 (802.11be) portera sur les mêmes fréquences que le Wi-Fi 6, mais devrait en quadrupler les taux de transfert pour atteindre 46 Gbit/s au maximum de ses capacités.
Les risques liés à un Wi-Fi non sécurisé
S’il est nécessaire de le rappeler, un réseau Wi-Fi peut être privé (réseaux domestiques ou d’entreprise par exemple) ou public (Wi-Fi municipaux, d’aéroport, de restaurant ou d’hôtel). Un réseau privé est toujours protégé par un mot de passe, tandis qu’un réseau public peut être libre d’accès. Dans ce cas, on parle de Wi-Fi public ouvert.
À la maison, à moins de configurer manuellement sa box Internet, d’ouvrir des ports inconnus, d'utiliser des mots de passe faibles comme AZERTY ou 12345, les risques de piratage du réseau domestique, et donc du Wi-Fi, sont extrêmement faibles.
Même constat pour les réseaux d’entreprise, alors que la plupart des PME et grandes sociétés disposent d’une unité IT (service informatique) professionnelle, chargée de veiller à la bonne configuration et à la sécurité du Wi-Fi auquel se connectent les employés à l’aide d’un identifiant et d’un mot de passe qui leur sont personnels.
En revanche, la question mérite d’être posée concernant les réseaux publics, qu’ils soient protégés par un mot de passe ou non. Dans le premier cas, le code est généralement simplifié et identique pour tous les internautes. Il est souvent accessible au bas de la carte des menus, sur une affiche au milieu de l’espace détente de la gare, ou épinglé à l’entrée de l’office du tourisme. Dans le second cas… eh bien n’importe qui peut se connecter au Wi-Fi sans s’authentifier au préalable, ni même commander un café. Enfin, impossible de s’assurer que les administrateurs de ces hotspots publics ont pris la peine de configurer des identifiants de connexion solides à l’interface de gestion de la box, ni même de savoir si le réseau est correctement chiffré (WPA2 ou WPA3 a minima, les WEP et WPA étant considérés comme trop vulnérables).
Des situations à risque pour les utilisateurs et utilisatrices de ces types de hotspots qui s’exposent à des tentatives de piratage de leurs données personnelles. La sentence peut sembler éculée, mais la menace est pourtant bien réelle. Que le point de connexion soit sécurisé par un mot de passe connu de tous et toutes, ou qu’il ne le soit pas, le niveau de sécurité du réseau est tout aussi faible.
De manière très concrète, n’importe quel tiers malveillant un peu expérimenté peut détourner le trafic entre l’appareil de l’internaute et le point de connexion. Dans la majorité des cas de figure, il suffit au hacker de sniffer la connexion à l’aide d’un logiciel dédié.
De deux choses l’une : un piratage de hotspot permet de mener des attaques de type Man in the Middle par modification de passerelle (le hacker substitue l’adresse IP de son équipement à celle du routeur auquel vous êtes connectés). Conséquence : le trafic de l’internaute est automatiquement relayé vers l’ordinateur du hacker avant d’atteindre le point de connexion. Les données sont donc filtrées, récupérées et possiblement modifiées dans les deux sens (émission et réception). Exception faite des connexions HTTPS, chiffrées et donc illisibles.
En revanche, si la connexion se fait en HTTP, plus rien n’empêche le hacker de siphonner des mots de passe, des identifiants, des numéros de CB, des contenus de messages confidentiels, etc. De plus, il sait quels sites vous consultez et quels informations ou formulaires vous remplissez.
Second danger : l’injection de malwares. Si les internautes ont activé sur leur équipement le partage de fichiers sur un réseau, il est tout à fait possible pour les hackers de diffuser des malwares et d’infecter les appareils connectés au hotspot. Certains hackers utilisent des techniques sophistiquées pour créer de fausses mises à jour de logiciels lorsque les internautes se connectent à un réseau Wi-Fi public. En acceptant la mise à jour, ils installent en fait un virus ou un malware sans que s’en rendre compte dans l’immédiat.
Il existe enfin un troisième risque : celui de se connecter à un faux Wi-Fi public, administré par un hacker. Les méthodes les plus basiques consistent simplement à monter un hotspot à partir d’un smartphone et d’effectuer un partage de connexion pour ensuite intercepter le trafic des personnes piégées. Mais certains pirates vont jusqu’à dupliquer un réseau ouvert existant, faisant croire à leurs victimes qu’elles se connectent à un Wi-Fi public gratuit légitime. C’est ce qu’on appelle une attaque Evil Twin, ou jumeau maléfique.
Qui peut voir mes données de trafic sur Internet ?
Comme évoqué précédemment, un piratage de hotspot peut générer des fuites de données sensibles à l'image de mots de passe ou de numéros de CB. Sniffer le réseau permet également aux hackers de savoir quels sites vous consultez. Mais ils ne sont pas les seuls à pouvoir accéder de manière plus ou moins détaillée à vos données de connexion et historique de navigation.
Les administrateurs de réseau Wi-Fi
Tout dépend du routeur, mais il est possible qu’un administrateur réseau puisse accéder à l’historique de navigation, partiel ou complet.
De manière générale, les box de particuliers ne l’autorisent pas. Il est permis, via l’interface de gestion en ligne, d’accéder à la liste des équipements connectés au réseau sans fil, de connaître le volume de données transférées en temps réel et de les déconnecter manuellement, mais il est impossible d’accéder à leur historique Internet, aussi bien chez Orange que chez Bouygues, SFR ou Free.
En revanche, sur un réseau Wi-Fi d’entreprise ou d’administration à destination des employés, reposant sur une configuration spécifique, il y a fort à parier que toutes vos activités en ligne soient consignées. Si tel est le cas, l’employeur doit se conformer à quelques dispositions légales. Il doit notamment informer ses salariés du dispositif en place et déclarer, au préalable, le système mis en œuvre auprès de la CNIL.
Que peuvent-ils voir sur ma navigation ?
Dans ce cas, la réponse est plutôt simple : TOUT. Les URL des sites web consultés, le temps passé sur une page, les dates et heures de connexion, la quantité de données émises et reçues, les fichiers téléchargés, etc.
En revanche, il leur est impossible d’accéder aux saisies de formulaires et autres informations tapées au clavier sur les services et plateformes consultés. À moins d’avoir installé un keylogger sur les appareils des salariés, chose illégale.
Les fournisseurs d’accès à internet – FAI
Autre acteur au fait des activités en ligne : le fournisseur d’accès à Internet. S’il n’est pas autorisé à collecter activement les URL consultées, considérées comme données personnelles et protégées par le cadre législatif français, le FAI est légalement contraint de conserver les informations relatives à l’identité civile de ses abonnés pendant 5 ans. Ces informations peuvent comprendre le nom de l'utilisateur, le prénom, l'adresse postale, la date et lieu de naissance, le numéro de téléphone, etc.
Il est également tenu de conserver pendant 1 an toutes les données recueillies dans le cadre de l’abonnement (identifiants de connexion, pseudonymes, informations permettant à l’internaute de vérifier son mot de passe et éléments de facturation). Il doit aussi consigner les données d’identification de la connexion (adresse IP et port associé, numéro d’identification de l’appareil, durée des sessions, volume de trafic vers un hôte, localisation).
À toutes fins utiles, on rappelle que l’internaute utilise les DNS de son fournisseur d'accès à Internet par défaut pour naviguer sur le web. Par conséquent, même si le FAI n’a pas le droit de collecter les URL, il prend nécessairement connaissance, à un moment ou à un autre, des sites web consultés par ses abonnés, que le trafic soit chiffré HTTPS ou non.
Même en mode incognito ?
Au regard du FAI, la navigation privée n’a de confidentiel que son nom. Le mode incognito interdit au navigateur d'enregistrer l'historique et les données de connexion, et empêche les autres utilisateurs et utilisatrices de l'appareil d'accéder à ces informations. En revanche, le FAI voit et collecte toujours les données de trafic listées par la loi.
À noter que l’accès aux informations de connexion en navigation privée est aussi possible pour les administrateurs de réseau Wi-Fi (entreprises, établissements scolaires et universitaires, etc.) et… les hackers.
Comment protéger vos données sur Internet
Utilisation de mots de passe forts
Bien évidemment, le premier réflexe à adopter consiste à utiliser des mots de passe solides, uniques pour chaque service en ligne et compte utilisateur.
Pour qu’un mot de passe soit solide, il doit à tout prix contenir un nombre élevé de caractères, si possible assemblés de manière aléatoire. Utiliser un mot ou une combinaison de mots reviendrait à affaiblir la sécurité du verrou puisque la plupart des cyberattaquants disposent aujourd’hui d’outils d’optimisation heuristique. C’est encore plus vrai concernant les mots de passe basiques, pourtant encore majoritairement utilisés, comme 1234, AZERTY, Password, etc., piratables presque instantanément.
Et s’il est impératif de créer un mot de passe différent pour chaque plateforme nécessitant une authentification, c’est justement pour éviter que toutes les données utilisateur soient compromises. Dites-vous bien que si un hacker trouve une combinaison identifiant/mot de passe pour un site, il ira la tester sur tous les autres.
On a longtemps insisté sur le fait qu’il était nécessaire de renouveler régulièrement ses mots de passe, tous les trois mois environ. En octobre 2022, la CNIL a mis à jour ses recommandations pour maîtriser sa sécurité en ligne, arguant qu’une telle pratique ne servait à rien, et pouvait même se révéler contre-productive en l’absence de menace avérée pour la protection des données personnelles. De manière générale, les internautes choisissent de nouveaux mots de passe sensiblement identiques aux précédents, se contentant de modifier un ou deux caractères.
En d’autres termes, à moins d’avoir été victime d’un piratage de compte, d’une fuite de données officielle ou de s’être vu attribuer un mot de passe par défaut au moment de l’inscription sur un service en ligne, inutile de changer de mot de passe.
Conseils pour créer un mot de passe robuste
Un mot de passe solide doit être composé d’une douzaine de caractères et contenir de manière aléatoire des majuscules, des minuscules, des chiffres et des caractères spéciaux. Un tel verrou résiste très efficacement aux attaques par force brute (test de toutes les combinaisons possibles) et par dictionnaire (test de tous les mots et combinaisons de mots contenus dans un dictionnaire logiciel amélioré).
Parce qu’il est difficile de retenir autant de chaînes de caractères sans signification, il est vivement conseillé d'utiliser un gestionnaire de mots de passe. Les navigateurs actuels en proposent, mais le mieux reste de se tourner vers des solutions dédiées, chiffrées, à la réputation solide et intégrant un générateur de mot de passe.
Activation du chiffrement WPA3
Comme évoqué plus haut, le Wi-Fi transmet les données par ondes radio, ce qui les rend faciles à intercepter. Par mesure de sécurité, différentes normes ont été élaborées depuis la création du réseau sans fil : le WEP (Wired Equivalent Privacy) et le WPA (Wi-Fi Protected Access). Bien qu’elles n’isolent pas le trafic, elles en chiffrent les paquets de données. De cette manière, si la connexion est interceptée, impossible, en théorie, d’en lire le contenu.
Sans entrer dans les détails techniques, il faut à tout prix éviter le WEP, officiellement obsolète depuis 2004 et particulièrement vulnérable. Parmi les causes majeures : des clés de chiffrement statiques 64 ou 128 bits, identiques pour tous les appareils, et de nombreuses failles dans le protocole.
Son successeur, le WPA doit, lui aussi, n’être utilisé qu’en dernier recours. S’il améliore un peu la sécurité des clés de sécurité (256 bits, utilisation du protocole TKIP qui modifie dynamiquement la clé et empêche les pirates d’en générer un double, intégration de contrôle d’intégrité des paquets de données), il a fini dépassé par les évolutions techniques et technologiques, et est aujourd’hui considéré comme faillible.
Restent donc le WPA2 et le WPA3, mises à niveau du WPA. Introduit par la Wi-Fi Alliance en 2004, le WPA2 délaisse TKIP au profit de CCMP, protocole basé sur l’algorithme de chiffrement AES. Plus solide et plus fiable que son prédécesseur, il délivre à la fois un message d’authenticité, une vérification de l’intégrité et brouille plus efficacement la détection de schémas par les hackers.
Malgré tout, WPA2 est compromis en 2017. La vulnérabilité baptisée KRACK (Key Reinstallation Attack) permet aux cyberattaquants de cloner le réseau (Evil Twin) et de forcer les internautes à s’y connecter. Il est alors possible pour les hackers de piloter des attaques de type Man in the Middle pour craquer la clé de chiffrement. Des correctifs ont été déployés, et WPA2 est toujours considéré comme une bonne norme de sécurité.
En réponse à la découverte de KRACK, la Wi-Fi Alliance présente la certification WPA3 dès 2018. Évolution du WPA2, cette révision introduit de nouvelles fonctionnalités qui :
- renforcent la sécurité des données (chiffrement individuel, utilisation du plus récent GCMP-256 à la place du CCMP-256, introduction du protocole Enhanced Open et du chiffrement complémentaire OWE qui protègent mieux les appareils contre les attaques passives sur les réseaux ouverts);
- améliorent la sécurité de la connexion même lorsque le mot de passe Wi-Fi est faible ou inexistant (protocole d’authentification mutuelle de la connexion entre deux systèmes ou équipements sur le réseau avant le début de la communication, également appelé protocole de handshaking);
- protègent plus efficacement les réseaux privés et d’entreprise contre les attaques par force brute (une seule tentative de mot de passe).
En bref, pour sécuriser un réseau Wi-Fi, il faut au minimum activer le WPA2 depuis l’interface de gestion en ligne de la box ou du routeur, et le WPA3 dans la mesure du possible. D’où l’importance de se méfier des réseaux publics ouverts : en l’absence de contrôle sur la configuration du hotspot, difficile de savoir si le point de connexion est correctement sécurisé.
Utilisation d'un VPN (réseau privé virtuel)
Vous l’aurez compris, la meilleure solution pour protéger ses données personnelles en ligne consiste à éviter les réseaux Wi-Fi publics gratuits. Facile à dire, mais quand on a liquidé son enveloppe data, que l’on doit travailler en itinérance et/ou que l’on voyage à l’étranger sans forfait 4G/5G adéquat, on n’a pas toujours le choix. Dans ces conditions, il peut être intéressant de recourir à un VPN.
Comment fonctionne un VPN
Un VPN, pour Virtual Private Network (réseau privé virtuel), consiste en un dispositif intermédiaire (architecture client-serveur) qui fait le pont entre l’appareil de l’internaute et le réseau Internet public.
Lorsque l’on se connecte à un VPN, les données sont chiffrées, donc illisibles, et circulent dans un tunnel généré à l’aide d’un protocole VPN entre la machine de l’utilisateur ou de l’utilisatrice et un serveur VPN. Ce tunnel permet également d’isoler le trafic protégé du reste du trafic HTTP/HTTPS, ce qui rend la connexion très difficile à intercepter.
Lorsque la connexion rebondit sur le serveur VPN, elle est déchiffrée et renvoyée sur le réseau Internet public pour atteindre le serveur web interrogé. Le chemin retour s’effectue en symétrie inversée. La réponse du serveur web circule sur le réseau Internet public, transite par le serveur VPN où elle est chiffrée, emprunte le tunnel VPN jusqu’à l’appareil de l’internaute et est déchiffrée localement.
Avantages de l'utilisation d'un VPN pour la confidentialité en ligne
Invisible et illisible entre l’appareil de l’internaute et le serveur VPN, la connexion et le trafic qui y circule ne peuvent plus être repérés ni exploités par d’éventuels hackers. Le FAI lui-même ne peut plus accéder au détail des activités en ligne. En revanche, il sait toujours que la machine communique avec le serveur VPN. Ici, le VPN agit donc comme bouclier.
Autre avantage d’une telle configuration : l’adresse IP de l’équipement source communique avec l’adresse IP du serveur VPN. Tandis que l’IP du serveur VPN communique avec celle du serveur web interrogé, et réciproquement.
Par conséquent, les plateformes, services et sites web consultés ne connaissent jamais l’IP réelle de l’internaute. Ce qui les empêche d’exploiter correctement leurs dispositifs de suivi en ligne traditionnels (cookies, traqueurs, suivi intersite). De ce fait, il est impossible pour les plateformes et les sites web consultés de mettre en place de la publicité ciblée pertinente.
Les meilleurs VPN 2023
Chargé de déchiffrer le trafic aller et de chiffrer le trafic retour, le serveur VPN a connaissance des données et des activités que l’internaute cherche à dissimuler aux hackers, FAI, sites web consultés. Il est donc essentiel d’avoir confiance dans le dispositif VPN mis en place.
Les meilleurs VPN doivent pouvoir justifier d’une politique no-log, d’audits indépendants, de protocoles VPN fiables, de serveurs RAM et éventuellement d’un chiffrement zero access. Une juridiction favorable au respect de la vie privée et de l’anonymat est également exigée.
Attention aux VPN gratuits qui, bien souvent, financent leur développement sur la collecte et la revente des données de leurs utilisateurs et utilisatrice… Ou au contraire n’injectent pas suffisamment de moyens dans la maintenance de leur infrastructure et cumulent les failles de sécurité.
Gardez enfin à l’esprit qu’il existe toujours un risque de compromission des données personnelles (défaillances techniques ou piratages des infrastructures, fuite, etc.) même chez les services VPN les plus sérieux, quoi qu’en disent les fournisseurs.
Je démonte, je remonte, je répare, je bidouille, j’expérimente, je détourne, je façonne, je recommence. Acharnée, rien ne m’électrise plus que de passer des heures à essayer de comprendre le pourquoi du comment, jusqu’à ce que ça fonctionne. Si je ne suis pas derrière mon écran à tester des softs ou à écrire sur la Silicon Valley, vous me trouverez au potager à configurer un circuit d’irrigation connecté, alimenté en énergie solaire.
Lire d'autres articles
