source: rts.ch

En rade de 3G, forfait dépassé ou à l'étranger, autant de situations qui poussent à guetter la présence d'un Wi-Fi gratuit. Mais se connecter à un réseau inconnu comporte des risques.

Afin de montrer les dangers des points d'accès gratuits, nous en avons créé un avec l'aide d'un spécialiste en réseaux. Il a suffi d'un minimum de matériel et de quelques connaissances techniques pour y parvenir (lire ci-dessous).

L'expert a doté son réseau d'une fonction de hameçonnage (ou "phishing"), une attaque très utilisée par les fraudeurs pour voler des données sensibles. Lorsqu'on se connecte à ce Wi-Fi, la page d'accueil de Facebook apparaît automatiquement. Il s'agit en réalité d'un faux, quasiment identique à l'original, conçu pour piéger l'utilisateur. Si celui-ci entre son identifiant et son mot de passe, l'expert peut les capter.

Une quinzaine de personnes piégées en une heure

A l'heure où la 4G est quasi omniprésente, est-ce que beaucoup de personnes cherchent encore des Wi-Fi gratuits? Nous avons caché le dispositif dans un sac à dos et mené l'expérience à Genève (voir la vidéo ci-dessus). D'abord dans un bar, qui propose comme souvent son propre réseau aux clients, puis dans le centre-ville.

Résultats: en une heure, environ 80 appareils se sont connectés au faux réseau, appelé "freewifi". Une quinzaine de personnes, soit près d'une sur cinq, sont allées jusqu'à cliquer sur le bouton "Connexion" de la fausse page Facebook. Toutes avec des smartphones.

Pour ne pas tomber dans l'illégalité, aucune donnée n'a été récupérée lors de l'opération. Les personnes qui se sont connectées à la fausse page ont simplement reçu un message d'avertissement, leur indiquant qu'il s'agissait d'un piège.

Protéger ses données sensibles

Ce réseau ne permettait pas de naviguer sur internet. Si cela avait été le cas, nous aurions pu épier, sans qu'elles ne s'en rendent compte, l'activité des personnes piégées: pages consultées, applications utilisées, localisation, recherches effectuées ou identifiants et mots de passe sur des pages non cryptées. Quant aux sites sécurisés, comme les fournisseurs d'e-mails ou les sites de e-commerce et e-banking, un hacker malintentionné peut utiliser de fausses pages, afin de voler certaines données de l'internaute.

Peut-on être sûr qu'un réseau gratuit est sans risque? Certains navigateurs préviennent qu'une connexion n'est pas sécurisée, mais ils ne détectent pas toutes les attaques. Dans la mesure du possible, notre spécialiste recommande de ne pas se connecter à un Wi-Fi inconnu ou de se protéger avec un VPN (réseau privé virtuel). Et, surtout, d'éviter d'utiliser des données très sensibles, comme son numéro de carte de crédit, sur un autre réseau que le sien.

Détails sur la réalisation de l'outil

La configuration précise des différents éléments logiciels est ici volontairement imprécise. Le but du jeu n'est pas de décrire la création de genre de piège, mais plutôt de montrer la facilité de la tâche... Pas besoin d'être un "hacker de génie" pour réussir ce tour de passe-passe.

Matériel utilisé

  • Raspberry Pi (Pi 1 model B+)
  • Antenne ALFA Network (AWUS036HNA)
  • Batterie xtorm 18000mAh (AL390)
    Cette batterie est largement surdimensionnée pour alimenter un Pi, mais nous en avions une à disposition.

N'importe quelle batterie de plus de 2500mAh avec une sortie USB convient pour l'expérience (budget approximatif: 20CHF). L'utilisation d'une batterie externe standard porte le coût total du dispositif à environ 50CHF.

Logiciels utilisés

  • raspbian
  • hostapd
  • dnsmasq
  • lighttpd
    Tous ces logiciels sont opensource et librement télechargeables via 'apt' (sans autre configuration).

Configuration du matériel

L'installation et la préparation du matériel est extrêmement simple. Il suffit d'installer une distribution Linux, dans notre cas une distribution Debian adaptée au Pi: Raspbian. Le processus complet d'installation de Raspian est décrit à l'adresse suivante: installation de la distribution Raspbian (en anglais).

Création d'une fausse page de connexion

Nous avons opté pour une fausse page d'accueil Facebbok optimisé pour le mobile: l'utilisation du faux hotspot nous a donné raison, toutes les tentatives de connexion ayant été effectuées via des téléphones portables. Nous avons donc extrait la page m.facebook.com comme base de travail.

Nous avons ensuite enlevé tous les éléments "actifs" de la page (javascript) et simplifié son code pour n'obtenir qu'une coquille vide conservant exactement la même apparence. Enfin, nous avons modifié le formulaire de connexion et la saisie de l'utilisateur et du mot de passe. Toute connexion via ce formulaire redirige vers une page d'information.

NB: Cette modification a été effectuée en prenant soin de ne pas faire transiter via le réseau les informations de connexion qu'un utilisateur du hotspot pourrait malencontreusement fournir.

Utilisation de 'hostapd'

hostapd est un utilitaire réseau permettant d'effectuer facilement plusieurs tâches techniques pour la création d'un point d'accès wifi, et plus particulièrement:

la configuration de la carte wifi pour permettre la connexion des appareils cherchant un point d'accès
le transfert des informations de connexion pour les appareils (DHCP)

Utilisation de 'dnsmasq'

dnsmasq permet d'intercepter tout ou partie du trafic DNS.

Dans notre cas, la totalité du trafic est redirigée vers le serveur web lighttpd pour afficher la fausse page d'identification Facebook.

L'utilisation sur la page d'accueil du faux site d'un nom de domaine comme facebook.com est complexe à configurer (sans être impossible toutefois), nous avons donc opté pour le domaine facebook.ch.

Toute requête effectuée sur facebook.ch (où tout autre site) est donc redirigée vers notre fausse page d'accueil.

Utilisation de 'lighttpd'

lighttpd est un serveur web.

Extrement léger, il fonctionne parfaitement sur une machine de faible puissance comme un Raspberry Pi 1.

Dans notre cas, il permet de transmettre la fausse page de connexion à Facebook aux appareils se connectant au faux hotspot.

Toutes les erreurs HTTP (codes 40x et 50x) sont attrapées et redirigées vers la fausse page d'accueil.

Cette petite astuce permet de rediriger tout le trafic web sans avoir à utiliser et configurer des utilitaires plus complexes (iptables par ex.).

Elle permet également de simuler facilement le comportement d'un portail captif sans avoir à utiliser d'autres logiciels (comme nodogsplash par ex.).

Note: Encore une fois, par soucis de discrétion, aucune information de connexion n'est loggée (stockée de manière permanente).

Dans le cadre de cette expérience, aucune information de connexion n'a transité sur le réseau, et aucune trace n'a été enregistrée.

Mais il aurait été très facile de le faire.

Capture des connexions

Le matériel une fois assemblé et connecté est suffisament compact pour tenir dans un petit sac à dos.

L'antenne utilisée est suffisament puissante pour fournir du wifi à tout appareil dans un rayon de 100m en extérieur (même à l'intérieur d'un sac).

L'idéal est de se placer dans un espace semi-ouvert, si possible en hauteur, et d'attendre.

L'autonomie du dispositif est suffisante pour tenir une bonne journée.