Une expérience sur l’utilisation des réseaux Wi-Fi publics réalisée aux quatre coins du monde dévoile les principales failles de sécurité des bornes Wi-Fi
Les utilisateurs asiatiques plus menacés que les européens et les sud et nord américains
Paris, France, le 27 juillet 2015 – Avast Software, créateur des solutions de sécurité PC et mobiles les plus fiables au monde, a publié les résultats d’une vaste expérience mondiale axée sur le piratage des réseaux Wi-Fi, qui a permis d’identifier les principaux problèmes de sécurité liés aux habitudes de navigation des utilisateurs du monde entier. Pour ce faire, les experts d’Avast en sécurité mobile se sont rendus dans dix grandes métropoles des Etats-Unis, d’Europe et d’Asie afin d’analyser l’utilisation quotidienne des réseaux Wi-Fi publics. En France, ils ont choisi de se rendre à Paris équipés d’un ordinateur portable capable d’accéder au Wi-Fi et d’une application conçue pour analyser le trafic Wi-Fi local à une fréquence de 2,4 GHz (une application gratuite et à la disposition du grand public). Cette expérience a révélé à quel point il était facile pour quiconque d’espionner les activités en ligne des utilisateurs et d’accéder à leur historique de recherches, leurs mots de passe, leurs vidéos, leurs e-mails et autres données personnelles.
À Paris, les chercheurs d’Avast ont fait les découvertes suivantes :
À Paris, l’expérience a été réalisée sur l’avenue de l'Opéra, le long de la Seine et jusqu’à Notre Dame de Paris, où 7 523 réseaux Wi-Fi appartenant à des hôtels, cafés, bureaux et résidences privées ont été recensés.
Selon l’étude, les utilisateurs en Asie sont les plus exposés aux attaques informatiques. Plus de la moitié du trafic Web d’Asie s’opère sur des sites HTTP non-protégés. Sept routeurs protégés par mot de passe sur dix reposent sur des méthodes de cryptage trop faibles, ce qui les rend très vulnérables au piratage. À Paris, le nombre de routeurs insuffisamment chiffrés est également très élevé à raison de six sur dix. Parmi toutes les villes visitées, ce sont les utilisateurs situés à San Francisco et à Berlin qui sont les plus soucieux de la sécurité de leurs routeurs Wi-Fi, bien qu’un tiers de ces routeurs restent relativement mal protégés dans ces deux villes.
« Cette expérience a révélé que la plupart des utilisateurs mobiles ne prennent pas les mesures adéquates pour protéger leurs données personnelles et leur vie privée face aux cybercriminels, déclare Vince Steckler, Président Directeur Général d’Avast. Les gens portent leur ceinture de sécurité en voiture, alors pourquoi n’utilisent-ils pas une solution de sécurité lorsqu’ils se connectent à un Wi-Fi public ? »
Réseaux Wi-Fi non-protégés
L’étude a révélé que partout dans le monde, il est très facile de trouver des réseaux Wi-Fi publics ne nécessitant aucun mot de passe comme le démontrent les pourcentages par ville ci-dessous :
L’utilisation d’un réseau Wi-Fi public avec une connexion internet non-protégée rend les données personnelles des utilisateurs vulnérables aux cybercriminels, sauf s’ils installent une protection qui leur permettra de se connecter à internet de façon sécurisée via ces réseaux publics ouverts.
Dangers de la navigation HTTP
Les cybercriminels ont d’autant plus de facilité à espionner un utilisateur si celui-ci consulte des sites Web qui n’appliquent pas la norme de sécurité HTTPS. Avast a découvert qu’une grande partie des utilisateurs mobiles consultent principalement des sites HTTP non-sécurisés. Près de la moitié du trafic Web en Asie s’opère sur des sites HTTP non-protégés, contre un tiers du trafic aux Etats-Unis et à peine un quart du trafic européen. Les parisiens sont les moins susceptibles de naviguer sur des sites HTTP non-sécurisés (23,5 %), suivis des londoniens et des San Franciscains (27 %).
Le trafic HTTP n’étant pas protégé, l’équipe d’Avast a pu accéder sans difficultés à tous les historiques de navigation des utilisateurs, y compris les domaines et pages consultées, leurs recherches, leurs identifiants personnels, ainsi que leurs vidéos, e-mails et commentaires. Des sites Web tels que cdiscount.fr, leboncoin.com, lequipe.fr et pagesjaunes.fr n’utilisent pas la norme HTTPS, sauf si l’utilisateur décide de se connecter. Dans chaque ville, Avast a pu observer des exemples d’utilisateurs consultant des sites médicaux, sites d’assurances, sites bancaires et des vidéos pour adultes, tout ceci sur des réseaux Wi-Fi publics non-sécurisés.
Cryptage insuffisant
La majorité des bornes Wi-Fi qu’Avast a observées étaient protégées par une certaine forme de cryptage. Toutefois, ces méthodes étaient bien souvent trop faibles et facilement exploitables. L’utilisation du cryptage WEP en particulier peut être aussi risquée que de renoncer à une protection par mot de passe, car les utilisateurs se sentiront dans ce cas plus en sécurité et encoderont leurs informations personnelles, alors que leurs données sont très facilement accessibles.
San Francisco et Berlin affichent le plus faible pourcentage de bornes insuffisamment cryptées. À Londres et à New York, la moitié des bornes protégées par mot de passe se sont révélées vulnérables aux attaques, contre environ deux tiers des cas à Paris et trois quarts en Asie.