Discussion :

[JavaAcro]

Bonjour,
Je voudrais tout juste savoir si la connexion Internet à un point hotspot(que ce soit sfr, freewifi ou autre ......) est elle sans risque ou quelles sont les différents risques qu'on peux courir, est-il possible de faire des payement par carte bancaire en utilisant ces hotspot, sans craindre un piratage?
Merci d'avance pour votre aide.

[transgohan]

Le plus gros risque est une attaque man in the middle.
Quelqu'un qui écoute tout ce qui passe, et voir qui remplace le destinataire en renvoyant par exemple de faux sites.
Je ne me hasarderai pas à faire un paiement en ligne en HTTPS sur un hotspot ouvert à tout le monde...

L'attaque ciblée classique est le gars qui tous les jours se connecte au même hotspot en attendant son train et qui consulte le site de 20minutes sur son téléphone par exemple.
Tu l'attends, tu lui renvoies une fausse page 20minutes qui lui propose le téléchargement de l'application mobile qui a au préalable été vérolée.
Et s'il l'installe tu obtiens une porte ouverte pour faire ce que tu veux.
Mais si tu as bien fait ton appli lui il n'y vois que du feu, il peut lire son journal.

[tabouret]

Je ne connais pas encore tous les protocoles mis en jeu dans le cadre des paiements en ligne et je ne parlerais que pour une connexion depuis un PC (donc exit Android/IOS) mais techniquement si tu utilise HTTPS, que ton URL est bonne et ton certificat aussi oui tu peux te connecter de manière sécurisée dans l'espace publique.

[transgohan]

En fait tu peux facilement outrepasser la demande https sans que l'utilisateur s'en rende compte, donc pas besoin de vouloir se placer au milieu d'une connexion https, il suffit de ne pas la permettre.
Avec l'outil sslstrip par exemple tu le rediriges vers du trafic http sans même un avertissement du navigateur, la seule façon de s'en rendre compte c'est de regarder l'url chargée.

[Oppidum-Security]

Bonjour,

Si tu dois utiliser un WIFI public pour réaliser des transactions sensibles (banques, paiement, etc.) alors je te conseille d'utiliser un service VPN PAYANT (recherche sur google).

Tu trouveras d'autres conseils Ici .

[sambia39]

Bonsoir,
Les VPN payants peuvent être une solution, mais tout analyste s’est qu’il existe des moyens de désanonymisation. Bref si un attaquant voulait vraiment avoir des masses d’informations dans ces lieux, il lui suffirait de déployer un IMSI-catcher en plus des faux points d'accès Wi-Fi, mais bon cela nécessité que l’attaquant déploie des ressources.

Ceci dit en passant dans les infos, il paraît qu'un agent a été mis en examen et écroué pour avoir vendu des informations confidentielles sur ce réseau internet parallèle hébergeant un grand nombre d’activités illégales… source ici

À bientôt.

[gangsoleil]

Bonjour,

Le soucis est que tu ne peux pas savoir quelle est la configuration réseau qui se trouve derrière le routeur Wifi, et que donc il faut partir de l'idée que ce n'est pas un réseau sécurisé.

Par exemple, vérifies-tu le chiffrement de la connexion WiFi lors de la connexion ? Car n'oublie pas que tout ce que tu échanges est écoutable par tout le monde -- un peu comme lorsque tu parles dans un hall de gare : n'importe qui peut écouter, et enregistrer.

Si c'est une connexion chiffrée, c'est déjà un bon début, mais qui te dit que toute la connexion ne passe pas par un proxy qui fait du man-in-the-middle, c'est à dire qu'au lieu d'avoir une connexion chiffrée entre toi et le serveur distant, tu as une connexion chiffrée entre ton terminal et le proxy, puis une autre connexion entre le proxy et le serveur distant. Dans ce cas, toutes les données sont en clair sur le proxy -- absolument toutes, y compris les mots de passe.

Donc si c'est pour regarder le journal ou un site comme développez, sans connexion, le risque est quasi-nul. Si c'est pour renseigner un login/pass, il y a un risque.

[tabouret]

Ben techniquement si le certificat est valide (approuvé par une CA et valide) ,qu'il est en HTTPS(chiffrement de bout en bout sans utilisation de proxy) et que l'URL est bonne, que ce soit en VPN ou sur un réseau public ça revient strictement au même, le MITM ne sera pas possible sans provoquer une alerte.

Sauf si son navigateur est corrompu mais la on va loin.

[transgohan]

Ben techniquement si le certificat est valide (approuvé par une CA et valide) ,qu'il est en HTTPS(chiffrement de bout en bout sans utilisation de proxy) et que l'URL est bonne, que ce soit en VPN ou sur un réseau public ça revient strictement au même, le MITM ne sera pas possible sans provoquer une alerte.

Sauf si son navigateur est corrompu mais la on va loin.

Contre exemple :
Je suis actuellement connecté en HTTPS depuis firefox au boulot.
L'url est bonne, firefox m'indique que le certificat est valide (cadenas vert fermé).
Mais pourtant j'ai un proxy d'entreprise qui se la joue man in the middle.
En effet le certificat accepté par mon navigateur est celui de l'entreprise et non celui de développez.
Et je n'ai aucun proxy configuré dans le navigateur, cela se fait via l'architecture réseau à priori, pas depuis mon poste.

[tabouret]

Contre exemple :
Je suis actuellement connecté en HTTPS depuis firefox au boulot.
L'url est bonne, firefox m'indique que le certificat est valide (cadenas vert fermé).
Mais pourtant j'ai un proxy d'entreprise qui se la joue man in the middle.
En effet le certificat accepté par mon navigateur est celui de l'entreprise et non celui de développez.
Et je n'ai aucun proxy configuré dans le navigateur, cela se fait via l'architecture réseau à priori, pas depuis mon poste.

D’où le : "sans utilisation de proxy" y'a forcément une configuration sur ton poste qui te dit d'utiliser tel proxy, pas forcément au niveau de ton navigateur.

[Edit] Ou lorsque une CA d'entreprise a été ajoutée dans la base SSL du client. Ce que j'appel en gros "corruption du navigateur", et qui est courant dans les proxy d'entreprise.
Mais sur un poste en dehors de ton entreprise, la base SSL ne sera pas modifiée.

[pascaldm]

Un hot spot public expose tout système qui s'y connecte, depuis la collecte d'information sensible jusqu'à des attaques MiTM.

Par exemple, un faux site, avec un certificat signé par une AC réelle, collectera des informations confidentielles telles que des identifiants, des mots de passe ou des informations bancaires sans difficulté. Il faut utiliser un VPN dans ces situations et, si possible, son propre VPN pour l'accès en itinérance.

Le MiTM est possible y compris sur des flux protégés en TLS. Cela demande un minimum de préparation, en obtenant un certificat valide pour un domaine contrôlé. Par exemple, les navigateurs font confiance aux AC de leur magasin. Il suffit donc à l'attaquant de posséder un certificat serveur valide (trusté par une AC reconnue du navigateur) pour monter l'attaque.

Par exemple, l'AC Let'encrypt propose d'obtenir en ligne et facilement un certificat officiel, en démontrant simplement que l'on maîtrise le domaine pour lequel ont demande le certificat. Après il est trivial de monter une attaque MiTM sur un flux TLS avec des utilisateurs confiants. Dans ce cas, il n'y a guère que le certificate pinning (HPKP) qui détectera la supercherie mais ce n'est pas beaucoup utilisé par les sites légitimes.

Lors de tests d'intrusion, cette méthode a été utilisée avec des certificats serveurs officiels utilisant des SubjectAltName avec un wildcard, permettant de créer des FQDN de hosts avec un nom parlant pour chaque mission. Le nom de domaine étant choisi pour être transparent sur le plan cognitif.

Le problème est la crédulité des utilisateurs qui ne se questionnent pas sur le nom de domaine présenté, mais celui-ci est parfois suffisamment intelligent pour sembler officiel. D'autres utilisent le typosquatting.

Dans la vraie vie, des réseaux de cybercriminels (je ne parle même pas des Etats) obtiennent des certificats officiels au nom de sociétés réelles montées pour l'opération et pour lesquelles il ne sera pas possible soit d'obtenir de l'information auprès du pays l'hébergeant, soit de remonter au propriétaire... Dans certains cas, des usurpations ont permis de se faire passer pour des représentants d'entreprise pour obtenir de certificats officiels pour la signature de code (ex: Microsoft)

Ce qu'il faut retenir, c'est que TLS et la PKI, c'est bien mais ce n'est pas absolu. Il est possible de contourner ces mécanismes de sécurité, d'où l'émergence de nouveaux mécanismes comme le certificate pinning ou certificate transprency.

[BufferBob]

salut,

Je voudrais (...) savoir si la connexion (...) à un (...) hotspot (...) est (...) sans risque

je pense qu'à ce stade on a pas mal fait le tour des risques, les "trucs possibles en théorie", sur le principe "le risque zéro n'existe pas", l'utilisateur doit être un peu averti et vigilant

mais je me dis que pour le pékin moyen ça n'est malgré tout pas très parlant, en particulier on a du mal à savoir -et c'est un peu comme ça que je comprends la question initiale également- si concrètement au delà du risque on est réellement menacé ou non quand on se connecte à un hotspot inconnu et dans quelle mesure

en cherchant sur le net on trouve des infos comme "42% des internautes français ont été victimes d'un comportement cybercriminel en 2016", avec comme précision que ce chiffre est en hausse, mais quelle est la proportion des attaques complexes contre HTTPS, et/ou la proportion des attaques (avérées/réussies) impliquant un faux hotspot ? je suis chez Orange/Free/SFR, si je me connecte exclusivement aux hotspots publics de mon FAI (FreeWifi, SFR Wifi Fon etc.) est-ce que la dangerosité est tout aussi élevée ?

la question est évidemment difficile, multi-facteurs, la réponse n'existe peut-être même pas, et l'absence de données statistiques sur le sujet ne fait que renforcer les interrogations et par là la méfiance des gens à l'égard d'internet, forcément...


Edit: le rapport mensuel de Symantec sur les cyber-menaces (onglet Web Attacks) montre que les tentatives d'exploitation de la couche SSL ont représenté sur le mois de septembre "seulement" 0.5% des attaques (sur +28M d'attaques au total), mais ce n'est pas parce que la porte SSL est relativement sûre qu'une fenêtre n'est pas ouverte quelque part, incluant les redirection malicieuses (4,2%) et fausse applications (1,2%, incluant rogue AP, dhcp spoofing, phishing, etc.)

[pascaldm]

Il y a un risque avéré mais on ne sait pas toujours identifier la source d'une divulgation de données sensibles.

Par exemple, des chaines d'hôtels compromises ont permi aux attaquants de collecter de manière industrielle des credentials de clients, ensuite mis en vente sur le black market.

Les acheteurs utilisent ces données pour monter des fraudes en tous genre. La fraude numérique croît chaque année. Ce ne sont pas que les fuites de données massives qui alimentent les portails de l'Internet sombre mais également l'interception de données sur des réseaux sans fils ouverts. C'est simple, facilement monnayable et quasiment sans risque.

Un hot spot public doit toujours être considéré comme potentiellement malveillant. Un VPN doit réellement être utilisé en itinérance lorsqu'aucun réseau mobile n'est disponible. Seul l'ignorant est confiant...

[Lekno]

encore faut il être sur que tu sois sur le bon "hotspot" wifi, la wifi par définition n'est pas sécurisé tu n'as aucune garantie d'être au bon endroit. Il est très facile de créer un faux hotspot wifi du même SSID, par défaut bon nombre d'OS se connecte directement aux réseau wifi connu
Généralement les vrais hotspot wifi isole les clients des uns des autres ce qui rend une attaque mim théoriquement "impossible"
Pour le coup de l'url avec un certificat valide tu peux relativement faire confiance à cela car une attaque mim implique toujours une mauvaise manipulation de la part de l'utilisateur. Dans une attaque le facteur humain est la principal faille en parant du principe que les bonnes pratiques sont respecté dans l'infrastructure sur laquelle tu te connecte
Sachant que si ton certificat est valide et que tu te trouves sur la bonne URL, à moins que ta station soit infecté directement la lecture des informations qui transitent sont "théoriquement" impossible car chiffré par le certificat

j'utilise des "" à chaque fois car on sait tous que y'a aucune certitude en informatique