Je suis d'un côté désolé pour ce titre accrocheur très proche de ce dont la presse non respectable abuse, mais d'un autre côté cet article parle exactement de ça.
Je m'étonne du manque de connaissances de pas mal de monde, et surtout que ce genre de système soit tellement peu documenté sur le net. J'ai tenté moi-même, avec mes faibles compétences, une expérience qui a porté ses fruits. Je sais aussi que certains d'entre vous connaissent très bien ce système et sont pleinement conscients du danger.
Je vais vous expliquer comment, via un simple téléphone sous Android, il est possible de subtiliser des dizaines de comptes de sites tels que facebook, hotmail, gmail, twitter, flickr,...
Je ne suis pas un "pirate" mal intentionné, je n'ai personnellement pas abusé de ce système. J'ai juste testé personnellement à la maison ce que cela donnait, avec mes propres comptes et mon propre matériel.
J'avais déjà utilisé ce système auparavant, dans un but professionnel, afin d'installer un filtre "maison" pour certains sites dans un établissement pour les jeunes. Cette installation date d'il y a presque 10 ans, ce n'est donc pas une nouveauté et vous avez pris des risques pendant tout ce temps, sans même le savoir.
Se faire pirater avec le sourire
Le pire dans l'histoire, c'est que vous êtes entièrement responsables de ce qui vous arrive, vous pensez effectuer une action tout en tirant des bénéfices, mais c'est sans savoir ce qui se cache derrière.
Arrêtons l'aspect mystérieux et dévoilons le système sans tourner autour du pot. Je vais fournir suffisamment d'informations ici pour que vous puissiez effectuer des recherches de votre côté et réitérer l'expérience. Je décline toute responsabilité en cas d'usage abusif, je désire simplement mettre en garde contre ce système.
Mise en situation: Je suis dans la rue, ou un endroit public et je recherche de manière active une connexion wifi. Quelle chance, un idiot n'a pas sécurisé son réseau, je peux donc me connecter sur "Linksys" et consulter mes mails, mon compte facebook etc... Une aubaine! Sauf que ce réseau wifi et son "accessibilité accidentelle" ont été planifiés consciemment par le propriétaire. Je me connecte sur mes comptes habituels, demande de mot de passe via la page du site en question, pas trop d'étonnement vu que je suis connecté sur un réseau auquel je n'avais jamais eu accès auparavant, ou bien les cookies de mon ordi ont été effacés/ont passé la date de validation, ce qui est possible aussi... En même temps, je lance une recherche sur le net, visite des forums etc... La connexion fonctionne bien.
Sauf qu'en accédant à la page "facebook.com" par exemple, je suis redirigé vers une copie de la page mise en place sur l'ordinateur qui sert de point d'accès. Les données y sont donc transférées en toute transparence et lorsque je suis authentifié, je suis redirigé vers le vrai site. Si le site réel ne me demande pas d'autre authentification, je ne m'aperçois de rien.
Ce principe s'appelle "Rogue AP" ou "Rogue Access Point", via une simple carte wifi et des outils disponibles gratuitement sur le net, il vous est possible de mettre ce système en place. A vous maintenant d'imposer les redirections d'url pour certains sites dignes d'intérêt (facebook, gmail et autres...) vers des copies des pages stockées sur votre ordinateur, en toute transparence. A chaque tentative de connexion, ce sera un nom d'utilisateur et un mot de passe qui sera envoyé à votre boîte mail(selon la programmation du formulaire que vous intégrez à la copie de page, l'envoi par mail des données de formulaire étant le plus facile). Vous pouvez pousser jusqu'à imiter également les pages mobiles, de la détection du type de terminal à l'affichage de la page correcte. Avec un tant soit peu de connaissances en développement web, il est aisé de berner tout utilisateur, même averti.
J'ai poussé le système un peu plus loin, en utilisant via des outils existants le tethering de mon gsm Android. Sans entrer dans les détails, toute personne qui se serait connectée sur le réseau sans fil de ce dernier était redirigé vers les copies de pages hébergées sur un de mes serveurs dédiés en Allemagne(en chipotant un peu, j'aurais pu utiliser mon téléphone Android comme serveur web pour lancer ces dernières sans passer par un ordinateur externe, mais mon système était déjà en place, j'ai testé tout d'abord à la maison via mon ordinateur de bureau... sous Windows). Les applications nécessaires sous Android existent et sont téléchargeables au format .apk ou sur le market, le téléphone doit cependant être rooté pour que cela fonctionne et, bien évidemment, une connexion 3G à partager doit être disponible.
L'expérience à la maison a très bien fonctionné, j'imagine qu'il en aurait été de même si je m'étais assis à la terrasse d'un café avec le téléphone en poche ou bien en plein milieu d'une gare. J'ai même constaté que Firefox indiquait le site visité (Facebook) en vert dans la barre d'adresse malgré la contrefaçon.
Il vaut donc mieux prendre un maximum de précautions en ce qui concerne vos connexions à l'extérieur, dans un café, voire même chez vous. Un accès wifi gratuit peut vous coûter beaucoup...
Quelques conseils pour éviter de tomber dans un tel piège:
- Se méfier des réseaux ouverts/non sécurisés.
- Entrer en premier lieu un faux nom d'utilisateur/mot de passe lorsqu'il est demandé, la plupart des personnes qui tenteront l'expérience n'iront pas jusqu'à répliquer le comportement des pages en cas de mauvaise entrée.
- Utiliser au maximum les applications si on utilise un téléphone ou une tablette, les connexions sont beaucoup plus sécurisées, notamment pour contrecarrer cette méthode.
- Changer régulièrement de mot de passe. Même si aucun doute n'est possible.
Aucun commentaire:
Enregistrer un commentaire