Faut-il éviter de se connecter sur un WiFi public et comment se protéger ?

On a tous connu la galère lorsqu’on se trouve à l’étranger et que l’on veut se connecter à internet depuis son smartphone, surtout si notre forfait mobile n’inclut pas les usages depuis le pays visité.
Que faisons-nous tous la plupart du temps ? Nous nous connectons à un hotspot WiFi gratuit évidemment.

Avant d’entrer dans le vif du sujet de ce dossier, voici un sondage à ce propos. Je t’invite à voter si ce n’est pas déjà fait.

Est-ce qu'il t'arrive d'utiliser des réseaux WiFi publics (gares, aéroports, hôtels, à l'étranger...)?

Résultats

Loading ... Loading ...

Hotspot = danger ?

Ces hotspots sont très faciles d’accès car énormément répandus, surtout dans les villes. Mais aussi parce qu’ils ne demandent aucune réelle identification : le réseau wifi est ouvert. Souvent on est redirigé vers une page avec un bouton à cliquer pour indiquer qu’on accepte les conditions d’utilisation que nous ne lisons pas. Et c’est parti.

Source image ici

Pourtant, une connexion non-sécurisée est, comme son nom l’indique, potentiellement dangereuse.

Une personne mal-intentionnée avec un minimum de connaissances peut très facilement regarder et analyser les données qui circulent sur le Wifi public que tu utilises dans la mesure où n’importe qui peut s’y connecter. Rien de plus facile ensuite de récupérer la liste des sites que tu consultes. Mais aussi potentiellement des mots de passe ou d’autres données échangées sur les applications.

Existe-t-il une solution de contournement ?

Pour prendre le moins de risque possible, et surtout si l’on ne possède pas d’autre manière de se connecter, il existe tout de même une solution. Il suffit de passer par un VPN sécurisé. Pour faire simple, ce dernier va tout simplement détourner la connexion de manière chiffrée de sorte qu’elle ne soit pas lisible sur le réseau que tu utilises.

Schéma d’une utilisation par VPN. Source: ici

Ça tombe bien, c’est ce que propose Opéra VPN, l’un des plus connus, disponible sur Android, iOS et PC. Son application est facile à utiliser et en plus très sexy visuellement. Lorsque l’on est connecté à un WiFi public, il va faire une comparaison des risques avec et sans le service VPN. Exemple ci-dessous sur le WiFi gratuit d’un aéroport. 

Connexion à un WiFi public non-sécurisé. Capture d’écran de Opéra VPN avec comparatif.

Un service VPN, est-ce vraiment fiable ?

Un célèbre adage dit que si c’est gratuit, c’est que nous sommes le produit. En vérifiant un peu comment se déroule la tambouille chez Opera VPN on se rend vite compte en fouillant un peu le site que derrière se cache la société SurfEasy, spécialisée justement dans les solutions de VPN. Quelle-est la politique de confidentialité mise en place pour Opera VPN ?

La page Privacy Policy (encore un truc qu’on ne lit jamais) de l’application indique que des collectes sont faites à des fins statistiques mais également pour « protéger l’utilisateur ». Mais que collecte donc Opera VPN ? Pas besoin d’aller bien loin pour trouver.

Politique de confidentialité d’Opéra VPN

On se rend finalement compte que SurfEasy collecte quelques données sur notre utilisation de l’application, incluant les sites que nous visitons et les adresses IP pour nous localiser, en plus du type d’appareil, de navigateur et de l’opérateur utilisés. Plus loin, il est indiqué que SurfEasy may share, sell, and/or distirbute anonymized aggregated usage data with third parties.

A l’inverse de leur propre solution payante nommée SurfEasy VPN (toujours la même boite donc) où il est clairement indiqué ceci dans leur politique de confidentialité :

Politique de confidentialité de l’application SurfEasy VPN

Ici c’est clair, rien n’est collecté. C’est tout l’inverse d’Opera VPN alors que c’est la même société qui gère. La raison ? Tu as peut-être déjà deviné : OperaVPN est gratuit, SurfEasyVPN est payant ; l’abonnement est à 12$ par mois.

Tout cela pour te dire qu’il peut-être utile d’utiliser un VPN mais encore faut-il utiliser le bon. Cela implique une confiance toute relative auprès de l’entreprise qui le met à disposition, d’autant plus qu’il en existe un bon paquet qui sont gratuits sur le Google Play par exemple.

Des applications VPN qui volent les données ?

Une récente étude australienne (PDF) montrait qu’une bonne poignée de VPN gratuits proposés sur Google Play contenaient un malware permettant de voler des données. C’est un peu embêtant quand l’argument est justement la sécurité. Le plus étonnant c’est que certaines étaient bien évaluées par les utilisateurs et téléchargées des millions de fois.

Voici la liste des principaux concernés. Ils ont normalement tous été retirés par Google.

 

  • OkVpn (notée 4.2/5)
  • EasyVpn
  • SuperVPN
  • Betternet (notée 4.3/5 & 5 million de téléchargements)
  • CrossVpn
  • Archie VPN
  • HatVPN
  • sFly Network Booster
  • One Click VPN (notée 4.3/5 & 1 million de téléchargements)
  • Fast Secure Payment

Sois donc très vigilant lorsque tu choisis une application de VPN.

 

Et concernant Tor ?

Pour faire simple, c’est un peu le même principe technique pour Tor. La connexion passe cependant par différentes boucles à travers le monde, elle est donc largement délocalisée et n’est pas entre les mains d’une entreprise. On sait que Tor est présenté grossièrement dans les médias classiques pour être utilisé par des dealers en tous genres. Cependant cette solution semble être, selon moi, la plus fiable pour se connecter.

Voici une vidéo de présentation, les sous-titres français sont disponibles dans les paramètres de cette dernière.

Un peu moins facile à utiliser qu’un Opera VPN au premier abord, Orbot (l’application Android de Tor) oblige en effet à paramétrer soi-même les applications qui doivent ou non passer par le service. On peut également télécharger Orfox, son navigateur dédié basé sur Firefox. Evidemment, ce n’est pas la peine de penser à télécharger des films ou regarder des vidéos en streaming, ce n’est pas fait pour ça et de toute manière ça ne fonctionnera pas.

Orbot sur Android
Utiliser Tor sur Android avec Orbot.

Tor et Orbot semblent donc être plus sûrs que des VPN tels que nous les avons vu précédemment, en revanche la rapidité d’affichage ne sera pas la même. On ne peut pas tout avoir 🙂

Conclusion

Sans céder à une quelconque paranoïa, il est à mon avis important de faire attention d’où l’on se connecte et réfléchir à prendre les précautions nécessaires. L’espionnage peut en effet être organisé par une personne sans scrupule qui veut voler des données, mais aussi par des organisations gouvernementales.

La France est bien concernée. On sait que les Etats peuvent surveiller ses populations pour différentes raisons. Les révélations de Snowden ne sont pas anodines.

Alors on peut se dire que c’est inutile lorsqu’on a rien à se reprocher. Ce raisonnement est, à mon avis, équivalent à laisser la porte de son appartement ouverte sous le prétexte que les voisins sont sympas. Ou de donner ses mots de passe à un inconnu. Il s’agit surtout d’une question de principe.

N’oublions pas que dans d’autres Etats, on peut avoir des ennuis avec les autorités pour un simple Tweet ou un message Facebook qui ne correspond pas à la pensée officielle du pays. Et puis franchement, même en ayant rien à se reprocher, ferais-tu confiance à ce qu’un employé quelconque puisse lire tes conversations et voir toutes tes photos ?

Chacun est donc libre de juger s’il est nécessaire de se protéger suivant les situations.

4 commentaires à propos de “Faut-il éviter de se connecter sur un WiFi public et comment se protéger ?

  1. Indentification ? Ouvert ? Securisé ? Tu as fais la meme erreur que beaucoup de media: Un hotspot public avec mot de passe est tout aussi dangereux que sans. On ne peut donc pas les décrire comme ouvert, securisés ou avec identification, sans envoyer tes lecteurs a l’abattoir.

    A noter : free.fr comme toujours, la freebox:
    – force le mot de passe crypté (pour les google cars ptdr)
    – propose un freewifi secure vraiment secure (pas de mot de passe, identification physique, session dediée et privée)
    – enfin propose la creation de comptes VPN multiples entrant et sortants personnels.

    Les samsung par exemple ont un outil de connexion VPN intégré qui fonctionne avec un compte freebox, pas besoin d’appli ou de service tiers.

  2. Merci pour tes précisions.
    On est d’accord qu’un hotspot public, même faussement protégé avec un mot de passe sur une vulgaire page d’accueil par exemple, est facile à déshabiller. Si c’est de ça dont tu parlais.

  3. Non je parle des hotspots a mot de passe partagé, un café dont le mot de passe est public, une fois que t’es dedans, tu accedes a tous ceux connectés comme s’il n’y avait pas de mot de passe.

  4. Ah oui c’est évident. Surtout qu’en général ils ne prennent pas la peine de changer les mots de passe régulièrement ce qui étend les risques.
    Je vais le préciser dans l’article car ce n’était peut être pas assez clair sur ce sujet.

Laisser un commentaire