Airbnb – La problématique sécuritaire des points d’accès Internet pointée du doigt

6

Alors que Airbnb permet la location de millions de logements de part le monde, un chercheur en sécurité vient de lancer une alerte concernant l’énorme vulnérabilité des points d’accès Internet au sein de ces derniers. Explications.

A l’occasion de la conférence Black Hat 2016 de Las Vegas, le chercheur en sécurité chez Atlassian Jeremy Galloway a alerté sur le risque très élevé de piratage des accès Internet Wi-Fi disponibles dans une grande majorité des locations proposées sur Airbnb.

Airbnb_Logo

Les voyageurs et touristes en tout genre ont souvent comme exigence la présence d’un accès Internet Wi-Fi dans leur location. C’est pourquoi les locations proposées via le service Airbnb en sont généralement équipées. Mais voila, le chercheur en sécurité prévient de l’extrême dangerosité du dispositif : un locataire peu scrupuleux peut en effet très facilement en prendre le contrôle grâce à son accès physique à l’appareil et espionner ensuite l’ensemble des futurs locataires qui l’utiliseront !

Un piratage simple via l’accès physique

Ce qui inquiète particulièrement le chercheur est la simplicité de la manipulation conduisant à la compromission d’un point d’accès Internet ainsi qu’à leur nombre très élevé dans le monde parmi les locations Airbnb.

En quelques minutes, un locataire malintentionné peut prendre le contrôle de la box ou du routeur domestique de la location mis à sa disposition via un processus de réinitialisation, à l’aide d’un simple trombone à papier. La menace a d’ailleurs été baptisée “Average Paper Clip APT“. Une fois réinitialisé, l’attaquant peut paramétrer l’appareil à sa guise afin d’en prendre le contrôle à distance et d’obtenir un accès complet au dispositif sans aucune restriction à l’avenir.

blackhat_usa_2016

A partir de là, tout est désormais possible à distance pour le pirate ! L’implantation d’un programme malveillant sera un plus non négligeable pour l’attaquant et les locataires suivants pourront être victime d’une attaque de l’homme du milieu (man-in-the-middle) en bonne et due forme. En interceptant le trafic passant par le point d’accès, le pirate aura sous la main toutes les données sensibles des utilisateurs : identifiants, mots de passe, accès aux machines connectées, données bancaires, identité complète, etc.

Moyens de protection

wlan

Face à cette menace touchant des millions de locations proposées via Airbnb, il n’existe que quelques solutions de protection.

D’une part, les propriétaires des lieux fournissant l’équipement de connexion sont encouragés à cacher le matériel de point d’accès Internet Wi-Fi et d’en empêcher tout accès physique pour les locataires. La création d’un réseau Wi-Fi en mode invité sera un plus puisqu’il sera indépendant.

D’autre part, les locataires peuvent quant à eux utiliser un réseau privé virtuel (VPN) qui protégera les données privées via un tunnel chiffré de bout-en -bout, rendant ainsi toute interception vaine. De plus, le chercheur conseille l’utilisation du réseau mobile 2G / 3G / 4G à la place du Wi-Fi pour toutes les connexions sensibles de type bancaires. Inutile de tenter le diable !

notebook-wifi

6 Commentaires

  1. “En interceptant le trafic passant par le point d’accès, le pirate aura sous la main toutes les données sensibles des utilisateurs : identifiants, mots de passe”
    Pas si la connection est en HTTPS, ce qui est le cas des sites de banque et de bien d’autres.

  2. Chercheur en sécurité informatique… pour nous apprendre qu’on peut réinitialiser une box pour en prendre l’accès… whaaoooo
    Merci captain obvious !

    • N’empêche que personne n’avait pensé à ce vecteur d’attaque avant lui 🙂
      Et il a fait une démo au Black Hat 2016 quand même ! Mais c’est vrai que c’est basique comme méthode (je l’ai précisé dans l’article) mais bien vicieux !

      • Personne n’y a pensé, ou personne n’en a parlé tellement ça coule de source.
        En invitant un inconnu chez soit, il peut y avoir tellement de soucis divers, que personne n’en parle.

        C’est comme expliquer qu’on peut se faire voler nos ID en allant dans un cybercafé véreux, personne n’en parlera en théorie car c’est évident.

        Personnellement je trouve ça bizarre que la BlackHat 2016 ait accepté une simple attack in the middle à leur convention, ils devaient être en rade de conférenciers durant les heures creuses.

        (Le merci captain obvious était pour le chercheur, pas pour undernews dont j’apprécie la lecture^^)

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.