Les réseaux WiFi publics sont devenus légion. Mais ils sont aussi dangereux que nombreux ! La Commission nationale Informatique et Libertés s’est intéressée à la sécurisation de ces points d’accès publics et le bilan est très négatif…
Les réseaux Wi-Fi ouverts et gratuits sont partout : villes, parcs, restaurants, hôtels, etc. La plupart du temps, le logo est même affiché bien en vu pour la bonne raison que cela est devenu un critère de service supérieur et de commodité. Pratiques certes, mais encore faut-il connaître les risques liés à l’utilisation de ce type de réseaux !
Certains utilisateurs sensibilisés à la sécurité informatiques savent très bien qu’un réseau ouvert est synonyme de risque pour les données numériques qui y transitent. A noter que les gestionnaires fournissant et exploitant ces points d’accès Internet ne se préoccupent pas trop de leur sécurisation ni de la manière de gérer les données échangées.
C’est la conclusion d’une récente étude menée par la Cnil qui a effectué plusieurs contrôles des modalités de mise en œuvre de ce type de service auprès d’organismes privés et publics. A chaque fois, de graves manquements ont été repérés :
- Conservation des données échangées, et des URLs visitées (illégal, article L. 34‑1 VI du CPCE)
- Conservation perpétuelle des journaux de connexion (1 an maximum légalement, article R. 10-13 du CPCE)
- Informations sur les modalités de traitement des données inexistantes ou mal communiquée aux utilisateurs
- Mise en place d’outils de surveillance espions indiscrets
- Lacunes en sécurité & confidentialité (absence de chiffrement, accessibilité du BIOS ou exploitation depuis une clé USB)
Le CPCE (Code des postes et des communications électroniques) est clair sur certains points relatifs à la vie privée en ligne et la Cnil souhaite rappeler que la loi devrait être appliquée partout, y compris par les fournisseurs de réseaux WiFi ouverts et gratuits. Imaginez l’exploitation massive de telles bases de données pour du tracking…
Plus inquiétant, plusieurs opérateurs de communication électronique contrôlés utilisaient des outils de surveillance afin d’assurer la sécurité des postes informatiques, la gestion des tarifications, les impressions, etc. Or, l’utilisation de tels outils est susceptible de donner accès à un grand nombre d’informations excessives au regard de la finalité pour laquelle elles sont collectées (identifiants-mots de passe, numéros de compte bancaire, etc). Le recours à de tels outils doit être évité ou un paramétrage limité doit être mis en place, souligne la Cnil.
Pour y remédier, les opérateurs de communication électronique doivent inclure une clause relative à la sécurité des données dans le contrat conclu avec le prestataire réseaux. La Cnil demande donc aux opérateurs fournissant ce type de service de sécuriser les accès aux journaux de connexion ; d’assurer la robustesse des mots de passe d’accès au BIOS permettant de modifier la configuration basique du système et de limiter à quelques minutes la durée de stockage des documents en attente d’impression (pour éviter la divulgation de documents à des tiers).
Bref, il y a du boulot ! Dans tous les cas, si vous êtes amené à utiliser ce genre de réseau public, gardez en tête qu’il faut impérativement se protéger, vous comme votre trafic entrant/sortant. Pour ce faire, la meilleure solution consiste à opter pour un VPN de qualité, offrant une sécurité maximale et un trafic chiffré de bout en bout. Aucune interception locale n’est alors possible !
Source : ZDNet
*Cet article contient un lien sponsorisé