Les connexions TLS V1.3 sont-elles sur une sécurité Wi-Fi ouverte?
Si un périphérique non compromis est connecté à Internet via une connexion Wi-Fi ouverte, tout le monde peut afficher le trafic.
Mais si tout Les connexions aux serveurs utilisent un protocole cryptographique raisonnablement sécurisé (tel qu'une version récente de TLS), est la communication sécurisée?
Si oui, quel est le préjudice de l'utilisation du Wi-Fi ouvert si on ne permet que les connexions TLS V1.3?
TL/DR: L'utilisation d'une connexion Wi-Fi publique est correcte tant que vous veillez à ne visiter aucun site sans TLS et à garder votre appareil ( principalement OS et navigateur) à jour.
Homme au milieu des attaques
Une connexion Wi-Fi ouverte ne peut pas compromettre une connexion TLS correctement sécurisée. Mais toutes les connexions TLS ne sont pas correctement sécurisées. La majorité des sites n'utilisent pas [~ # ~ # ~] HST [~ # ~ ~] (Bien que heureusement la plupart des grands sites principaux), ce qui signifie qu'ils sont vulnérables à SSLStrip attaques. La plupart des utilisateurs normaux, et même la plupart des technologies avertissent, ne le remarqueront pas. La solution est de Allumez le mode HTTPS uniquement Dans votre navigateur.
DNS est surtout aussi clairement clair, ce qui permet à chacun de renifler votre trafic d'intercepter les réponses à vos demandes DNS et de les modifier. Cependant, ils ne seront toujours pas en mesure de forger un certificat TLS valide, de sorte que votre navigateur lancera un avertissement. Si, toutefois, vous êtes paranoïaque et que vous voulez vous assurer que les personnes sur la Wi-Fi ouverte ne peuvent même pas voir vos demandes DNS, vous pouvez activer DNS sur HTTPS.
Attaques contre votre machine
Sur une connexion Wi-Fi ouverte/publique, un attaquant peut également essayer d'attaquer votre machine directement. Par exemple, ils peuvent essayer de brute-forcer votre mot de passe via SMB ou de tenter d'exploiter toutes les vulnérabilités de système d'exploitation récentes pour lesquelles vous ne pouvez pas avoir de patch installé. De toute évidence, la solution consiste à maintenir votre système à jour. Si vous êtes suffisamment convaincu, configurez votre pare-feu pour bloquer toutes les connexions entrantes non désirées. (Sur Windows, marquant un réseau comme le public dira que le système d'exploitation fermera plusieurs des trous de son pare-feu.) Bien sûr, si votre modèle de menace inclut zéro jours, vous voudrez peut-être rester à l'écart des wi-fis publics
Notez que, contrairement à ce que certains postes plus anciens sur ce site pourraient impliquer, les VPN ne sont pas la solution à aucun de ces problèmes.