web-dev-qa-db-fra.com

Le Wi-Fi public est-il une menace de nos jours?

À mon avis, les arguments que nous utilisons depuis des années pour dire que les points d'accès Wi-Fi publics ne sont pas sécurisés ne sont plus valables, tout comme les remèdes recommandés (par exemple, utiliser un VPN).

De nos jours, la plupart des sites utilisent HTTPS et définissent des en-têtes HSTS, de sorte que les chances que quelqu'un puisse espionner la connexion de quelqu'un d'autre sont très faibles, au point de s'attendre à une vulnérabilité de jour zéro dans TLS.

Alors, à quelles autres menaces peut-on faire face de nos jours sur un réseau public?

138
eez0

Le WiFi public n'est toujours pas sécurisé, et il le sera toujours s'il n'est pas utilisé avec quelque chose comme un VPN.

  • De nombreux sites Web utilisent HTTPS, mais pas presque tous. En fait, plus de 30% ne le font pas .
  • Seulement environ 5% des sites Web utilisent HSTS. Et c'est toujours la confiance à la première utilisation. Si l'âge maximum est court, cette première utilisation peut être assez fréquente. Avouons-le, même si vous êtes un pro de la sécurité, vous risquez de tomber de toute façon pour la bande SSL. Je sais que je le ferais.
  • Ce n'est pas parce que vous utilisez HTTPS que vous le faites correctement. Il y a encore beaucoup de contenu mixte. De nombreux clients prennent toujours en charge les anciennes versions avec des vulnérabilités connues, donc une attaque ne doit pas être un jour zéro pour réussir.
  • Même si vous utilisez HTTPS, vous perdez de toute façon beaucoup d'informations, telles que le domaine que vous visitez, tout votre trafic DNS, etc.
  • Un ordinateur ou un téléphone utilise Internet pour plus que la simple navigation:
    • Tout ce qu'il faut, c'est une application qui a une cryptographie incorrecte (ou aucune) pour sa fonction de mise à jour et vous êtes la propriété.
    • Toutes ces applications que vous avez autorisées à accéder à toutes sortes de données personnelles ...
    • Dancrumb a plus d'exemples dans son grande réponse .
  • Défense en profondeur .

Un VPN est bon marché et c'est toujours un fruit bas en matière de sécurité.

197
Anders

Je suis un peu surpris que personne n'ait souligné qu'il y a plus sur Internet que HTTP.

Même si vos affirmations sur HTTP (S) et HSTS étaient correctes (et d'autres réponses en discutent), vous oubliez POP, SMTP, IMAP, FTP, DNS, etc. Aucun de ces protocoles n'est intrinsèquement sécurisé.

118
Dancrumb

Une autre difficulté de l'accès wifi public est que vous êtes sur le même réseau local que les autres acteurs inconnus. Toute mauvaise configuration de vos autorisations de réseau local peut entraîner une intrusion dans votre appareil. Peut-être qu'à la maison, vous avez configuré des données partagées sur votre réseau local. Désormais, tout le monde sur le même point d'accès wifi peut avoir accès à ces données partagées. Le plus souvent, cette protection est assurée par un pare-feu (que ce soit au bureau ou à domicile), et vous considérez le réseau local plus sécurisé que l'Internet nu. Mais cette fois, vous pouvez être sur le même réseau local qu'un attaquant.

23
entrop-x

Je dirais que chaque fois que vous vous connectez à un réseau accessible au public, vous vous mettez en danger, les VPN sont excellents, mais ne font rien pour pare-feu votre machine contre les menaces sur le réseau local si vous, l'utilisateur, bousculez et ouvrez dites : votre dossier privé pour le partager avec quelqu'un d'autre.

Une stratégie avec laquelle j'ai utilisé et joué dans le passé sur un réseau public est le pot de miel à l'ancienne, partager un dossier avec un fichier et surveiller l'accès à ce fichier également, se déconnecter immédiatement lorsqu'il est accédé et vous savez que vous ne l'avez pas fait y accéder.

10
Gartral

Une partie de l'inquiétude concerne les attaques MiTM et la tendance des ordinateurs portables à être configurés pour se connecter aveuglément à des réseaux ouverts basés sur SSID après la connexion initiale. Rien n'empêche un tiers inconnu de démarrer un point d'accès avec le même SSID que celui utilisé à d'autres endroits. Ainsi, même si une partie de votre trafic peut être protégée, une bonne partie ne le sera pas et l'attaquant aura un chemin sur lequel il pourra tenter de compromettre votre ordinateur portable.

8
bobstro

C'est exactement un scénario où le cryptage semi-"opportuniste" (comme l'écosystème mixte texte en clair/crypté HTTP/HTTPS) peut vous faire échouer - à tout le moins, vous devez compter sur votre navigateur pour ne pas ouvrir de façon inattendue une ressource intégrée dans une page Web via un protocole non sécurisé (même si un homme au milieu le rétrograde pour vous), et également sur les certificats douteux qui ne sont pas acceptés. Pour chaque page et pour tout, chaque page se charge.

Un VPN, comme mentionné, peut toujours acheminer toutes sortes de trafic malveillant vers un point de terminaison vulnérable - et inversement.

En l'absence de logiciels malveillants vraiment problématiques tels que les enregistreurs de frappe et les logiciels de contrôle à distance illicites, la configuration la plus sûre consisterait à contrôler un ordinateur distant de confiance via quelque chose comme un bureau distant ou ssh (avec ou sans transfert X11), entraînant tout le trafic pertinent via un canal crypté . L'établissement de ce canal nécessiterait encore une diligence supplémentaire (par exemple, vérifier manuellement les empreintes des certificats) pour éviter tout risque d'attaque MITM (qui pourrait obtenir les informations de connexion d'un attaquant dans le pire des cas).

6
rackandboneman

À propos de l'utilisation des services Wifi publics, Tor et VPN peuvent toujours divulguer des informations.

Outre les implications de sécurité pour Tor et VPN, vous devez toujours obtenir au moins les services DHCP du Wifi public.

Selon les paramètres Wi-Fi, le service offrant peut toujours ouvrir une fenêtre de navigateur (limitée) directement dans votre appareil, même lorsque vous utilisez un VPN si vous utilisez des technologies de réseau captif, et votre appareil sera exposé et parlera en dehors du VPN dans une certaine mesure jusqu'à ce que vous authentifier dans le portail réseau captif.

IMO ceci dans le plus grand éléphant dans la salle de nos jours auquel les gens ne pensent pas - j'ai écrit une preuve de concept dans FreeBSD qui ouvre une photo du crâne chez le client, avant d'aller sur la route VPN, mes collègues de travail n'étaient pas si amusés.

Je conseillerais qu'en fonction de l'appareil, en plus de Tor ou/et VPN, vous avez au moins besoin d'avoir les dernières mises à jour du système d'exploitation et un pare-feu finement réglé fonctionnant également sur votre appareil.

Donc, en fait, non, HTTPS et les technologies connexes ne sont qu'une (petite) partie de l'équation dans un cadre de sécurité et ne vous offrent un faux sentiment de sécurité que lorsqu'ils sont utilisés en soi.

6
Rui F Ribeiro

Comme Norton , une société de sécurité, dit:

Quels sont les risques?

Le problème avec le Wi-Fi public est qu'il existe un grand nombre de risques associés à ces réseaux. Bien que les propriétaires d'entreprise puissent croire qu'ils fournissent un service précieux à leurs clients, il est probable que la sécurité sur ces réseaux soit laxiste ou inexistante.

Man in the Middle attaque

L'une des menaces les plus courantes sur ces réseaux est appelée attaque Man in the Middle (MitM). Essentiellement, une attaque MitM est une forme d'écoute clandestine. Lorsqu'un ordinateur établit une connexion à Internet, les données sont envoyées du point A (ordinateur) au point B (service/site Web), et des vulnérabilités peuvent permettre à un attaquant d'intervenir entre ces transmissions et de les "lire". Donc, ce que vous pensiez être privé ne l'est plus.

Réseaux non cryptés

Le chiffrement signifie que les messages qui sont envoyés entre votre ordinateur et le routeur sans fil se présentent sous la forme d'un "code secret", de sorte qu'ils ne peuvent pas être lus par quiconque n'a pas la clé pour déchiffrer le code. La plupart des routeurs sont expédiés de l'usine avec le cryptage désactivé par défaut, et il doit être activé lors de la configuration du réseau. Si un professionnel de l'informatique configure le réseau, les chances sont bonnes que le cryptage ait été activé. Cependant, il n'y a aucun moyen infaillible de savoir si cela s'est produit.

Distribution de logiciels malveillants

Grâce aux vulnérabilités logicielles, il existe également des moyens pour les attaquants de glisser des logiciels malveillants sur votre ordinateur sans que vous le sachiez. Une vulnérabilité logicielle est une faille ou une faiblesse de sécurité trouvée dans un système d'exploitation ou un programme logiciel. Les pirates peuvent exploiter cette faiblesse en écrivant du code pour cibler une vulnérabilité spécifique, puis injecter le malware sur votre appareil.

Espionnage et reniflement

Le snooping et le sniffing Wi-Fi sont ce que cela ressemble. Les cybercriminels peuvent acheter des kits logiciels spéciaux et même des appareils pour les aider à écouter les signaux Wi-Fi. Cette technique peut permettre aux attaquants d'accéder à tout ce que vous faites en ligne - de la visualisation de pages Web entières que vous avez visitées (y compris toutes les informations que vous avez pu remplir en visitant cette page Web) à la possibilité de capturer vos identifiants de connexion, et même de pouvoir Détournez vos comptes.

Hotspots malveillants

Ces "points d'accès escrocs" incitent les victimes à se connecter à ce qu'elles pensent être un réseau légitime car le nom semble fiable. Supposons que vous restiez au Goodnyght Inn et que vous souhaitiez vous connecter au Wi-Fi de l'hôtel. Vous pensez peut-être que vous sélectionnez le bon lorsque vous cliquez sur "GoodNyte Inn", mais vous ne l'avez pas fait. Au lieu de cela, vous venez de vous connecter à un point d'accès non autorisé configuré par des cybercriminels qui peuvent désormais afficher vos informations sensibles.

Lorsque tout le monde connaît ces risques, la chose minimale à faire est de réduire les risques.

À ce sujet, vous pouvez lire quelques articles:

1
Emanuel Pirovano

Je ne suis pas sûr à 100% de votre préoccupation.

Les points d'accès Wi-Fi publics ne sont pas fiables, c'est vrai. Mais Internet n'est pas fiable. Les sites que vous visitez ne sont pas fiables. Les sites que vous utilisez pour effectuer des recherches sur le Web sont en particulier non fiables.

Quelqu'un sur un hotspot WiFi public pourrait être en mesure d'écouter vos connexions. Quelqu'un va, sans aucun doute écouter toutes vos communications. Cela se produit régulièrement au sein de l'infrastructure du fournisseur, au CIX, aux frontières des pays et aux câbles transocéaniques (et parfois transcontinentaux). Votre fournisseur de confiance peut très bien être autorisé et requis par la loi (ils sont ici!) À enregistrer et à stocker des statistiques détaillées sur chaque connexion que vous avez établie, toutes les requêtes DNS, et partager ces informations avec certains moyennement dignes de confiance et certains définitivement pas des parties dignes de confiance, parmi lesquelles des organisations de pays hostiles.
Tous les principaux États de l'industrie (pas seulement les États-Unis) ont des organisations d'écoute de dix à cent mille personnes chacune, ne faisant que l'écoute de vos communications et faisant des profils à votre sujet en fonction de qui vous communiquez avec, lorsque vous communiquez , quels noms DNS vous résolvez, etc.

Est-ce un problème pour vous? Si c'est le cas, n'utilisez pas vraiment Internet.

Quelqu'un sur un point d'accès Wi-Fi public peut essayer d'exploiter votre ordinateur. Eh bien, devinez quoi, quelqu'un pourrait aussi le faire via votre connexion Internet à domicile. Ce n'est pas aussi facile que d'être sur le même réseau local, bien sûr, mais loin d'être impossible.
Mon vénérable vieux Windows 7 considérait déjà que faire confiance aux hotspots n'était pas une si bonne idée et considère tous les hôtes non fiables dans ce paramètre (à moins que vous ne le disiez explicitement quelque chose de différent). Cela n'arrive pas sans raison. Mais étant donné les paramètres raisonnables, être sur un réseau local totalement hostile serait néanmoins raisonnablement sûr. Aucun des services exploités au cours des deux dernières années ne fonctionne même sur mon ordinateur (quel que soit le pare-feu qui laisse tomber le trafic de toute façon). Ne fais pas de merde dont tu n'as pas besoin. Moins il y a de services accessibles au réseau, moins il y a d'exploits (plus RAM disponible et démarrage plus rapide en bonus gratuit).

Il n'y a pas vraiment beaucoup de raisons d'utiliser un hotspot WiFi public de toute façon (je ne me souviens pas en avoir utilisé un). Une des raisons pourrait être que vous êtes sur la route et que vous devez faire quelque chose de vraiment important en ligne de toute urgence. OK, j'avoue, dans ce contexte, le WiFi public peut provoquer une mauvaise sensation dans l'estomac, mais à quelle fréquence cela se produit-il de toute façon. En outre, votre banque espérons-le utilise https: et vous pouvez vérifier si c'est le cas avant de saisir vos informations de compte.

Bien que les gens perçoivent de nos jours qu'ils doivent être en ligne et accessibles toute la journée (soyez honnête, quand avez-vous éteint votre téléphone portable pour la dernière fois?), Ce n'est en fait pas vrai. Vous pouvez très bien faire vos opérations bancaires depuis chez vous, et vous n'avez pas vraiment besoin d'être en ligne 24/7 lorsque vous êtes en déplacement. Habituellement, au moins.
Non, être chez Starbucks ne signifie pas que vous devez Twitter à ce sujet et publier une photo de votre café sur Facebook. Qui s'en soucie de toute façon? Mais si vous pensez que cela est absolument nécessaire et que le WiFi public est trop effrayant, alors utilisez la connexion LTE de votre smartphone (ce qui est légèrement plus sûr). Ce n'est pas comme vous devez utiliser le WiFi public.

Une autre raison d'utiliser un WiFi public serait que vous envisagez de faire quelque chose d'illégal où vous ne voudriez pas que votre identité soit trop facilement identifiée. Bien sûr, vous ne voudriez pas faire de gros trucs illégaux (vendre des armes, de la drogue, des films à priser? Le terrorisme?) À la maison. Mais bon, dans ce cas, quel est le problème avec le hotspot qui n'est pas fiable? Je veux dire, sérieusement? Un adolescent reniflant votre trafic sur le hotspot est le moindre de vos problèmes dans ce contexte.

1
Damon

De nos jours, la plupart des sites utilisent HTTPS et définissent des en-têtes HSTS, de sorte que les chances que quelqu'un puisse écouter la connexion de quelqu'un d'autre sont très faibles

Cette hypothèse est effrayante. Peu importe le nombre de sites qui définissent des en-têtes HSTS si HTTPS lui-même ne peut pas être utilisé pour assurer la sécurité de point à point. Et ça ne peut pas. Malheureusement.

Avez-vous entendu parler d'un TLS Interception Proxy ? Ils sont monnaie courante. Déployés dans les écoles, les universités et les bibliothèques et utilisés par les employeurs et les cafés, ces proxys matériels (tels que WebTitan Gateway ou Cisco ironPort WSA) rendent HTTPS nul, car pendant la connexion "sécurisée", ils introduisent un certificat dynamique faisant semblant d'être le certificat officiel du site Web de destination. Mon navigateur ne fait pas la différence, et si je ne connaissais pas mieux, je ferais confiance à chaque connexion HTTPS à première vue.

Initialement, HTTPS a été conçu pour empêcher les attaques MiTM. Aujourd'hui, le proxy TLS [~ # ~] est [~ # ~] l'attaque MiTM! Que vous ' En lisant votre e-mail ou en vérifiant le solde de votre compte bancaire, vous ne devriez pas vous faire d'illusions sur le fait que HTTPS fait réellement ce que vous attendez de lui, c'est-à-dire, sécuriser votre connexion contre les écoutes. Et à moins que vous ne vous connectiez via votre WIFI et votre routeur, ou à moins que vous n'utilisiez un VPN décent, habituez-vous au fait que votre connexion est probablement décryptée et recryptée à la volée, à votre insu et sans votre consentement.

Il n'est pas nécessaire de prendre en compte les "autres menaces" suggérées par le PO jusqu'à ce que les connexions cryptées de bonne foi soient la norme. Actuellement, ce n'est pas le cas, et HTTPS est une farce. (Pour éviter les écoutes, utilisez un VPN fiable géré par une entreprise qui ne stockera pas ou ne publiera pas d'enregistrements. Utilisez TOR pour améliorer encore la connexion.)

Pourquoi dois-je affirmer que HTTPS/HSTS n'est pas vraiment une couverture de sécurité pour un navigateur Web? Parce que 3 ans avant OP posait la question, elle était déjà exploitée et vaincue. Et seulement 2 ans auparavant, il a été renversé. De plus, certaines implémentations populaires de SSL se sont avérées défectueuses dès 1998. Même les autorités de certification (AC) ne sont pas fiables. Une brève chronologie:

  • 1998 - Daniel Bleichenbacher décrit une attaque réussie sur PKCS # 1 v1.5, (alors) RSA Encryption Standard (à CRYPTO 98 ); un assaut supposé nécessiter un million de messages d'attaque à exploiter
  • 2009 - Moxie Marlinspike crée SSLStrip pour attaquer HTTPS ( démo sur Black Hat DC 2009)
  • 2012 - L'IETF nous donne RFC 6797 , qui implémente HSTS, conçu pour contrecarrer la suppression SSL
  • 2012 - Graham Steel publie un papier (au CRYPTO 2012) démontrant que l'attaque de remplissage d'Oracle de Bleichenbacher a besoin de moins de 15 000 messages - pas un million comme initialement supposé
  • 2014 - Leonardo Nve crée SSLStrip + pour éviter HSTS ( démo à Black Hat Asia 2014)
  • 2015 - Sam Greenhalgh montre HSTS Super Cookies , montrant comment le mécanisme de sécurité HSTS est facilement détourné pour être un invasion de la vie privée
  • 2015 - Google se rend compte que Symantec et ses filiales ont émis frauduleusement plus de 000 certificats de sécurité sans audits ou divulgations appropriés
  • 2016 - Google institue une publication liste noire des autorités de certification non fiables, surnommée Submariner
  • 2017 - Ars Technica rapporté que des sites majeurs tels que Facebook et Paypal ont été testés positifs pour la vulnérabilité critique de Bleichenbacher, âgée de 19 ans, permettant aux attaquants de décrypter les données cryptées et de signer des communications en utilisant la propre clé de cryptage secrète des sites
  • 2018 - Google met à jour Chrome vers la version 70, afin de déprécier faire confiance à Symantec CA (y compris les marques appartenant à Symantec comme Thawte, VeriSign, Equifax, GeoTrust & RapidSSL ); et Mozilla suit le mouvement
  • 2018 - Adi Shamir publie un papier détaillant que les implémentations modernes de PKCS # 1 v1.5 sont tout aussi peu sûres contre le remplissage des attaques Oracle; affectant les protocoles et services comme AWS, WolfSSL et la dernière version de TLS 1.3 publiée en août 2018

Actuellement, pour lutter contre des problèmes comme la "confiance transitive", subCAs et les manigances des autorités de certification qui les émettent, par exemple GeoTrust, etc., nous avons le protocole DANE , conçu pour "sécuriser" le certificat de sécurité - l'ironie est à ne pas manquer ici - via DNSSEC en permettant les administrateurs de domaine pour créer un TLSA enregistrement DNS.

Si DANE était largement mis en œuvre, je serais peut-être plus enclin à être d'accord avec l'évaluation de la faible menace du PO, mais l'utilisation de DANE signifie qu'un site doit signer DNSSEC sa zone, et en 2016, seulement environ 0,5% des zones de .com sont signés.

En tant que alternative au DANE mal adopté, il existe des enregistrements CAA, conçus pour faire la même chose, mais ce dernier mécanisme n'est pas plus enraciné que le premier.

C'est la fin de 2017, et les chances sont extrêmement bonnes quelqu'un peut écouter votre connexion protégée HTTPS/HSTS.

MISE À JOUR DÉC 2018: Qu'il s'agisse de protocoles non sécurisés, de protocoles sécurisés mal mis en œuvre en dehors du domaine de l'utilisateur, d'une technologie sécurisée en attente d'adoption générale, d'autorités frauduleuses émettant des certificats non vérifiés, ou de bonnes écoute via le matériel à l'ancienne, c'est la fin de 2018 et je maintiens toujours les chances sont extrêmement bonnes votre connexion HTTPS ne vous protège pas.

0
Mac