Se connecter à Internet depuis n’importe où n’est plus un luxe, mais fait partie de notre quotidien : cafés, gares, aéroports, des hotspots Wi-fi sont disponibles partout et tout le temps. On peut dès lors y lire ses mails, modifier son statut, rester connecté à ses amis, partager, voire commander en ligne le dernier gadget vu sur une affiche.
Ce faisant vous établissez des connexions avec vos services favoris, via un hotspot non sécurisé. N’importe qui peut donc “écouter” vos communications si elles ne sont pas protégées par du chiffrement. Cela donne lieu à une attaque très connue depuis longtemps, le vol de session (session hijacking) : la personne mal intentionnée écoute vos communications, intercepte le cookie de session qui maintient votre identité sur le service web, et utilise ce cookie pour se connecter au même service web sous votre identité. L’attaque est connue, mais, depuis octobre dernier, un outil gratuit nommé Firesheep rend l’attaque extrêmement facile à réaliser. La personne qui vole la session d’une autre personne peut, en quelques clics, envoyer des mails à sa place, modifier son statut Facebook, envoyer des tweets, voire faire des achats en son nom.
Pour vous protéger de ce type d’attaque, une solution simple est d’utiliser HTTPS au lieu d’HTTP pour vous connecter à ces sites web sensibles. HTTPS est un moyen de chiffrer les communication entre vous et le site web, rendant impossible le vol de session. Pour cela il faut parfois simplement utiliser https au lieu de http dans l’adresse du site. Pour certains services, il faut activer HTTPS sur le site lui-même. Note : HTTPS utilise le protocole SSL ou TLS, vous rencontrerez peut-être l’un de ces trois termes sur les sites qui vous intéressent.
Par exemple, pour Hotmail, il faut activer le HTTPS ici : https://account.live.com/ManageSSL.
Pour Facebook, il faut aller dans Compte, Paramètres du compte, puis, dans la section Sécurité du compte, cochez la case Navigation sécurisée :
D’autres solutions plus complexes à mettre en œuvre existent. Par exemple si vous utilisez un VPN pour accéder à Internet vous êtes protégé. Il existe aussi des extensions de navigateur qui forcent l’utilisation de HTTPS. Enfin, chez vous, si votre routeur Wi-fi est configuré pour utiliser la protection WPA ou WPA2, vous n’êtes pas sujets à ce type d’attaque.
En conclusion, activez le HTTPS chaque fois que possible, évitez de faire vos achats sur Internet depuis un hotspot public, et pensez également à vos smartphones.
Vous trouverez d’autres conseils pour utiliser les réseaux Wi-fi publics en toute sécurité sur le site Microsoft Sécurité pour les particuliers.
Mise à jour 16/3/2011 – Twitter vient d’annoncer une nouvelle option pour activer HTTPS par défaut. Dans les paramètres de votre compte, il suffit de cocher la case Toujours utiliser HTTPS en bas de la page :
Contactez Microsoft |
Conditions d'utilisation |
Marques |
Déclaration de Confidentialité
