© Myimagine - Fotolia.com
Cela pourrait ressembler à un film d’espionnage intitulé « Dark Hotel ».
Il s’agit pourtant du nom de code d’un acteur du cyberespionnage.
Directeurs généraux, vice-présidents, directeurs des ventes et marketing d'entreprises américaines et asiatiques… L’élite économique, source de nombreuses données sensibles, est visée.
Le mode opératoire ? Les réseaux Wifi des hôtels de luxe dans lesquels ils voyagent et un faux logiciel, de type Adore Reader ou Google Toolbar, que le visiteur est invité à télécharger.
Le hacker, grâce à ce Cheval de Troie technologique, recueille données privées, mots de passe...
Pour ensuite se volatiliser sans laisser de trace. Bienvenue dans le côté obscur du web.
La société de sécurité russe Kaspersky Lab avait révélé l’existence de ces pirates du net en novembre 2014 alors que ces hackers sévissaient déjà depuis plusieurs années.
De la fiction à la réalité, il n’y a qu’un pas.
Il s’agit pourtant du nom de code d’un acteur du cyberespionnage.
Directeurs généraux, vice-présidents, directeurs des ventes et marketing d'entreprises américaines et asiatiques… L’élite économique, source de nombreuses données sensibles, est visée.
Le mode opératoire ? Les réseaux Wifi des hôtels de luxe dans lesquels ils voyagent et un faux logiciel, de type Adore Reader ou Google Toolbar, que le visiteur est invité à télécharger.
Le hacker, grâce à ce Cheval de Troie technologique, recueille données privées, mots de passe...
Pour ensuite se volatiliser sans laisser de trace. Bienvenue dans le côté obscur du web.
La société de sécurité russe Kaspersky Lab avait révélé l’existence de ces pirates du net en novembre 2014 alors que ces hackers sévissaient déjà depuis plusieurs années.
De la fiction à la réalité, il n’y a qu’un pas.
Les Wifi des hôtels sont-ils des passoires ?
Est-ce si facile de s'introduire et récupérer les données lors de la navigation sur internet d'un individu ?
La prudence est souvent de mise lorsqu’on parle de gratuité ou de Wifi public.
Car si la navigation ne se fait pas sur un site sécurisé (dont l'adresse commence par https), alors le sésame identifiant/mot de passe est obtenu sans difficulté (75% des Français utilisent le même mot de passe).
Bien entendu, tous les utilisateurs ne présentent pas le même intérêt pour les hackers.
Un particulier a en effet moins à offrir qu’un professionnel en voyages d’affaires.
Les Wifi des hôtels sont-ils donc des passoires ?
Cédric Chenavier, co-fondateur d’A-Mano, se veut rassurant : « Faire peur est un bon moyen pour se faire de la pub » explique-t-il en parlant du dossier Dark Hotel dénoncé par la société spécialisée dans la sécurité des systèmes d’information, Kaspersky.
La prudence est souvent de mise lorsqu’on parle de gratuité ou de Wifi public.
Car si la navigation ne se fait pas sur un site sécurisé (dont l'adresse commence par https), alors le sésame identifiant/mot de passe est obtenu sans difficulté (75% des Français utilisent le même mot de passe).
Bien entendu, tous les utilisateurs ne présentent pas le même intérêt pour les hackers.
Un particulier a en effet moins à offrir qu’un professionnel en voyages d’affaires.
Les Wifi des hôtels sont-ils donc des passoires ?
Cédric Chenavier, co-fondateur d’A-Mano, se veut rassurant : « Faire peur est un bon moyen pour se faire de la pub » explique-t-il en parlant du dossier Dark Hotel dénoncé par la société spécialisée dans la sécurité des systèmes d’information, Kaspersky.
"Plus de 300 000 sites doivent être bloqués"
Pour autant, certaines règles sont à respecter, surtout pour un établissement touristique.
« Le Wifi, c’est un mur de béton avec 65 000 portes ouvertes. Le rôle d’un opérateur est de fermer les portes par défaut. Et d'ouvrir celles autorisées. Une dizaine seulement », explique, de manière imagée, Antoine Limousin directeur de 2ISR, société d’ingénierie informatique dans les systèmes et réseaux.
En effet, d’après la réglementation de l’Autorité de régulation des communications électroniques et des postes (ARCEP), plus de 300 000 sites doivent être bloqués, une liste régulièrement mise à jour dans le cadre de la loi anti-terroriste.
Régis Courvoisier, directeur Cap Esterel Cote d’Azur, a choisi de travailler avec 2ISR pour mettre en place son wifi territorial gratuit et sécurisé.
« La responsabilité de la sécurisation de la connexion et sa traçabilité sont sous-traitées à notre opérateur.
En cas de commission rogatoire, ce n’est pas à l’hôtelier que l’on demande qui s’est connecté à quoi via leur Wifi, mais c’est à cette société.
Ils enregistrent et conservent pendant un an les ID des ordinateurs ou téléphones concernés, avec l’historique de leurs connexions. »
« Le Wifi, c’est un mur de béton avec 65 000 portes ouvertes. Le rôle d’un opérateur est de fermer les portes par défaut. Et d'ouvrir celles autorisées. Une dizaine seulement », explique, de manière imagée, Antoine Limousin directeur de 2ISR, société d’ingénierie informatique dans les systèmes et réseaux.
En effet, d’après la réglementation de l’Autorité de régulation des communications électroniques et des postes (ARCEP), plus de 300 000 sites doivent être bloqués, une liste régulièrement mise à jour dans le cadre de la loi anti-terroriste.
Régis Courvoisier, directeur Cap Esterel Cote d’Azur, a choisi de travailler avec 2ISR pour mettre en place son wifi territorial gratuit et sécurisé.
« La responsabilité de la sécurisation de la connexion et sa traçabilité sont sous-traitées à notre opérateur.
En cas de commission rogatoire, ce n’est pas à l’hôtelier que l’on demande qui s’est connecté à quoi via leur Wifi, mais c’est à cette société.
Ils enregistrent et conservent pendant un an les ID des ordinateurs ou téléphones concernés, avec l’historique de leurs connexions. »
Empêcher l'intrusion de "l'homme du milieu"
« Dans certains cas, la faille n’expose pas seulement les clients, mais l'ensemble des activités de l'hôtel, avec son système de gestion et de comptabilité, son trésor de guerre en somme », explique Cédric Chenavier.
Par exemple, les chercheurs américains de Cylance, spécialistes de la sécurité informatique, ont fait état de 227 routers InnGate pouvant être attaqués directement depuis internet dans 29 pays (surtout aux États-Unis).
Un moyen de s’immiscer dans la gestion de nombreux aspects l’activité hôtelière : les réservations, la vente, la planification, les ressources humaines, la paie, la gestion d'inventaire et autres.
Pour éviter ce genre d’ennuis, Antoine Limousin affirme qu’« un réseau classique, c’est-à-dire comme à la maison, est à éviter pour un établissement touristique.
Car avec quelques logiciels, c’est facile de se faire passer pour la box et détourner les flux. Le Wifi des clients ne doit pas être le même que celui de l’entreprise. »
De plus, le routeur, qui permet le partage de la connexion, doit être ultra sécurisé avec une isolation « client to client ». Lorsque ceci n’est pas activé, deux ordinateurs peuvent communiquer entre eux et c’est là qu’il y a beaucoup de failles.
Un réseau étanche empêche aussi l’intrusion de « l’homme du milieu ».
Un type d’attaque qui consiste à ce que le pirate – ou son outil malveillant – se place entre la victime et une source de valeur, tel qu’un site bancaire ou une messagerie électronique.
Par exemple, les chercheurs américains de Cylance, spécialistes de la sécurité informatique, ont fait état de 227 routers InnGate pouvant être attaqués directement depuis internet dans 29 pays (surtout aux États-Unis).
Un moyen de s’immiscer dans la gestion de nombreux aspects l’activité hôtelière : les réservations, la vente, la planification, les ressources humaines, la paie, la gestion d'inventaire et autres.
Pour éviter ce genre d’ennuis, Antoine Limousin affirme qu’« un réseau classique, c’est-à-dire comme à la maison, est à éviter pour un établissement touristique.
Car avec quelques logiciels, c’est facile de se faire passer pour la box et détourner les flux. Le Wifi des clients ne doit pas être le même que celui de l’entreprise. »
De plus, le routeur, qui permet le partage de la connexion, doit être ultra sécurisé avec une isolation « client to client ». Lorsque ceci n’est pas activé, deux ordinateurs peuvent communiquer entre eux et c’est là qu’il y a beaucoup de failles.
Un réseau étanche empêche aussi l’intrusion de « l’homme du milieu ».
Un type d’attaque qui consiste à ce que le pirate – ou son outil malveillant – se place entre la victime et une source de valeur, tel qu’un site bancaire ou une messagerie électronique.
"Une maintenance proactive"
Concrètement, pour avoir un Wifi sain pour ses clients, il faut un bon matériel.
« Par exemple, un hôtel Best Western de 40 chambres a besoin de 5 bornes comme celles de Sisco System ou de Ruckus Wireless. Elles coûtent 4 000 euros. Il faut compter l’abonnement pour gérer la sécurité et la traçabilité d'environ 19 euros par mois », estime Antoine Limousin.
« Ça ne sert à rien d’avoir du bon matériel si on n’est pas capable d’en faire la maintenance. Ce n’est pas le métier de l’hôtelier, il faut faire appel à un technicien, à même de sécuriser le réseau à distance », insiste Cédric Chenavier. « La maintenance doit être proactive car l’absence de mise à jour profite aux hackers. »
« Par exemple, un hôtel Best Western de 40 chambres a besoin de 5 bornes comme celles de Sisco System ou de Ruckus Wireless. Elles coûtent 4 000 euros. Il faut compter l’abonnement pour gérer la sécurité et la traçabilité d'environ 19 euros par mois », estime Antoine Limousin.
« Ça ne sert à rien d’avoir du bon matériel si on n’est pas capable d’en faire la maintenance. Ce n’est pas le métier de l’hôtelier, il faut faire appel à un technicien, à même de sécuriser le réseau à distance », insiste Cédric Chenavier. « La maintenance doit être proactive car l’absence de mise à jour profite aux hackers. »
Se responsabiliser
Antoine Limousin qui équipe les gîtes, les hôtels, les offices de tourisme, soulève un problème : « Le soucis avec le Wifi, c’est qu’il n’y a pas de norme.
Un jour, on peut espérer qu’un organisme indépendant note les opérateurs pour la qualité du service. »
Cédric Chenavier appelle les utilisateurs à se responsabiliser : « Si les gens ne cliquent pas sur n’importe quoi, afin d’éviter le phishing (ndlr : ou hameçonnage, technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations auprès d'internautes), cela réduirait les risques de 90%.
Tout le monde doit avoir des réflexes sur les usages du net ».
L'expert de la société 2ISR, Antoine Limousin, interpelle également la profession : « Le Wifi coûte cher, c'est vrai. D’autant plus que les clients viennent avec un ordinateur, un mobile, une tablette… Les bornes doivent tenir la charge.
Mais aujourd’hui les gens attendent un débit comme à la maison, ils ne retiennent que la vitesse. La sécurité est pourtant un point aussi primordial.
Les professionnels du tourisme n’en ont pas encore assez conscience ».
Un jour, on peut espérer qu’un organisme indépendant note les opérateurs pour la qualité du service. »
Cédric Chenavier appelle les utilisateurs à se responsabiliser : « Si les gens ne cliquent pas sur n’importe quoi, afin d’éviter le phishing (ndlr : ou hameçonnage, technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations auprès d'internautes), cela réduirait les risques de 90%.
Tout le monde doit avoir des réflexes sur les usages du net ».
L'expert de la société 2ISR, Antoine Limousin, interpelle également la profession : « Le Wifi coûte cher, c'est vrai. D’autant plus que les clients viennent avec un ordinateur, un mobile, une tablette… Les bornes doivent tenir la charge.
Mais aujourd’hui les gens attendent un débit comme à la maison, ils ne retiennent que la vitesse. La sécurité est pourtant un point aussi primordial.
Les professionnels du tourisme n’en ont pas encore assez conscience ».
Pour aller plus loin : une vidéo sur le piratage de téléphone portable
Selon une vidéo édifiante du site Korben, , il est très simple de mettre quelqu'un sur écoute ou de lui envoyer des faux messages ou de la donnée fausse, en étant assez proche pour que le téléphone de la victime se connecte sur un faux relais.