Pourquoi est-ce que WIFI et Vie Privée ne vont pas ensemble

Coucou tout le monde,

Si vous me lisez régulièrement, vous savez à quel point je peux être très à cheval avec les problématiques de respect de la vie privée sur internet. Je peux même parfois me transformer en véritable agent du gouvernement et aller jusqu’à enquêter et débusquer les responsables lorsqu’il s’agit d’attaques de masse (ici) ou comme plus récemment d’attaques un peu plus précises ciblant un profil d’utilisateurs ()

Comme vous devez vous douter au titre de l’article, je ne vais pas cette fois vous emmener aux confins de la Russie ou de la Chine pour enquêter sur de sombres individus dont on ne sait rien, si ce n’est qu’il s’agit de sombres individus. Non, à la place, je vous propose de vous intéresser aux menaces qui planent chez nous, ou plutôt devrais-je dire chez vous! Oui, oui, chez vous, là tout de suite, dans votre maison ou à votre lieu de travail.

gif
La réaction de la plupart des lecteurs à ce moment là de l’article 🤠

En effet, avec toutes ces affaires d’espionnage et de piratages de hauts vols, on a malheureusement selon moi, trop tendance à négliger voire oublier les risques d’envoyer dans l’air ses mails, ses codes bancaires, ses mots de passe en un mot: ses données.

Aujourd’hui il y a bien entendu de nombreux protocoles dits « sans-fils » qui permettent donc l’envoi de données dans l’air (Bluetooth, GSM, ZigBee, NFC,…) mais aujourd’hui on va se concentrer sur un des plus utilisés, vous l’avez dans le mille et c’est le titre de cet article (coïncidence ?) : le WI-FI !

gif

Alors, je commence cet article directement en fermant un débat car on dit bien « *LE* WI-FI » et non « *LA* Wifi », « la WifiTE » (ça c’est la balance de la Wii) ou même « Le Woufi » (oui oui, il y a vraiment des personnes qui confondent leur chien avec un boitier).

gif
Vous avez dit « Woufi » ? 🐶

Un peu d’histoire

Le Wi-Fi est un ensemble de normes concernant les réseaux sans fils qui ont été mises au point par l’Institute of Electrical and Electronics Engineers (IEEE 802). Sa première norme est publiée en 1997, et permet des échanges à une vitesse théorique de 2 Mbit/s (c’est très peu). Le protocole se développe en 1999, avec la publication des normes IEEE 802.11a et 802.11b augmentant le débit théorique jusqu’à 54 Mbit/s ainsi qu’un système de protection de la vie privée: le fameux WEP (Wired Equivalent Privacy). Il s’agit là pour le WI-FI, du premier vrai système visant à protéger les utilisateurs des pirates. Sauf que…

Premièrement, WEP n’était qu’une option et donc, pas grand monde l’utilisait. Deuxièmement, pour faire court, WEP utilisait un chiffrement à peu près robuste pour l’époque. Sauf que précédemment on a bien vu qu’en l’espace de seulement deux ans (1997-1999) on a réalisé un petit X 27 au calme sur les performances, il n’a donc pas fallu attendre longtemps pour pouvoir casser le chiffrement utilisé par WEP. Pour les jeans-crypto de la salle, il s’agissait de l’algorithme RC4 qui se casse aujourd’hui moins d’une dizaine de secondes.

Pour remplacer WEP, en 2003 a été conçu WPA qui est encore largement utilisé aujourd’hui. Vous pourrez d’ailleurs le vérifier sur votre téléphone portable, il y a de grandes chances pour que vous trouviez dans la liste des réseaux WI-FI disponibles, un large pourcentage de WPA avec une possibilité de variante comme WPA2, WPA3 ou avec un suffixe « Entreprise », « PSK » ou encore « TKIP ».

gif
Mon Dieu, j’ai bien ris un quart d’heure du nom de celui-là, FreeZapFi bien entendu *tousse* 🤭

WPA en quelques chiffres

Bien évidement, WPA n’a pas été épargné par les failles de sécurité, par expérience, je n’en connaissait que deux, qui me permettait par ailleurs de m’authentifier sur la plupart des réseaux Wi-Fi.

En faisaint une petite recherche sur notre bien-aimé Wikipédia, ce n’est pas une ou deux failles que j’ai trouvées sur WPA mais bien

9 failles

Rien que ça ! Le pire dans tout ça, ce n’est pas qu’il y ait une dizaine de vulnérabilités connues sur un des protocoles les plus utilisés du 21ème siècle, non ça va, au contraire, c’est même plutôt bon signe car ça veut dire que l’éditeur peut corriger les failles.

Non en revanche ce qui ne va pas du tout mais alors là, pas du tout, c’est qu’il n’y a pas du tout de versionnage avec WPA. En gros quand WPA version 1.0 sort tout beau tout propre mais qu’on apprend qu’il y a une faille on ne la corrige pas tout de suite dans une version urgente en mode « WPA version 1.1 patch ».

Ce qui se passe dans la réalité en revanche, c’est que quand des failles sont trouvées, par exemple, sur la version 1.0 il faut attendre la seconde version « WPA2 » pour espérer les voir corrigées.

Chose hyper rassurante surtout lorsque l’on sait que de WPA à WP2 il s’est bien écoulé 1 an mais qu’entre WPA2 et WPA3 il s’est coulé seulement:

14 ANS !!!

Si seulement il fallait attendre 14 ans pour avoir une mise à jour de sécurité ! Ce serait bien trop simple ! Comme vous vous en doutez probablement c’est encore plus drôle que ça car la plupart des équipementiers de bornes Wi-Fi n’avaient même pas implémenté de fonction de « MISE À JOUR ».

On pourrait presque croire qu’ils ne s’attendaient même pas à une troisième norme WPA 🤠 !

Non, même pas les grands noms que tout le monde utilise sans le savoir, il faut croire que c’est normal aujourd’hui de rouler avec une voiture vieille de 14 ans dont on sait que les freins peuvent lâcher à tout moment !

gif
YOLO comme on dit 🤠

Et quand il n’y en a plus, il y en a encore !

Connaissez-vous le principe des « le saviez-vous ? » ? En temps normal, je ne dis pas non, mais avec WI-FI, on va passer un bon moment, je vous le garantis !

Le saviez-vous ?

Si vous voyez des SSID (Les noms des réseaux Wi-Fi, ex: Free Wifi) cela veut dire que vous captez aussi les paquets réseaux des différents appareils connectés à ces réseaux. Comme chaque paquet contient un en-tête permettant de savoir à quel réseau il est relié, on peut donc déterminer combien d’appareils sont connectés à ce réseau. Autre champ important, l’adresse MAC qui est définie par le constructeur de l’appareil est aussi renseigné. Ce qui veut dire que même sans être authentifié au réseau, je peux savoir quels modèles et marques d’appareils sont connectés à un réseau. Sympa, la vie privée en 2019 non ? 🤠

gif

Le saviez-vous ?

Wi-Fi implémente une fonction pour desauthentifier tous les utilisateurs d’un réseau, pratique si vous êtes un pirate et que vous voulez ennuyer les gens !

gif

Le saviez-vous ?

Sur les réseaux Wi-Fi publics, tout le monde a accès aux données de tout le monde, donc si vous êtes au Macdo et que vous vous connectez en FTP à votre serveur Minecraft, la borne envoie votre mot de passe en clair dans l’air dans rayon de 92 m

gif
ce paquet a peur d’être intercepté 🤠

Le saviez-vous ?

Il n’y a pas de contrôle pour savoir qui est qui sur un réseau Wi-Fi. Par exemple, si j’éteins votre box internet, et que j’allume un faux point d’accès en bas de chez vous, que je l’appelle du même nom que celui de votre box internet, il n’y a aucun moyen pour que vous vous disiez, « Oh, mais, un margoulin tente de me la faire à l’envers ». Non à la place vous aller me donner tous vos mots de passe en pensant qu’il s’agit de votre connexion habituelle, tout ce qu’il y a de plus normal.

Le saviez-vous ?

Il reste encore un nombre non négligeable de réseaux Wi-Fi encore sous WEP en France. Par exemple, en 2015, à Paris on pouvait compter 36,5 % des réseaux Wi-Fi accessibles sans aucun mot de passe et pas moins de 61,5 % des réseaux Wi-Fi qui étaient protégés par mot de passe mais qui utilisaient une méthode de chiffrement peu performante comme par exemple, totalement au hasard, WEP. L’étude a été réalisée sur l’avenue de l’Opéra, le long de la Seine et jusqu’à Notre-Dame de Paris, où 7 523 réseaux Wi-Fi appartenant à des hôtels, cafés, bureaux et résidences privées ont été recensés.

gif
N’y pensez même pas !! 🤠

Le saviez-vous ?

Depuis août 2010 des boîtiers à moins de 5€ qui fonctionnent sans intervention humaine, recherchent automatiquement les connexions WEP à 1 km à la ronde, les décodent et fournissent ainsi une connexion Internet gratuite à tout ordinateur qui y est relié, indépendamment du système d’exploitation. Il permettent aussi par extension d’écouter le réseau afin de capter tous les mots de passe qui circulent dessus. Le tout de manière aussi anonyme qu’illégale.

Le saviez-vous ?

La Chine a son propre standard national pour remplacer WPA nommé WAPI pour WLAN Authentication Privacy Infrastructure.

gif
Ce pays ne finira donc jamais de nous surprendre 🤔

Le saviez-vous ?

Même si WPA3 est censé être opérationnel depuis janvier 2019, sa fonctionnalité clé nommée OWE pour « Opportunistic wireless Encryptage » n’est toujours pas disponible. Si cette fonctionnalité était disponible, elle rendrait impossible l’exemple du Macdo de tout à l’heure. Même si selon Wikipédia, une attaque de ce genre est toujours réalisable même avec OWE. Comme quoi WPA3 reste une passoire, une passoire moderne certes, mais une passoire quand même !

Verdict

Qu’on le veuille ou non, le Wi-Fi est omniprésent aujourd’hui et même s’il est très pratique et peut aujourd’hui être très efficace en matière de débit, on a pu voir qu’il est tout sauf respectueux de la vie privée.

Il y a selon moi une trop faible qualité de ce que l’utilisateur a, à la fin. On se contente selon moi de fabriquer du Wi-Fi, toujours plus puissant, toujours plus pratique sans toutefois régler les vrais problèmes qu’il pose. Je le dis tout de suite, n’allez pas croire que je suis tapis dans ma grotte avec un chapeau en aluminium en mode BIG BROTHER IS WATCHING ME!

Je suis le premier à utiliser le Wi-Fi du Macdo entre deux frites sauce ketchup pour regarder des youtubes poop. Mais voilà, je pense que le Wi-Fi, c’est un peu comme les iphones, c’est-à-dire qu’on n’arrête pas de rajouter des fonctionnalités innovantes et faire en sorte d’exploiter à fond le potentiel de la chose sans toutefois régler le problème numéro 1 qui pourrait tout casser: la batterie où ici la vie privée de l’utilisateur ce qui est, selon moi, encore plus grave.

Voili, voilou, j’espère que cet article vous a plu, n’hésitez pas à faire votre propre idée sur le sujet et à commenter. On ne change pas les bonnes habitudes, envoyez le lien de cet article à vos amis ou à vos collègues c’est très important si vous voulez que le site grandisse. Je vous dis à bientôt pour un nouvel article !

D’ici là, portez-vous bien, buvez de l’eau, car l’eau c’est la vie et à bientôt tout le monde !

Parce que je n’ai pas la science infuse

https://fr.wikipedia.org/wiki/Wi-Fi
https://fr.wikipedia.org/wiki/Wi-Fi_Protected_Access
https://fr.wikipedia.org/wiki/Institute_of_Electrical_and_Electronics_Engineers
hxxps://www.journaldugeek.com/2015/07/29/etude-a-paris-365-des-reseaux-wi-fi-sont-accessibles-sans-aucun-mot-de-passe/