Non, ce n’est pas Graham Clueley, pour une fois, mais Chester Wisniewski de Sophos, qui vient de publier une note critique à l’égard des points d’accès WiFi gratuits. Pourquoi, se demande-t-il, les mots « Hotspot gratuit » sont-ils toujours associés aux vocables « Hotspot non chiffré » ? Bien sûr, à l’usager de savoir ce qu’il fait… et l’inciter à employer forces protocoles dédiés, qui sur une liaison Imap sécurisée, qui sur une connexion ftp « tunnellée ». Mais ces conseils sont une bonne réponse à une mauvaise question. Il pourrait être, pour éviter de voir s’envoler des mots de passe par simple sniffing de la liaison station/point d’accès, opportun de forcer les usagers à employer un protocole de chiffrement unique du tuyau d’accès… Et Wep dans le pire des cas (ndlr : c’est toujours mieux que rien, et il est peu probable qu’un « black hat » se fatigue ou même parvienne à récupérer assez d’« iv »(initialization vector) au cours d’une session de quelques secondes de récupération d’email). Il serait plus subtil, estime Wisniewski, de généraliser l’usage de WPA2. Comment ? Mais de manière très simple, en forçant ce protocole au niveau de tous les points d’accès gratuits, et d’accueillir chaque nouveau venu avec une page indiquant clairement le mot de passe du jour. Par exemple « free » pour chaque hotspot gratuit, suggère l’auteur. Sous WPA2, le « mot de passe » n’est pas la clef. La clef, pour sa part, est unique et aléatoire pour chaque ouverture de session. Et l’auteur d’imaginer une sorte d’Internationale du Chiffrement WiFi qui unirait dans un même élan de solidarité et de sécurité les Starbuck, McDonald et autres temples de la haute gastronomie industrielle. Une initiative intéressante, même si elle ne correspond pas exactement aux critères fixés par une hadopi, le Great Firewall of China ou les lois Iraniennes.
2 commentaires