Le BYOD et limites des Wifi publics

L'attaque – qui n'en est pas vraiment une puisqu'elle a été réalisée par un chercheur sans but de nuire – est de type « man in the middle » et consiste à « faire croire » à un utilisateur qu'il se connecte à son réseau Wifi habituel alors qu'en fait il se connecte à une borne pirate qui lui subtilise ses comptes utilisateur et mot de passe. De fait, le réseau Wifi public du Parlement a été très rapidement coupé, les utilisateurs invités à changer sans délai leurs mots de passe.

Le côté remarquable de cet incident est que ce type d'attaque est relativement ancien (au moins 10 ans), mais qu'il est difficile de s'en protéger et qu'elle est facile à mener. N'importe quel informaticien chevronné peut se poster dans une chambre d'hôtel à quelques mètres d'une entreprise, déployer une borne Wifi pirate et commencer à capter les tentatives de connexion des employés au réseau Wifi de ladite entreprise en leur faisant croire que la borne pirate en question en fait partie.

Certaines entreprises – banques, assurances – interdisent même à leurs employés de se connecter à un réseau Wifi à partir de leurs PC portables professionnels (même en montant une connexion sécurisée de type VPN) et les incitent à utiliser une clé 3G, même depuis leurs domicile.

La seule réponse valable connue à ce jour est la mise en place de système d'authentification à deux facteurs : par exemple, un mot de passe associé à une carte à puce ou un système de mot de passe à usage unique (token). Techniquement c'est bien entendu tout à fait faisable, mais cela demande des moyens et une logistique adéquats : systèmes de PKI, distributions et enrôlement d'équipements, etc.

Ceci pose en filigrane la question de la viabilité des politiques BYOD : autant il va être possible d'imposer les mesures susnommées de sécurité sur des PC professionnels, autant cela va être autrement plus compliqué dès lors qu'il va s'agit d'offrir une connectivité à partir d'équipements individuels (tablettes, Mac, etc.).

Détecter les bornes pirates dans une grande entreprise est quasi impossible : trop de surface à surveiller, trop de faux positifs (les bornes ADSL des particuliers qui habitent de l'autre côté de la rue). Et comment concilier les besoins de mobilités des agents au sein de l'entreprise (travail dans les salles de réunions, accueils de visiteurs extérieurs, etc.) et en même temps sécuriser ce type d'accès sans freiner les usages légitimes ?

Bref, le terrain de jeu idéal pour la NSA.

C.C