C’est bon, vous pouvez (re)commencer à utiliser du wi-fi public

Avec la généralisation du protocole de transfert hypertexte sécurisé, le Web est devenu bien plus sûr, au point que l’on peut naviguer sans angoisse dans des lieux publics.

(© Unsplash)

Je vous parle d’un temps que les moins de dix ans ne peuvent pas connaître. En ce temps-là, les enfants, l’Internet mobile était encore plus ou moins en chantier mais le wi-fi public, lui, déferlait sur les centres-villes. Les gens avaient la dalle d’informations, et le petit commerce avait aussi bien perçu la demande que les multinationales des télécoms.

Publicité

Résultat, entre les hotspots des grands opérateurs, ceux des municipalités, l’archipel de routeurs que le moindre gérant de bar-tabac PMU s’était offert pour pouvoir afficher fièrement son sticker "wi-fi public" sur la vitre et les codes FreeWiFi empruntés au copain, l’espace urbain était devenu une canopée de signaux estampillés 802.11. Des réseaux ouverts aux quatre vents, évidemment, puisque tout le monde se foutait bien de la protection de ses communications.

Jusqu’à 2017, utiliser le réseau public de son hôtel ou du café du coin sans prendre la peine de protéger ses communications – oui, c’est toi que je regarde, insouciant free-lance attablé en terrasse avec ton MacBook —, c’était potentiellement permettre à quiconque de mal intentionné, peu importent ses compétences informatiques, de regarder tout ce que vous faisiez, là où vous naviguiez, ce que vous achetiez, quels e-mails vous receviez et composez et parfois même, si vous étiez assez fou pour consulter vos comptes bancaires, de récupérer vos identifiants. En gros, c’était une super mauvaise idée.

L’impitoyable Far Web

Comment ? Pourquoi ? Premièrement, parce que ces réseaux ne nécessitent aucune authentification pour se connecter – c’est tout le principe —, ce qui permet à un attaquant d’écouter tout le trafic de données entre le routeur et les machines connectées. L’attaque, appelée "man in the middle" (MITM, pour faire simple), consiste tout simplement à placer leur machine entre vous et le portail, de manière à intercepter toutes les requêtes que vous envoyez.

Publicité

Dans une telle configuration, votre machine est entièrement à la merci de votre assaillant, qui peut même injecter des programmes malveillants dans votre ordinateur sans que vous réalisiez quoi que ce soit si vous avez autorisé, naïvement, le partage des données. Si ça vous branche et que vous avez 100 dollars à dépenser pour Noël, vous pouvez essayer par vous-même en vous offrant un petit objet, le Wi-Fi Pineapple, commercialisé par Hak5.

Pourtant, comme s’efforcent de la rappeler toutes les grandes compagnies d’antivirus et la Cnil sur leurs sites respectifs, un peu de bon sens et un simple VPN (un vrai, pas ces horreurs gratuites qui font transiter tout votre trafic par Pékin) suffisaient alors à se prémunir, au moins partiellement, des démons du wi-fi public. Las, le public ignorait largement ces questions de chiffrement des données, et l’Internet public restait globalement un lieu mal famé. Puis 2018 est arrivée, et un autre monde avec elle : celui du protocole de transfert hypertexte sécurisé (HTTPS).

Le Web nouveau est arrivé

Vous ne l’avez probablement pas remarqué, mais en 2018, le Web a changé. Ce petit cadenas vert, à gauche de votre barre d’URL, signifie que tout le trafic de données entre nos serveurs et votre machine est chiffré, dans les deux sens. HTTPS, soit "Hypertext Transfer Protocol Secure", n’est rien d’autre que la nouvelle version du protocole HTTP, orné d’une couche de chiffrement de type SSL. Tout ça importe assez peu : tout ce qu’il y a à savoir, c’est que ce protocole rend une partie des attaques citées plus haut impossibles. Ce qui modifie profondément une partie du Web.

Publicité

Pourquoi Internet est-il plus sûr en 2018 ? Tout simplement parce que le protocole HTTPS a atteint sa masse critique. Comme le rappelle Wired, en mars 2016, seuls 21 sites des 100 plus visités (qui représentent 25 % du trafic Internet mondial) en étaient équipés par défaut. Aujourd’hui, selon le dernier Google Transparency Report, qui surveille l’évolution de cette technologie, 70 % de cette liste fait partie du club. HTTPS est devenu la norme. (Mention spéciale à notre Dailymotion national, qui figure parmi les mauvais élèves, cocorico.)

Depuis le 30 janvier 2017, 50 % des domaines Web sont chiffrés (58 % en juin 2018), et le chiffre monte à 80 % lorsque vous utilisez le navigateur Firefox, selon les données de l’autorité de chiffrement Let’s Encrypt, qui joue un rôle majeur dans la sécurisation des communications numériques. Bref, levons nos verres, le Web est progressivement en train de devenir un endroit sûr.

Mieux encore, HTTPS est en train de transformer la circulation de l’information, puisqu’il rend beaucoup plus difficile le filtrage de contenu Web par un régime d’État. En 2017, les internautes turcs et égyptiens passaient ainsi par des liens Google Drive pour afficher des pages de Wikipédia et Human Rights Watch censurées par leurs gouvernements respectifs.

Publicité

Allez-y, foncez (si vous n’êtes pas important)

Évidemment, tempère Wired, HTTPS n’est pas (encore) une solution parfaite au problème de la vie privée en ligne. En l’absence d’organe de certification international, n’importe qui peut obtenir le petit cadenas vert sur son site sans assurer un chiffrement des communications, ce qui permet à des assaillants de tromper la vigilance de leur cible en créant une copie d’un site visité par celle-ci pour récupérer ses identifiants, par exemple, et en priant pour une erreur de saisie d’URL – une attaque pas hyper maligne, puisque plus personne n’entre manuellement les adresses URL des sites Internet, mais qui a déjà fait ses preuves dans la communauté Fortnite.

D’autre part, le protocole HTTPS permet toujours à un assaillant de voir quelles pages vous consultez (la technique s’appelle le "sniffing"), mais pas de suivre votre navigation sur ces pages – on saura que vous êtes sur Netflix, mais pas quel film vous regardez ; on saura que vous êtes chez votre banque, sans connaître vos identifiants ou le solde de votre compte, etc. C’est la différence entre les métadonnées (le contexte) et les données (le contenu) ; pour une analogie IRL, c’est ce qui sépare l’écoute de la filature.

Évidemment, si vous êtes journaliste, ingénieur aérospatial, ministre d’État ou membre des services secrets, vous allez éviter de prendre bêtement ce genre de risque. Si votre navigation n’a aucune valeur stratégique pour une puissance ou une entreprise étrangère, en revanche, vous n’avez plus rien à craindre. Et comparé à la situation des années précédentes, c’est déjà beaucoup.

Prenons alors le temps, pour une fois, de célébrer une tendance numérique qui tend vers la sécurité des utilisateurs ; dans le dédale de connexion qu’est devenue notre vie numérique, nous ne pouvons que nous en réjouir. Sans pour autant s’endormir sur les lauriers du HTTPS : c’est bientôt Noël, offrez-vous un VPN digne de ce nom pour quelques euros mensuels et assurer définitivement la sécurité de vos données.

Et n’oubliez pas de vérifier dans quel pays sont logés les serveurs, histoire de savoir quelles lois protègent vos données privées. Allez, cadeau. Avec ça, vous pouvez même consulter vos comptes bancaires sur le wi-fi du McDo – eux se fichent peut-être de votre sécurité, mais le Web, lui, vous couvre.

Par Thibault Prévost, publié le 27/11/2018

Copié

Pour vous :