Vie privée | Télécom
Wifi public : zéro protection
On ne peut pas rêver de confidentialité quand on accède gratuitement à l’internet qu’offre un commerçant. Le premier responsable : le commerçant lui-même.
La popularité des bornes d’accès wifi dans les commerces et les institutions publiques comme les aéroports ou les bibliothèques ne se dément pas : il y en aurait un demi-milliard dans le monde, soit cinq fois plus qu’il y a cinq ans !
De nombreuses études ont montré que ces accès publics, dont on profite parfois en toute transparence sans demander la permission ni même s’identifier, sont autant d’occasions d’espionnage et d’écoute, d’interception, voire de vol d’identité. Ce que l’on sait moins, c’est que les entreprises qui se dotent d’une borne afin d’offrir un accès internet gratuit (ou payant) à leurs clients sont souvent les premières à recueillir les renseignements personnels de ces derniers et à implanter des témoins divers permettant de les pister !
C’est ce qu’a démontré une équipe de chercheurs de l’Université Concordia, à Montréal, avec l’étude On Privacy Risks of Public WiFi Captive Portals (en anglais seulement). Cette étude, publiée en 2019, a examiné le comportement de 80 commerces et établissements de la région montréalaise. Parmi eux, des institutions locales, tels le Place Vertu, Aéroports de Montréal, la Place des Arts, le Musée Grévin ou la Société des alcools du Québec, mais aussi quelques grandes marques internationales comme Tim Hortons, Burger King ou Gap !
Les résultats de l’étude, très détaillée, sont à faire dresser les cheveux sur la tête. Bien des utilisateurs tiennent pour acquis que des entreprises réputées, qu’ils connaissent et qui prennent la peine de leur demander de s’identifier, respectent leur vie privée. Or, c’est justement le contraire qui se passe, dit Suzan Ali, auteure principale de l’étude réalisée dans le cadre de sa maîtrise en sécurité informatique.
Le risque est tel que l’utilisateur soucieux de protéger sa vie privée ferait mieux de ne pas utiliser du tout ce service. »
Suzan Ali, auteure principale de l’étude
Les établissements examinés ont pour point commun d’offrir l’accès au wifi public à travers un « portail captif ». Il s’agit d’une page web où l’utilisateur doit montrer patte blanche en fournissant certains renseignements et en acceptant diverses conditions. Après quoi, il obtient l’accès au web sur une page de renvoi qui est le plus souvent la page d’accueil de l’entreprise.
Or, Suzan Ali et ses collègues ont constaté que, durant ces quelques secondes de connexion, l’entreprise qui gère ou exploite le portail captif en profite pour récolter une quantité foudroyante de renseignements sur l’utilisateur et son appareil, en plus d’implanter quantité de « témoins de connexion », des petits programmes qui renseignent l’entreprise sur sa navigation, mieux connus sous leur nom anglais de « cookies ».
Dans 39 % des cas, les premiers témoins ont déjà été implantés à votre insu avant même qu’on vous ait demandé votre consentement. »
Suzan Ali
La plupart prennent des libertés sur leur propre politique de protection des renseignements personnels – quand elles en affichent une.
L’étude porte sur les systèmes d’exploitation Windows et Android. Windows parce qu’il est le plus répandu. Android parce qu’il est réputé pour sa confidentialité : ce système brouille le numéro qui permet d’identifier chaque appareil. « À notre très grande surprise, plusieurs portails réussissent quand même à implanter des témoins capables d’être pistés malgré le brouillage effectué par Android, dit Mme Ali. Nous ne l’avons pas vérifié pour Apple, mais on peut certainement se poser des questions. »
Le temps des moissons informatiques
La cueillette de renseignements personnels commence dès l’approche. La plupart des systèmes, presque 60 %, se contentent de demander à l’utilisateur de s’identifier avec son adresse courriel et un mot de passe. D’autres lui demandent de remplir un formulaire, qui va inclure diverses informations comme son nom complet, sa date de naissance, sa ville de résidence. D’autres encore exigent que l’utilisateur s’identifie à travers un réseau social, ce qui les autorise à puiser les renseignements personnels qui s’y trouvent sans le lui demander.
Mais la gourmandise ne s’arrête pas là, puisque les gestionnaires s’intéressent surtout en fait aux données qui concernent l’appareil. Ainsi, 59,7 % des bornes collectent le « contrôle d’accès au support » de votre appareil. Mieux connue sous l’acronyme anglais, l’adresse MAC (qui n’a pas de rapport avec les ordinateurs Macintoch) est parfois désignée comme « l’adresse physique » d’un appareil puisqu’il s’agit d’un identifiant unique.
Mais ce n’est pas tout : les gestionnaires de portails captifs vont également constituer l’ « empreinte numérique » de votre appareil. Pour ce faire, ils recueillent une série de renseignements, tels l’état de la batterie, vos préférences de navigation, la liste des polices installées dans le système, les propriétés d’écran (résolution, définition des couleurs) et d’autres informations sur la caméra, le micro et tutti quanti.
Avec huit attributs, on peut identifier 86 % des appareils. C’est comme si on fabriquait l’empreinte digitale de l’appareil. »
Suzan Ali
Les entreprises ciblées pour cette étude recueillent 19 attributs en moyenne, mais la championne toutes catégories est la firme de location de voitures Discount qui en prend 117, soit presque le double du deuxième prix, Home Depot, avec 64.
Toutes ces données sont échangées très librement entre l’entreprise hôtesse du site, l’entreprise qui gère le portail captif et des tiers avec lesquels elles ont des ententes. De plus, comme l’a découvert l’équipe, 13 % des entreprises transmettent les données sans aucun chiffrement, soit par le protocole http, qui est public, plutôt que le protocole https, qui est maintenant la norme en matière de sécurité.
Des témoins gênants
L’étude a permis de démontrer que seulement 3 des 80 bornes étudiées n’implantent aucun système de pistage, les fameux témoins de connexion, qui sont de petits programmes implantés dans votre navigateur à votre insu. Certains témoins sont utiles, voire légitimes, puisqu’ils visent à améliorer votre navigation sur le site web de l’entreprise concernée. (Mais ils permettent à l’entreprise de savoir ce que vous faites quand vous êtes sur son site, quand vous le quittez et y revenez.) D’autres témoins vont vous suivre dans d’autres entreprises et faire en sorte, par exemple, qu’une publicité vous accompagne d’un site web à un autre.
Toutes les entreprises ont leurs « témoins maison », mais la plupart ont aussi des témoins de tiers. Ces partenaires commerciaux et financiers de l’entreprise peuvent ainsi vous suivre ailleurs et en informer l’entreprise hôtesse. Aéroports de Montréal en implantent 20, soit un de plus que le Centre Rockland et deux de plus que le Mail Champlain, mais un autre centre commercial, Carrefour Angrignon, se distingue avec 34 témoins de tiers ! En tout, 13 % des témoins sont programmés pour avoir une durée de vie de 20 ans. Une fois que vous êtes sur la page d’accès de l’entreprise, 63 % d’entre elles installent leurs propres témoins et 72 % implantent ceux de leurs partenaires.
Les habitués savent qu’il est possible d’effacer les témoins en supprimant l’historique de navigation, ou encore de les neutraliser en plaçant le navigateur en mode incognito.
D’où l’intérêt, pour les entreprises, de recueillir le maximum de données sur l’appareil de l’utilisateur, dont son adresse MAC et son empreinte digitale. Ces données permettent de vous pister de manière « passive », c’est-à-dire sans même entrer dans votre système, seulement par les traces de votre appareil. « On peut ainsi pister un utilisateur sans risquer d’être bloqué par ses paramètres de confidentialité », dit Suzan Ali. En fait, c’est tellement efficace que 76,1 % des entreprises recueillent ces informations à partir de leur page d’accès !
Quoi faire pour se protéger
En marge de leur étude, Suzan Ali et ses collègues ont publié une série de recommandations, dont plusieurs s’inspirent de mises en garde de la Commission fédérale américaine du commerce.
Vous ne devriez jamais utiliser une borne publique pour transmettre des renseignements personnels ou financiers. Mais si vous le faites pour tout autre usage, voici comment procéder :
1) Passer par votre téléphone portable en mode « données cellulaires ». Vos données sont alors automatiquement chiffrées, ce qui assure une meilleure protection qu’avec un ordinateur.
2) Utiliser une appli de réseau privé virtuel (Virtual Private Network, ou VPN pour l’acronyme anglais). Le VPN crée un canal de chiffrement qui protège vos données.
3) Éviter les bornes qui vous demandent autre chose que votre adresse courriel.
4) Vous déconnecter dès l’instant où la connexion n’est plus nécessaire.
5) Anonymiser votre fureteur de navigation.
6) Supprimer votre historique sans oublier les témoins.
7) Interrompre la fonction de connexion automatique.
Mais comme le conseille Suzan Ali, le plus fiable est encore de fuir ce genre de borne comme la Covid !
L’étude
On Privacy Risks of Public WiFi Captive Portals (Université Concordia, 2019) a été réalisé par Suzan Ali dans le cadre de sa maîtrise en sécurité informatique, en collaboration avec un autre étudiant de maîtrise, Tousif Osman, sous la supervision des professeurs Mohammad Mannan et Amr Youssef de l’Université Concordia.
Son originalité consistait à examiner ce qui se passe dans l’interface initiale avec une borne d’accès public wifi. Il s’agissait de voir si les entreprises qui offrent un accès internet gratuit à travers un portail captif en profitent pour recueillir des renseignements personnels sur l’utilisateur et ensuite l’espionner.
Pour y arriver, les chercheurs ont programmé un robot informatique appelé CP Inspector qui était en fait un collage de plusieurs programmes de détection. Puis ils sont allés avec leur CP Inspector dans 80 établissements et commerces de la région de Montréal pour voir comment se comportait leur portail captif vis-à-vis d’appareils dotés de systèmes d’exploitation Windows ou Android.
Le CP Inspector a recueilli une quantité gigantesque d’informations pour chaque portail, comme le volume de données, les témoins de connexion, le type de connexion, le niveau de sécurité, le code source, le stockage de données, en plus de faire des captures d’écran de certaines pages et de sauvegarder les conditions générales d’utilisation et la politique de protection des renseignements personnels.
L’étude a permis de démontrer que, même pour les portails qui demandent à l’utilisateur de s’identifier, il n’existe pratiquement aucune confidentialité. Les renseignements personnels de l’utilisateur et les données techniques de son appareil sont capturés. De très nombreux témoins de connexion, jusqu’à 34, sont implantés afin de le suivre à la trace. Et ces données sont très librement échangées avec des tiers. Bref, les risques sont très grands, même pour les utilisateurs d’Android, un système d’exploitation pourtant réputé plus fiable que Windows en matière de confidentialité.