Le BYOD et limites des Wifi publics
L'attaque – qui n'en est pas vraiment une puisqu'elle a été réalisée par un chercheur sans but de nuire – est de type « man in the middle » et consiste à « faire croire » à un utilisateur qu'il se connecte à son réseau Wifi habituel alors qu'en fait il se connecte à une borne pirate qui lui subtilise ses comptes utilisateur et mot de passe. De fait, le réseau Wifi public du Parlement a été très rapidement coupé, les utilisateurs invités à changer sans délai leurs mots de passe.
Le côté remarquable de cet incident est que ce type d'attaque est relativement ancien (au moins 10 ans), mais qu'il est difficile de s'en protéger et qu'elle est facile à mener. N'importe quel informaticien chevronné peut se poster dans une chambre d'hôtel à quelques mètres d'une entreprise, déployer une borne Wifi pirate et commencer à capter les tentatives de connexion des employés au réseau Wifi de ladite entreprise en leur faisant croire que la borne pirate en question en fait partie.
Certaines entreprises – banques, assurances – interdisent même à leurs employés de se connecter à un réseau Wifi à partir de leurs PC portables professionnels (même en montant une connexion sécurisée de type VPN) et les incitent à utiliser une clé 3G, même depuis leurs domicile.
La seule réponse valable connue à ce jour est la mise en place de système d'authentification à deux facteurs : par exemple, un mot de passe associé à une carte à puce ou un système de mot de passe à usage unique (token). Techniquement c'est bien entendu tout à fait faisable, mais cela demande des moyens et une logistique adéquats : systèmes de PKI, distributions et enrôlement d'équipements, etc.
Ceci pose en filigrane la question de la viabilité des politiques BYOD : autant il va être possible d'imposer les mesures susnommées de sécurité sur des PC professionnels, autant cela va être autrement plus compliqué dès lors qu'il va s'agit d'offrir une connectivité à partir d'équipements individuels (tablettes, Mac, etc.).
Détecter les bornes pirates dans une grande entreprise est quasi impossible : trop de surface à surveiller, trop de faux positifs (les bornes ADSL des particuliers qui habitent de l'autre côté de la rue). Et comment concilier les besoins de mobilités des agents au sein de l'entreprise (travail dans les salles de réunions, accueils de visiteurs extérieurs, etc.) et en même temps sécuriser ce type d'accès sans freiner les usages légitimes ?
Bref, le terrain de jeu idéal pour la NSA.
C.C
Avez-vous apprécié ce contenu ?
A lire également.
Le DLP, ou l’archétype du techno-solutionnisme béat
20 avril 2026 - 10:27,
Tribune
-On n’est pas exactement dans un matraquage publicitaire de haute intensité, mais cela revient tout de même assez régulièrement, comme la grippe de saison ou les allergies aux plastiques des tongs d’été. En tout cas, régulièrement, il se trouve un commercial lambda pour nous ressortir une offre préte...
La cyber face au défi des modèles mentaux
14 avril 2026 - 08:41,
Tribune
-Un modèle mental, c’est un prisme au travers duquel nous regardons la réalité. Des lunettes filtrantes si vous préférez.
Comment quantifier un risque
31 mars 2026 - 08:06,
Tribune
-Après avoir expliqué qu’une PSSI et une appréciation des risques ne servaient à rien (ici 1) -mais un peu quand même -, intéressons-nous à un autre sujet brûlant qui déchaîne les passions, pire que JR (2) et la fin du Prisonnier (3) : la quantification du risque.
Publication d’un corpus inédit de comptes rendus médicaux fictifs en open data pour accélérer l’IA en santé
26 mars 2026 - 19:08,
Actualité
- Rédaction, DSIHDans un contexte réglementaire européen exigeant, qui garantit un accès et un partage sécurisés des données de santé, le projet PARTAGES apporte une réponse opérationnelle aux défis posés à l’IA en santé. Coordonné par la Plateforme des données de santé (Health Data Hub) et réunissant 32 partenaires...
