Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Le BYOD et limites des Wifi publics

16 déc. 2013 - 01:00,
Tribune - DSIH
Le Parlement Européen a coupé son Wifi public, après une intrusion.

BYOD


L'attaque – qui n'en est pas vraiment une puisqu'elle a été réalisée par un chercheur sans but de nuire – est de type « man in the middle » et consiste à « faire croire » à un utilisateur qu'il se connecte à son réseau Wifi habituel alors qu'en fait il se connecte à une borne pirate qui lui subtilise ses comptes utilisateur et mot de passe. De fait, le réseau Wifi public du Parlement a été très rapidement coupé, les utilisateurs invités à changer sans délai leurs mots de passe.

 

Le côté remarquable de cet incident est que ce type d'attaque est relativement ancien (au moins 10 ans), mais qu'il est difficile de s'en protéger et qu'elle est facile à mener. N'importe quel informaticien chevronné peut se poster dans une chambre d'hôtel à quelques mètres d'une entreprise, déployer une borne Wifi pirate et commencer à capter les tentatives de connexion des employés au réseau Wifi de ladite entreprise en leur faisant croire que la borne pirate en question en fait partie.

 

Certaines entreprises – banques, assurances – interdisent même à leurs employés de se connecter à un réseau Wifi à partir de leurs PC portables professionnels (même en montant une connexion sécurisée de type VPN) et les incitent à utiliser une clé 3G, même depuis leurs domicile.

La seule réponse valable connue à ce jour est la mise en place de système d'authentification à deux facteurs : par exemple, un mot de passe associé à une carte à puce ou un système de mot de passe à usage unique (token). Techniquement c'est bien entendu tout à fait faisable, mais cela demande des moyens et une logistique adéquats : systèmes de PKI, distributions et enrôlement d'équipements, etc.

 

Ceci pose en filigrane la question de la viabilité des politiques BYOD : autant il va être possible d'imposer les mesures susnommées de sécurité sur des PC professionnels, autant cela va être autrement plus compliqué dès lors qu'il va s'agit d'offrir une connectivité à partir d'équipements individuels (tablettes, Mac, etc.).

 

Détecter les bornes pirates dans une grande entreprise est quasi impossible : trop de surface à surveiller, trop de faux positifs (les bornes ADSL des particuliers qui habitent de l'autre côté de la rue). Et comment concilier les besoins de mobilités des agents au sein de l'entreprise (travail dans les salles de réunions, accueils de visiteurs extérieurs, etc.) et en même temps sécuriser ce type d'accès sans freiner les usages légitimes ?

 

Bref, le terrain de jeu idéal pour la NSA.


C.C

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM

29 sept. 2025 - 10:43,

Tribune

-
Cédric Cartau

Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte

15 sept. 2025 - 22:20,

Tribune

-
Cédric Cartau

Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.