Comment obtenir du Wi-Fi gratuit grâce à vos mots de passe de réseaux sociaux…

9 Avr 2015

Il est de notoriété publique que  » rien n’est gratuit « . Mais dans la pratique, les choses sont souvent bien différentes. Dans notre post d’aujourd’hui sur le Wi-Fi gratuit, vous verrez que lorsque vous êtes à la recherche d’une opportunité  » entièrement gratuite  » avec un fournisseur de services, vous avez de grandes chances de vous retrouver à partager avec d’autres sociétés vos données privées telles que vos identifiants de réseaux sociaux.

free-wifi

Il existe un bon nombre d’exemples réels qui vous ferraient passer l’envie d’être tenté par les offres gratuites. L’une des dernières histoires en date concerne le cas de bornes Wi-Fi situées dans des cafés et fournies par Smart Wi-Fi, une entreprise russe basée à Saint-Pétersbourg.   Quelques utilisateurs consciencieux ont réussi à enregistrer plusieurs vidéos montrant ce qui se passe lorsqu’un client se connecte sur un réseau Smart Wi-Fi, puis les ont mis en ligne sur YouTube.

Vous pouvez retrouver la totalité de l’article sur Siliconrus.com (l’article est rédigé en russe, donc n’hésitez pas à utiliser un traducteur en ligne), mais nous allons tout de même vous expliquer cette manœuvre : lorsqu’un client se connecte à un réseau Smart Wi-Fi, celui-ci est invité à se connecter via son compte de réseau social. Dans ce cas, il s’agit de VKontakte, réseau social le plus populaire en Russie.

Il se trouve que l’identifiant et le mot de passe ne sont pas à renseigner directement sur la page Web du réseau social VKontakte, mais sur la page Web de Smart Wi-Fi, à travers une connexion non chiffrée, la manière la moins sécurisée de se connecter à un site Web.

Lorsque les utilisateurs se connectent sur leur profil VK, le mot de passe de vk.com est fourni au fournisseur d’accès Smart Wi-Fi et, par le plus grand des hasards, à n’importe quel brigand caché tout prêt de vous et armé d’un ordinateur portable.

En parlant de Smart Wi-Fi, sachez qu’il existe également un article – ainsi que d’autres vidéos –  démontrant que le service stocke les identifiants et les utilisent, par exemple, pour poster une publicité sur la page VK.com de l’utilisateur et également pour installer une application sur le profil vk.com de l’utilisateur disposant de permissions très vastes. Celle-ci peut, entre autres, accéder à de nombreuses données personnelles et publier des posts à la place de l’utilisateur.

Alors que dans le premier cas l’utilisateur est averti du fait que la publicité a été postée sur son mur, l’installation de l’application est effectuée sans aucune notification. Et pour que l’utilisateur se rende compte de l’installation d’une nouvelle application, il devrait passer en revue la liste de ses applications Vkontakte. Il va sans dire que le nombre d’utilisateur effectuant cette petite révision d’applications est particulièrement bas.

Les sites Web qui imitent une page de connexion via un réseau social ou un outil de services bancaires en ligne sont très fréquents. Il s’agit en fait de la pierre angulaire d’une escroquerie largement utilisée et connue sous le nom d’hammeçonnage. Cette technique utilise la création de fausses pages Web qui ressemblent trait pour trait à une véritable page Web, pour tromper les utilisateurs afin qu’ils rentrent leurs identifiants en toute confiance, et pour que leurs données soient utilisées par les cybercriminels qui pourront accéder à ces données privées à l’insu des utilisateurs.

La vraie problématique ici concerne l’utilisation de cette pratique discutable par un fournisseur de services. Nous ne pensons pas que le fournisseur ait conçu ce plan d’action machiavélique de façon délibérée, mais le fait est que les utilisateurs sont néanmoins toujours sous la menace de voir leurs données volées.

Exactement comme dans tous les cas de phishing traditionnel, il existe un remède efficace : la prudence et la vigilance. Nous voudrions, comme toujours, attirer votre attention sur le fait d’être très scrupuleux quant à l’URL d’un site web, et de ne jamais renseigner vos identifiants personnels si l’URL est différente du site sur lequel vous vous attendiez à être redirigé. De plus, il est important de préciser que tous les sites de réseaux sociaux ainsi que tous les services bancaires en ligne sont en train de migrer vers le protocole de sécurité HTTPS qui permet de chiffrer les communications. Nous vous recommandons fortement de n’entrer aucun mot de passe sur une page Web n’ayant pas l’icône d’un petit cadenas située dans la barre d’outils de l’URL.

Nous  vous précisons également que la dernière version de Kaspersky Internet Security est capable de détecter les réseaux Wi-Fi non sécurisés et qu’elle avertit l’utilisateur contre la connexion à ces bornes.