Sécurité des réseaux Wi-Fi : l’analyse d’Avast

CloudEntreprise
avast-securite-wi-fi

A Paris, Avast fait le point sur les enjeux sécuritaires liés à l’essor des réseaux Wi-Fi et s’arrête sur un élément-clé de l’infrastructure : le routeur.

Accompagnant l’essor de terminaux mobiles et d’objets connectés qui deviennent des piliers de la vie numérique, la multiplication des réseaux Wi-Fi est synonyme de flexibilité au quotidien, mais soulève des enjeux critiques en matière de sécurité et de confidentialité.

Tel est, en substance, le message communiqué par Avast. Ce mercredi, l’éditeur de solutions antivirus basé en République tchèque (qui a fêté son 25ème anniversaire l’an passé), a organisé un point presse à Paris centré sur cette problématique et ses répercussions jusqu’au sein des petites entreprises, première terre d’accueil des technologies grand public dans le monde professionnel.

Le constat est sans appel : la difficulté des utilisateurs finaux à appliquer – voire à cerner – les bonnes pratiques de sécurité informatique crée un environnement d’autant plus favorable aux cyber-criminels. Lesquels s’attaquent généralement au centre névralgique du réseau ; en l’occurrence, le routeur.

La nature même de cet équipement, qui gère les connexions avec des appareils aussi variés que des PC, des smartphones, des tablettes, des consoles de jeu vidéo, des appareils photo ou encore des thermostats « intelligents », en fait une porte grand ouverte sur la vie privée… Surtout en cas de problème de sécurité physique, de faille logicielle ou de vulnérabilités dans les méthodes de chiffrement et d’authentification.

Le premier maillon faible dans cette chaîne semble être le mot de passe permettant d’accéder à l’interface d’administration du routeur : il est « trop faible dans 80 % des cas« , selon Vincent « Vince » Steckler. Le CEO d’Avast (arrivé il y a six ans en provenance de Norton) ajoute que dans le monde, 63 % des utilisateurs n’ont jamais modifié les informations de connexion par défaut de leur routeur.

Bilan : dans 45 % des cas, on retrouve l’identifiant « admin », associé à aucun mot de passe ou, à la rigueur, à la chaîne « password » (terme anglais désignant un mot de passe). De quoi faciliter la tâche des pirates. C’est sans compter le fait qu’une part non négligeable des quelques Français qui modifient le mot de passe choisissent leur nom, leur prénom ou leur date de naissance. Des informations faciles à dénicher par des techniques de social engineering.

Des routeurs vérolés ?

Autre point sensible : le firmware, c’est-à-dire le micrologiciel embarqué dans les routeurs… et dont les mises à jour sont souvent éludées par les constructeurs. Pratiquer le « reverse engineering » (analyse de code) peut permettre de détecter des failles de type 0-day, c’est-à-dire inconnues du public.

Dans une étude publiée en février dernier, Tripwire (contrôle des configurations de sécurité système) estimait que 80 % des 25 modèles de routeurs sans fil les plus vendus sur Amazon à destination du grand public, des TPE et des indépendants présentaient un firmware vulnérable.

Qu’ils passent par l’une ou l’autre de ces deux voies, les pirates peuvent prendre intégralement le contrôle du routeur. Et le détourner pour renvoyer toutes les requêtes vers un serveur DNS malveillant, qui associera les URL saisies par l’utilisateur à des adresses IP malveillantes. Un processus particulièrement simple sur certains navigateurs comme Safari d’Apple, plus permissifs sur la vérification du chiffrement SSL (« Secure Sockets Layer »).

A l’instar de concurrents comme Symantec et Kaspersky, Avast accorde une importance particulière à la protection des routeurs dans la version 2015 des ses solutions antivirus. Illustration avec la fonction « Home Network Security », qui procède à une analyse du routeur pour repérer les connexions Wi-Fi non sécurisées, les mots de passe trop faibles, les fragilités du firmware… et les problèmes avec IPv6.

Ce protocole doit succéder à IPv4 pour offrir un plus grand nombre d’IP adressables (2128, contre 232 pour IPv4), mais il est mal géré par le pare-feu de nombreux routeurs : tous les appareils connectés deviennent alors publiquement accessibles.

Home Network Security s’assortit d’une fonction Secure DNS disponible uniquement dans le cadre de l’offre payante d’Avast : les requêtes Web depuis le poste client sont chiffrées et transmises vers les serveurs d’Avast, qui assurent la redirection vers les sites légitimes.

A l’instar de Secure DNS, l’outil Secure VPN – qui permet « d’encapsuler » les connexions pour les protéger notamment sur les réseaux Wi-Fi publics – n’est pas accessible gratuitement. Vince Steckler s’explique : « Les coûts inhérents à ce service sont importants […]. Beaucoup plus que le 2 à 3 centimes par an que coûte le support d’un utilisateur gratuit« .

Avast parle aux Français

Au gré de ses contributions blog, Avast distille d’autres recommandations concernant la sécurité du Wi-Fi. Par exemple, contrôler régulièrement la liste des appareils connectés, activer le filtrage par adresses MAC et vérifier, surtout si le routeur est d’occasion, que le mode « Invité » n’est pas activé. Mais aussi masquer ou modifier le SSID (nom du routeur), qui peut trahir de nombreuses choses, dont la marque du produit, son emplacement ou les usages auxquels il est consacré.

Des conseils qui s’appliquent tout particulièrement aux 16,4 millions d’utilisateurs qu’Avast compte en France, selon des données compilées à l’appui des statistiques de Gartner et d’IDC sur le marché du PC. L’Hexagone n’est plus le premier marché de l’éditeur tchèque, ni en nombre de clients (il est devancé par le Brésil et la Russie), ni en termes de chiffre d’affaires (il l’était jusqu’en 2010 ; ce sont désormais les Etats-Unis), mais il reste un point d’ancrage historique.

Et pour cause : l’aventure d’Avast à l’international y a débuté en 2001 avec un premier appel à la communauté qui avait abouti à une traduction « approximative » de l’antivirus. C’est à cette occasion que le modèle de distribution a pris racine dans le crowdsourcing et la viralité, s’affranchissant des OEM et des partenaires revendeurs.

Treize ans plus tard, « Avast protège 230 millions d’appareils, dont environ 175 millions de PC Windows, 1,5 million de Mac et 53 millions de terminaux mobiles« , selon Ondrej Vlček. L’ancien directeur technique d’Avast, qui a récemment pris ses fonctions de directeur de l’exploitation, précise que le seuil du million d’utilisateurs « a été dépassé dans 41 pays« .

Un avenir entre mobile et gestion des identités

Avast ne communique pas ses résultats financiers, mais ambitionne de terminer l’année sur une valorisation supérieure à 1 milliard de dollars. Pour rappel, il s’agit d’une société privée dont le capital est détenu à 47 % par deux investisseurs : CVC Capital Partners (qui possède notamment les droits commerciaux sur la Formule 1 depuis 2006) et Summit Partners (actionnaire majoritaire de vente-privee.com).

La feuille de route pour 2015 accorde une place importante au mobile, bien que, comme le note Vince Steckler, « les logiciels malveillants [soient] encore minoritaires sur ces plates-formes » : 1 million de variantes recensées sur Android, contre 178 millions sur Windows. Avast consolidera aussi son outil d’effacement de données, « pour les effacer réellement », comme l’explique Ondrej Vlček.

Il poursuit : « On s’en est rendu compte en menant des tests sur des téléphones d’occasion revendus ‘en configuration d’usine’ : Android n’écrase pas véritablement les fichiers. Il utilise en fait une technique similaire à celle utilisée par le système de fichiers FAT : il supprime simplement la première lettre du nom de fichier« .

Sur l’évolution de l’offre, une autre annonce concerne 2015 : le lancement, début janvier, d’une gamme de solutions gratuites pour les TPE. Les équipes d’Avast n’en diront toutefois pas plus sur le contenu des produits. Elles s’épanchent à peine plus sur la gestion des identités, abordée à travers des expérimentations autour d’une balise Bluetooth « Air Bond » servant à valider des paiements en ligne réalisés sur smartphone, en association avec les banques.

Son taux de conversion restant relativement bas (environ 3 % dans le monde ; 5 % en France et 10 % au Royaume-Uni), Avast exploitera d’autres sources de revenus. En tête de liste, la fonction Browser Cleanup, qui « efface » les moteurs de recherche tiers qui se sont installés dans les navigateurs pour restaurer ceux proposés par défauts. Google, Microsoft, Yahoo et consorts paient leur écot en échange de ce service.

ondrej-vlcek-avast
Ondrej Vlček revient sur ces exploits qui se monnayent pour quelques (dizaines de) milliers de dollars sur le marché noir.

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous des VPN ?

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur