Darkhotel : méfiez-vous du Wifi des hôtels

Ils sévissent depuis plus de 4 ans dans des hôtels de luxe. Quatre années pendant lesquels des cadres et dirigeants d’entreprises se sont fait dérober sans le savoir des informations sensibles présentes sur leur ordinateur, avant que l’éditeur Kaspersky ne révèle le pot-aux-roses.

La stratégie est bien rodée. Les hackers s’introduisent d’abord dans le réseau Wifi d’un grand hôtel. Ils ciblent ensuite une personnalité haut placée d’un gouvernement ou d’une entreprise séjournant dans l’hôtel. Lorsque celui-ci se connecte au Wifi à l’aide de ses noms et numéro de chambre, les pirates envoient sur sa machine une notification l’invitant à mettre à jour un logiciel courant comme Adobe Flash ou Windows Messenger.

Un malware dissimulé dans une fausse mise à jour
Cette mise à jour cache en fait un malware qui va déployer sur le poste tous les outils dont le hacker a besoin pour subtiliser les informations qu’il recherche. Ce dernier récupère ainsi des identifiants lui permettant de se connecter aux différents comptes utilisés par la victime et récupère toute un ensemble de données critiques notamment liées à la propriété intellectuelle de l’entreprise. Une fois les éléments en leur possession, les pirates prennent bien soin d’effacer toute trace de leur passage.

« La problématique de sécurisation
des réseaux sans-fil n’est
pas toujours bien appréhendée »

L’activité du groupe, baptisé Darkhotel, a néanmoins été détectée, essentiellement dans des établissements japonais, taïwanais et chinois. Impossible aujourd’hui de mesurer l’ampleur de l’attaque, qui serait toujours en cours. Et depuis ces révélations, beaucoup d’interrogations sont apparues concernant la sécurité des réseaux Wifi. « Début 2013, près de la moitié des réseaux WiFi n’utilisaient aucun moyen de chiffrement ou utilisent un moyen de chiffrement obsolète. Force est de constater que la problématique de sécurisation des réseaux sans-fil n’est pas toujours bien appréhendée et que les risques encourus restent souvent méconnus », regrette l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

IPsec recommandé, WPS à bannir
Le premier réflexe à adopter côté utilisateur est l’utilisation d’un VPN. Passer par un réseau privé virtuel permet en effet de bénéficier d’une communication chiffrée qui mettra les données à l’abri des pirates. « Une connectivité VPN est essentielle pour garantir des communications sécurisées et confidentielles lors de connexions via des points d’accès Wi-Fi non contrôlés », confirme Florian Malecki, Directeur Marketing Dell Security Network. Si cela est possible, il est recommandé de privilégier des protocoles de chiffrement complémentaires comme TLS ou IPsec pour obtenir un bon niveau de confidentialité. Enfin, une précaution simple mais souvent négligée : pensez à désactiver le Wifi lorsque celui-ci n’est pas utilisé.

Du côté du point d’accès, la technique la plus basique pour sécuriser est la mise en place d’une clé WPA (Wifi Protected Access) afin de ne pas laisser le réseau ouvert à n’importe qui. Attention toutefois à exiger un mot de passe long et complexe pour assurer l’efficacité de l’authentification. Ce dernier devra être modifié régulièrement. Prêtez également à votre SSID (nom du réseau). Celui-ci ne doit pas fournir d’indications quant à l’identité de la société ou la nature de son activité. Dans ses recommandations, l’ANSSI conseille par ailleurs de désactiver systématiquement la fonction WPS (Wifi Protected Setup) qui permet de s’authentifier sur un réseau WPA2 à l’aide d’un simple code PIN. Ce code peut en effet être découvert en « force brute » en quelques heures, voire quelques minutes.