Le très honorable David Davis, membre du Parlement, Mary Honeyball, députée européenne et Lord Strasburger, trois personnalités des hautes sphères politiques du Royaume-Uni se sont vu pirater leur données personnelles en se connectant à du Wifi gratuit avec leurs mobiles.
Une simple expérience pour montrer les dangers d’une connexion Wifi non sécurisée… Attention danger, pendant les vacances, vous allez vous connecter dans les cafés, hôtels et autres lieux publics : or il est si facile d’obtenir les identifiants de vos boîtes de messagerie, vos profils de réseaux sociaux et vos coordonnées bancaires… Pour le démontrer, l’éditeur de logiciels spécialisé dans la sécurité et la confidentialité F-Secure s’est associé à Mandalorian Security Services, une société experte en tests d’intrusion, et au Cyber Security Research Institute (institut de recherche pour la cybersécurité) pour pirater l’appareil mobile de trois personnalités politiques.
Ces personnes ont délibérément été sélectionnées parmi les hautes sphères politiques du Royaume-Uni : le très honorable David Davis, membre du Parlement, Mary Honeyball, députée européenne et Lord Strasburger. Ces personnalités, qui ont accepté de prendre part à l’expérience, ont expliqué qu’elles n’avaient jamais reçu de formation ou d’informations sur les risques de piratage liés à l’utilisation de réseaux Wifi publics, et ce, malgré leur rôle important au sein de leurs administrations respectives. Elles ont également affirmé utiliser régulièrement ce type de connexion.
Pour David Davis, comptes messagerie et Paypal piratées
« C’est assez effrayant. Vous avez réussi à trouver mon mot de passe, qui est beaucoup plus complexe que ceux que les internautes utilisent en général. Jamais je ne choisirais des combinaisons comme “motdepasse” », s’étonne David Davis, dont le compte de messagerie a été piraté.
Pour F-Secure, « le problème, c’est que la complexité du mot de passe ne permet pas d’éviter ce genre d’attaque : les réseaux Wifi publics sont par définition non sécurisés, et les identifiants et les mots de passe sont clairement lisibles derrière les points d’accès. Ils peuvent donc être dérobés très facilement par les pirates »
Afin de montrer l’ampleur du risque, la société qui a effectué l’intrusion a enregistré un brouillon dans la boîte de messagerie de David Davis, annonçant qu’il allait rejoindre le parti UKIP. Son compte PayPal a également été piraté, puisqu’il utilisait les mêmes identifiants que pour son compte Gmail, une erreur bien souvent commise.
Appel VoIP intercepté pour Lord Strasburger
L’un des appels VoIP (Voice over IP) effectués depuis une chambre d’hôtel par Lord Strasburger a été intercepté et enregistré à l’aide d’outils disponibles gratuitement sur Internet et relativement faciles à utiliser. Ce dernier explique : « Il y a de quoi prendre peur : cette technologie est très puissante ! N’importe quel débutant peut apprendre à l’utiliser en quelques heures. Il faut beaucoup mieux connaître les technologies que nous utilisons, et chacun doit se préoccuper de sa propre sécurité… car personne ne le fera à votre place ! »
Les identifiants du Facebook de Mary Honeyball volés
Mary Honeyball, députée européenne, est membre du comité européen à l’origine de la campagne « We Love Wifi ». Alors qu’elle utilisait le réseau Wifi d’un café, elle a reçu un e-mail envoyé par un pirate participant à l’expérience. Le message, provenant à première vue de Facebook, l’invitait à s’identifier de nouveau sur le site, car sa session avait expiré. Sans le savoir, elle a transmis ses identifiants au pirate, qui a donc pu accéder à son compte Facebook. Mary Honeyball utilisait une tablette remise par le service IT du Parlement européen quelques jours auparavant. Elle a exprimé son inquiétude quant au manque de conseils dudit service. « Il est clair qu’il faut faire quelque chose. Nous pensons tous qu’il suffit d’un simple mot de passe pour se protéger. C’est ce que je croyais moi aussi. Je suis à la fois surprise et choquée », s’inquiète-t-elle.
Sean Sullivan, conseiller en sécurité chez F-Secure, conseille d’utiliser un logiciel appelé VPN (Virtual Private Network, ou réseau privé virtuel), qui chiffre toutes les données circulant entre l’appareil et le réseau, pour se prémunir de ce type d’intrusions.