Durant mes différents déplacements à l’étranger, j’aime me promener dans les espaces informatiques mis à disposition par les hôtels. De beaux ordinateurs des hôtels connectés à Internet, gratuitement. Si l’idée est intéressante, elle permet de rester connecter avec la famille, ses emails, la dangerosité de l’occasion offerte est à rappeler. Depuis le mois de juin, j’ai eu la chance de me promener par « monts et par vaux » pour zataz.com, zatazweb.tv, datasecuritybreach.fr ou mes employeurs, de l’Espagne au Maroc en passant par la Tunisie, l’Angleterre, la Belgique ou encore l’Île Maurice et le Québec. Dans les hôtels qui ont pu m’accueillir, des connexions web (payantes et/ou gratuites) et des machines mises à disposition. PC ou Mac, bref, des liens de connexion avec son monde familial… ou professionnel. Aussi paranoïaque que je puisse éviter de l’être, il ne me viendrait pas à l’idée de me connecter à ces machines pour le travail. A première vue, beaucoup de « vacanciers » ou « d’employés » n’ont pas mes craintes.
Il est mignon Monsieur Pignon…
Du 1er juin 2013 au 24 octobre 2013 j’ai pu étudier 107 ordinateurs en accès libres. 37 Mac et 70 PC. J’ai pu mettre la main sur 25.811 documents que je considère comme sensibles. Sensibles car ils auraient pu permettre à un pirate informatique, je ne parle même pas de l’ambiance « Les services secrets étrangers nous surveillent », d’identifier et usurper une identité, une fonction, des projets professionnels.
Ci-dessous, quelques documents que j’ai pu croiser. Il s’agit, ici, de captures d’écrans effectuées avec mon appareil photo. L’ensemble des fichiers ont été effacés après mes découvertes et les directions des hôtels alertées, histoire de coller quelques affiches, ici et là, sur les mesures que les clients devraient prendre lors de leurs pérégrinations informatiques.
En déplacement, sortez armés lors de l’utilisation des ordinateurs des Hôtels
Je peux comprendre, je suis le premier concerné, qu’en déplacement, le besoin de rester connecter se fait rapidement sentir. Un petit coucou à la famille restée à la maison, aux courriels du patron ou quelques mises à jour sur son site web et autres blogs. Seulement, il n’est pas toujours évident de se promener avec son ordinateur portable sous le bras. Si c’est le cas, voyez nos méthodes de sécurisation physiques et numériques de votre – Précieux -. Prudence, aussi, aux connexions wifi offertes dans les hôtels. Dans la foulée de mes voyages, se promènent toujours avec moi, mes Pirates Box @zataz. Pourtant baptisées PirateBox, donc de quoi inquiéter ceux qui ne connaissent pas cette merveilleuse petite amie numérique, j’ai pu découvrir pas moins de 54.291 fichiers privés (80% de photos, ndlr) téléchargés par des inconnus. Je vous passe la possibilité malveillante d’une PirateBox Man-in-the-middle s’annonçant comme un « Hotel-Free-Wifi » ou « Starbux-Wifi-Free« . Il ne reste plus qu’à collecter les données sensibles transitant entre le « touriste » et le site qu’il visite. Pour éviter de se voir gober comme un gros Ananas, la sécurisation de vos connexions est une obligation. Un service VPN est indispensable en déplacement.
Nous utilisons pour ZATAZ, DataSecurityBreach ou pour mes autres employeurs l’excellent VyprVPN, ainsi que de nombreux systèmes d’anonymisation et chiffrement de données. Présent sur les 5 continents, plus de 200.000 IP et un pare-feu NAT loin d’être négligeable. Les pirates et les bots malveillants cherchent sur Internet les appareils non protégés qu’ils peuvent utiliser pour le vol d’identité et les messages indésirables. Ils accèdent à votre système par les connexions Internet qui sont ouvertes sur vos applications. En utilisant ces connexions, ils peuvent installer des malwares et voler vos informations personnelles. Le pare-feu NAT empêche leur recherche d’atteindre votre appareil ou ordinateur quand vous vous connectez avec VyprVPN. Autre service, celui-ci est Français, ActiVPN.
Ordinateurs des Hôtels
Autres solutions, chiffrer vos informations communiquées. OpenPGP, GPG, … sont d’excellents outils qui en cas d’oubli de fichiers dans une machine étrangère (chose impensable, mais bon, ndlr datasecuritybreach.fr) évitera qu’un inconnu puisse y accéder. Nous finirons avec l’outil de la société française Gith Security Systems. Elle tente d’offrir une réponse en proposant «Gith», la première plateforme gratuite de communications sécurisées sur Internet, destinée au grand public, PME et professions libérales. Pour simplifier le processus, Gith se présente sous la forme d’une application à installer, disponible sous Windows, Mac OS, Linux et prochainement iPhone/Android. Gith permet d’échanger des Emails, partager des documents («Cloud sécurisé») et faire du chat avec les autres utilisateurs. Une sécurité bien présente, mais totalement invisible. Toutes les données sont chiffrées de bout en bout, avec les meilleurs algorithmes actuels (RSA 2048, AES 256). Même en cas de vol de votre ordinateur ou infection par un virus, vos données sont inaccessibles : elles sont stockées chiffrées sur votre machine. La sauvegarde de votre clef secrète de chiffrement sous forme de QRCode vous permet facilement d’importer votre compte sur un autre ordinateur ou votre smartphone ! Nous utilisons cette solution. Elle mérite clairement d’être découverte et exploitée. A noter que Gith a été sélectionné pour l’opération 101 projets de Xavier Niel, Marc Simoncini et Jacques-Antoine Granjon. Le 18 novembre, présentation de Gith, en 1 minute, et tenter de décrocher 25k € de financement.
Bref, mes solutions de protection de vos données, en déplacement, ne sont pas infaillibles, mais devraient vous rappeler que le libre accès n’est pas la meilleure idée pour vos données privées. Et les ordinateurs des Hôtels font parti de ces fuites potentielles.
Fuites de données : la réputation des entreprises en danger via les ordinateurs des Hôtels
La grande majorité des entreprises qui doivent faire face à un problème de sécurité sont contraintes de révéler publiquement cette information, comme le révèle l’étude Global Corporate IT Security Risks 2013 menée par Kaspersky Lab auprès de 2 895 organisations à travers le monde. Les résultats sont sans appel. 44% des entreprises ayant été victime d’une fuite de données sont dans l’obligation d’informer leurs clients de l’incident, 34% informent leurs partenaires, 33% informent leurs fournisseurs, 27% remontent les fais à un organisme de contrôle ou de régulation, 15% doivent en informer les médias. A l’échelle mondiale, les grandes entreprises seraient les plus touchées. La législation change en faveur des internautes comme nous la nouvelle directive européenne votée le 12 août dernier.
Merci pour cet article. On a tendance à l’oublier mais les précautions en termes de sécurité informatique jouent où que l’on se trouve, que l’on soit en vacances ou en période active.Contrairement aux honnêtes travailleurs, les pirates ne prennent pas de vacances.
Concernant Gith, leur dossier de presse indique:
» nous n’utilisons pas les biblio crypto open sources […] car l’utilisateur n’a pas la certitude que les mécanismes de chiffrement sont bien implémentés […] mais préférons toujours utiliser un code développé par nos soins »
Ah bon ? Je croyais qu’au contraire ouvrir le code était la meilleure garantie que les mécanismes de chiffrement étaient bien implémentés !
Du terrain au contraire on en a fait lors de l’enquête de 2010 :
275 cyber cafés majoritairement Paris
37 hôtels 4 et 5 * (Bruxelles, Paris, Londres, Strasbourg, Luxembourg, Berlin)
71 autres lieux divers
163 Go de données collectées
Durée de l’étude 6 mois
C’est pas du terrain ça ?
Il ne faut pas affirmer n’importe quoi !
Oups ! Je me suis mal exprimé. Je parlais de mes petites jambes, pas d’une équipe.
Ce n’est pas nouveau. Un laboratoire à Laval a fait cela sur une plus grande échelle en 2010 (voir Journal Les Echos du 01/12/2010 et la conférence ECIW 2011, j’ai l’article si cela intéresse quelqu’un). Ils avaient, si je me souviens bien, été plus loin encore. Comme quoi les conneries perdurent…
Oui, le lien de l’article est présent ici.
Et Tails sur une clé USB, c’est pas possible ? On n’a pas le droit de relancer la machine ?
Merci pour la « découverte » de VyprVPN. J’ai mi un peu de temps à cpater qu’il faut prononcer [vaï-pEr-vi-pi-ai-n] en référence au serpent…
Par contre leur site a des points noirs.
=> Pas de https par défaut, et même mire, si tu essayes en https, il te renvoie vers la même page en http!! Comme le moteur Bing de MS, mais bon de leur part (à MS) c’est moins étonnant.
=> Pas d’info sur le siège social ou alors c’est très bien caché, je suppose le Canada via une fouille dans le WhoIs. C’est pourtant une des première infos que l’on recherche avant se payer chez ce genre de compagnie.
Merci pour cet excellent article. 🙂
Je vais tester Gith cela à l’air très intéressant.
Il y a un schmilblick qui désactive le clic-droit sur le site ou c’est moi … ?
— Note de la rédac : merci pour les coquilles 🙂 —
Bonjour
en 2010, les Echos avaient publié un article révélant déjà ces lacunes avec une enquête de Secalys et de l’ESIEA…
Au sujet du commentaire de Philippe Richard -> http://www.esiea.fr/les-failles-des-ordinateurs-en-libre-service-(2686).cml
Pour et article, j’ai fait un « chouillat » plus de terrain.L’article des Echos : http://www.lesechos.fr/01/12/2010/LesEchos/20816-125-ECH_securite-informatique—les-failles-des-ordinateurs-en-libre-service.htm
Tout tient dans un gros déficit d’information du public.
Même si certains hôteliers « protégeaient » leurs points d’accès, impossible de leur faire confiance 🙂
Donc VPN pour tout le monde et accès uniquement sur connexion, et pas sur une machine a priori compromise.
On trouve aussi de pc en libre service qui se remettent à zéro à chaque reboot / fin de session.
Ce n’est pas du 100% fiable, mais c’est déjà pas mal!
C’est vrai que les hôtels ont beaucoup de boulot à faire de ce coté là. Je travaille souvent en déplacement, et il est très courant de voir des énormités en matière de sécurité informatique (par exemple, le mot de passe écrit sur un post-it à coté du clavier de la secrétaire).
Est-ce que ça ne devrait pas être les établissements concernés qui devraient mettre en place tout ce qu’il faut pour utiliser leur matos de manière sécurisé?
Bonjour,
Sur les hôtels croisés, 9 directions ont tenu comptes de mes alertes. Il faut cependant noter que les grands groupes mettent en place des structures sécurisées, mais cela a un coût (hommes, temps, argent). Trois hôtels m’ont rétorqués que les clients devaient être responsables.
J’aime beaucoup ce site et ses articles (dont celui-ci!).
Mais l’orthographe laissant à désirer, cela décrédibilise un peu le sérieux du site :-/
C’est dommage et c’est pourquoi, si cela vous intéresse, je me propose afin de relire et corriger l’article avant publication.
Bon courage et surtout continuez ce que vous faites ! 🙂
Bonjour,
Les coquilles et les fautes, j’avoue, cela arrive ! N’hésitez pas à nous remonter les boulettes !
Comments are closed.