La sécurité des réseaux, c'est sérieux. Que vous exploitiez un petit café ou un grand aéroport international, cette responsabilité ne se délègue pas. Et quand des journalistes ou des blogueurs spécialisés en cybersécurité soulèvent des questions sur le Wi-Fi public, ça vaut la peine de les écouter car les risques réels existent.
Mais ces derniers temps, une partie des contenus sur le Wi-Fi dans les aéroports et les espaces publics est passée de la mise en garde utile à quelque chose qui ressemble davantage à de la panique. Le message, parfois sous-entendu, parfois affirmé clairement, c'est que le Wi-Fi invité est fondamentalement dangereux. Dès que vous vous connectez, des pirates à portée de signal peuvent voir vos mots de passe, pirater vos applications et vider vos comptes. Ça fait un bon titre, mais pour la plupart des utilisateurs sur des réseaux modernes, c'est une exagération importante.
Chez Datavalet, on conçoit et on opère des réseaux Wi-Fi gérés pour des aéroports, des hôtels, des établissements de santé et des environnements d'entreprise. Il nous semble important de remettre les pendules à l'heure, pas pour minimiser les risques, mais pour pointer ce qui compte vraiment. Le problème n'a jamais été le Wi-Fi invité en soi. Le problème, c'est le Wi-Fi invité mal conçu.
Avantd'aller plus loin, précisons un point important. Un réseau « géré »est un réseau configuré et supervisé par des gens qui savent comment le gardersécuritaire, autant pour l'organisation que pour les utilisateurs qui s'yconnectent. Cette expertise peut venir d'une équipe TI interne compétente, oud'un fournisseur de services gérés externe comme Datavalet.
L'image classique qu'on vous présente est une menace assise à la porte d'embarquement qui intercepte passivement tout ce que vous faites en ligne : vos courriels, vos mots de passe, vos sessions bancaires. Cette image est désuète depuis des années.
La grande majorité du trafic web et des applications utilise aujourd'hui le protocole HTTPS avec chiffrement TLS. Autrement dit, les données échangées entre votre appareil et les services que vous utilisez (boîtes courriel, compte bancaire, applications de messagerie) sont chiffrées de bout en bout. Quelqu'un qui tenterait d'intercepter votre trafic sur le même réseau ouvert n'obtiendrait pas un fil lisible de vos activités. Il n’obtiendrait que du bruit chiffré.
Les attaques de type « homme du milieu », comme celle d’AirSnitch, sont souvent citées dans ces articles. Le risque existe, mais l'exploiter contre une connexion HTTPS correctement configurée n'est pas trivial. Un attaquant a généralement besoin que la victime clique sur un avertissement de certificat, que l'appareil soit déjà compromis, ou que l'application utilisée soit mal conçue. Rien de tout ça ne se produit automatiquement simplement parce qu'on rejoint un réseau public.
Quand ces risques sont décrits comme des conséquences automatiques de la connexion à un Wi-Fi d'aéroport, les menaces présentées ont dix à quinze ans de retard.
Ça ne veut pas dire que tous les réseaux Wi-Fi invité sont parfaitement sécuritaires. Les préoccupations légitimes existent, elles sont simplement plus spécifiques que les titres ne le suggèrent.
1. L'attaque du « faux jumeau » : Un point d'accès frauduleux qui imite un réseau légitime. Ce n'est pas techniquement difficile à créer. Une fois connecté par erreur, l'utilisateur peut tomber sur un faux portail de connexion, des tentatives d'hameçonnage ou des pages conçues pour voler des identifiants. C'est une attaque réelle qui joue sur la psychologie humaine, pas sur le cassage du chiffrement.
2. Les portails captifs mal sécurisés : Les pages « cliquez ici pour accepter les conditions » peuvent elles-mêmes devenir des vecteurs d'hameçonnage si elles ne sont pas correctement sécurisées.
3. Les applications peu rigoureuses : Toutes les applications n'utilisent pas une validation de certificat adéquate ou des sessions chiffrées. Les applications plus anciennes ou mal entretenues sont plus vulnérables. La faille vient de l'application, et un réseau hostile peut l'exploiter plus facilement.
Ce qui relie tous ces risques, ce n'est pas la catégorie « Wi-Fi public ». C'est l'absence de conception sécuritaire, de gestion professionnelle et de contrôles adéquats.
C'est là que la couverture médiatique disparait, et où les experts de Datavalet passent l'essentiel de leur temps. Lorsqu'une organisation déploie un réseau Wi-Fi invité, il ne s'agit pas simplement de brancher un routeur grand public et de l’ouvrir à tous sans surveillance. Un réseau géré de façon professionnelle comprend plusieurs niveaux de contrôles qui réduisent fondamentalement le risque.
La segmentation réseau est la base. Les utilisateurs invités opèrent sur un segment isolé, séparé des systèmes internes de l'organisation et des autres utilisateurs. Même si un appareil invité était compromis, il ne pourrait pas se déplacer latéralement vers l'infrastructure de production. Ce mouvement latéral, l'une des conséquences les plus graves d'une intrusion, est structurellement bloqué.
Les contrôles d'accès définissent qui peut se connecter, dans quelles conditions et vers quels services. Les réseaux gérés de niveau entreprise incluent souvent une authentification à l'entrée, un accès limité dans le temps et des politiques de trafic granulaires. Certains déploiements utilisent les standards Passpoint et Hotspot 2.0, qui permettent aux appareils de s'authentifier de façon sécuritaire et automatique, au lieu du simple clic sur une page d'accueil.
La surveillance du trafic et la détection d'anomalies permettent de voir en temps réel ce qui se passe sur le réseau. Les scans de ports, les tentatives de sonder d'autres appareils ou les schémas de trafic inhabituels peuvent être détectés et traités. C'est fondamentalement différent d'un routeur non surveillé dans un café.
L'AIOps et l'automatisation intelligente vont encore plus loin. L'apprentissage automatique corrèle les événements, identifie des comportements anormaux que des règles statiques manqueraient, et déclenche des réponses automatisées plus rapidement que n'importe quel opérateur humain. Les menaces sont contenues en temps quasi réel, sans attendre qu'un ticket soit ouvert au service d'assistance.
Les politiques de sécurité du contenu ajoutent une couche supplémentaire : filtrage DNS, blocage des domaines malveillants connus, restriction de certaines catégories de contenu. Un appareil déjà infecté par un logiciel malveillant peut voir sa capacité à communiquer avec un serveur de commande et contrôle significativement réduite.
Rien de tout ça n'est théorique. Ce sont les standards opérationnels qu'on applique chaque jour dans les aéroports, les hôpitaux et les environnements d'entreprise.
Chaque organisation est unique. Nos experts travailleront avec vous pour concevoir la combinaison de produits et de services adaptée à vos besoins, qu'il s'agisse de déploiements multisites ou de déploiements à l'échelle de l'entreprise.
.svg){kind=small}
