Une fois n’est pas coutume, aujourd’hui ce n’est pas Amandine qui écrit l’article, mais François, son mari, qui, en tant qu’informaticien, est bien placé pour nous parler de ce sujet.

En voyage, on aime donner de ses nouvelles, on envoie des photos, on vérifie son compte en banque, on réserve un hôtel via PayPal… Encore la semaine dernière, mon professeur de photographie, aujourd’hui pensionné, s’est fait pirater son email après une connexion dans un cybercafé aux USA. Alors quels sont les dangers d’internet en voyage comment les éviter ?

Les différentes possibilités de connexion

En voyage, il existe plusieurs solutions pour se connecter à internet.

  • Utiliser son matériel (téléphone, ordinateur, tablette…) sur un réseau partagé (cybercafé, hôtel…)
  • Utiliser un matériel partagé (cybercafé, hôtel…) sur un réseau forcément partagé lui-aussi
  • Utiliser son matériel en direct vers internet (3G, satellite…)

Le dernier point est la solution la plus sûre, mais c’est aussi la solution la plus chère quand on est en déplacement (vive le roaming). Les deux premières solutions sont souvent moins onéreuses, mais comportent plus de risques si on ne fait pas bien attention.

Je ne parlerai pas des antivirus et pare-feu, chacun a son avis sur la question, et surtout, si vous utilisez une machine qui n’est pas la vôtre, vous n’avez pas vraiment le choix.

Bien sûr, il faut faire attention à d’autres choses, comme les chevaux de Troie, les partages de dossiers que vous auriez pu laisser, mais là, cela concerne tout le monde et non plus le voyageur sur un réseau partagé.

Les réseaux partagés

Que ce soit avec son matériel, ou du matériel fourni (ordinateur partagé à l’accueil de l’hôtel…), le principe de base est le même : vous vous connectez sur un réseau, que vous ne maîtrisez pas, avec d’autres personnes que vous ne connaissez pas. Il est donc primordial de ne pas partir sur une idée de confiance. Car c’est l’écoute et le détournement des communications sur le réseau qu’il faut le plus craindre, c’est d’ailleurs certainement ce qui est arrivé à mon professeur. On appelle cela une attaque de type « Man-in-the-middle » ou MITM (l’homme au milieu).

En temps normal, quand vous vous connectez à une page web, votre ordinateur va demander cette page au réseau. Le routeur (ou switch, enfin peu importe), va recevoir la requête, demander la page directement sur internet, récupérer la réponse et vous la renvoyer.

Dans le cas d’une attaque MITM, un ordinateur du réseau va écouter les communications, comme le routeur, mais il sera plus rapide à répondre que ce dernier : il va alors prendre votre requête, et la renvoyer vers le routeur comme si c’était la sienne, et récupérer la réponse qu’il enverra ensuite vers votre machine. Vous n’y verrez que du feu !

MITM

Dans le cas ou la requête est crypté, c’est à dire en HTTPS plutôt qu’en HTTP, l’attaque MITM devient impossible, à condition que toute la page soit en HTTPS. Par exemple le chat Facebook actuellement n’est pas en HTTPS, mais le reste du site bien, limitant fortement l’intérêt de l’HTTPS (en fait il ne sert carrément plus à rien, mais heureusement, on peut désactiver le chat).

Les sessions et les cookies

OK, on a le traffic qui est détourné, mais et après ? Et bien c’est ici qu’interviennent les sessions et les cookies. Les cookies permettent entre-autres de garder une session ouverte sur un site web (par exemple sur www.facebook.com). Si vous copiez ce cookie de session sur un autre ordinateur, la session s’y ouvrira sans avoir à entrer le moindre identifiant ou mot de passe !

Les risques

Et là est le vrai danger, imaginez par exemple que quelqu’un récupère votre session sur Google Mail : il a non seulement accès à votre boite mail, mais aussi à tout ce qui entoure l’univers Google (Drive, Calendar, Youtube…). Pire encore, si c’est votre adresse de récupération de mot de passe pour Facebook, il pourra réinitialiser le mot de passe Facebook et ainsi de suite… Le château de carte s’écroule, tous vos comptes sont à la merci du pirate.

Les bonnes pratiques

Heureusement, il existe des moyens d’éviter ce genre d’attaque invisible, mais il faut être rigoureux (je rappelle que ceci s’applique aux réseaux partagés) :

  • ne jamais cocher la petite case du genre « garder ma session active » lors de l’authentification.
  • toujours cliquer sur « se déconnecter », ne pas juste fermer l’onglet ou la fenêtre du navigateur. En faisant cela, vous dites au site web qu’il faut détruire l’identifiant de la session, dès lors le cookie de session ne sera plus valide (même si le cookie a été copié, il devient inutilisable).
  • Si vous vous connectez à des données sensibles, par exemple la banque ou PayPal, fermez au préalable le navigateur complètement, n’ouvrez que la page nécessaire, et une fois l’action terminée, n’oubliez pas de vous déconnecter et de fermer le navigateur avant de poursuivre vos activités sur internet.
  • Pour les ordinateurs partagés, fermez complètement le navigateur web à la fin de votre utilisation de la machine.
  • Vérifiez que la page d’authentification du site visité est bien en HTTPS, si ce n’est pas le cas, essayez manuellement d’ajouter le « s ». Si ça ne marche pas, c’est que le site est très mal protégé (il n’est pas digne de confiance, à éviter donc) !
  • Quand c’est possible, activez toujours l’authentification en deux étapes. Même avec le cookie de session et même avec le mot de passe de votre compte, le pirate ne pourra pas se connecter. C’est le même principe que pour les banques, il y a une mot de passe qui est variable et que vous seul pourrez obtenir (via une application sur votre téléphone ou via un texto). Google propose ce genre d’identification, Dropbox également. Pour iCloud (Apple), c’est déjà le cas pour certains pays anglophones, on peut supposer que ce le sera pour tous très bientôt.
  • Utilisez des mots de passes différents pour chaque site web. Finalement on ne va que sur 3 à 5 sites fréquemment. Pour les autres, utilisez n’importe quoi, oubliez-le et demandez un nouveau mot de passe à chaque fois. C’est moins risqué que d’avoir un seul mot de passe pour tout !
  • N’utilisez pas les solutions qui enregistrent vos mots de passe dans le navigateur, ni les système de porte-feuilles de mots de passe. Ces deux solutions ont un point faible : une fois le mot de passe principal découvert, tout s’écroule.

Si ces points sont respectés scrupuleusement, je mets au défi quiconque de voler votre session !

Non plus sérieusement, une attaque reste toujours possible, mais les moyens à mettre en oeuvre sont tels que vous risquez plus de vous faire agresser au distributeur de billet que par les quelques personnes dans le monde capables de faire cela (et honnêtement, elles s’attaqueront directement aux banques plutôt qu’à votre compte Facebook).

22 commentaires

  1. Encore et toujours beaucoup de choses apprises dans votre blog !!! Merci !! 🙂

    Répondre
    • Merci Nathalie, contente que tu aies appris des choses avec cet article … tout comme moi d’ailleurs ! Pratique d’avoir un informaticien à la maison 😉

      Répondre
      • Je dirais même, un informaticien dans son sac 😉

  2. Très intéressant ! On y pense rarement donc merci pour ce petit tour d’horizon 🙂

    Répondre
  3. Je voyage léger, sans ordinateur, donc mon accès internet, c’est dans les cybercafés (en plus, je fuis un peu tout ça en voyage, faire un break !!). Du coup, j’utilise un compte email « bis ». Je configure mon vrai compte email pour qu’il forward tout vers ce compte bis. Comme ça, pas de risque de récupération de mon mot de passe par un keylogger ou autre. Et si possible, je démarre une session de firefox ou chrome « privée ».

    Répondre
    • En effet, le système de session « privée » est également un bon système, mais malheureusement pas complet (car les cookies de sessions existent tant que la fenêtre existe, ils sont donc transmis et donc copiables, de plus les sessions ne sont pas automatiquement déconnectées sur les sites visités). C’est une sécurité en plus, mais pas encore une solution miracle.

      Pour ce qui est de ton adresse mail bis, je ne suis pas sûr d’avoir compris, mais j’ai l’impression que tu déplace le problème plutôt que le résoudre (à moins que tu n’utilises l’adresse bis que quand tu es en voyage ?). Je préfère donc la méthode de double authentification, car dans ce cas, même un keylogger ne pourra pas te duper !

      Pour les voyageurs comme toi, je conseille vivement un compte Google Mail avec la double authentification, que ce soit par l’application Android ou iOS, ou par texto, quitte à transmettre tes emails depuis ta première adresse sur l’adresse @gmail.com qui deviendrait ton adresse bis.

      Si je n’ai pas été assez clair, n’hésite pas à me relancer 😉

      Répondre
      • En effet, je n’utilise mon compte bis qu’en voyage.
        La double authentification, bah par texto souvent pas possible car mon forfait très bas de gamme ne me donnait souvent pas de roaming dans les pays visités.
        Avec l’appli android ça devient possible, mais je faisais jusqu’il n’y a pas si longtemps que ça partie des dinosaures sans smartphone !

      • Je fais pour ma part encore partie des dinosaures dans ce cas !

        Par contre, information méconnue, mais très utile, il n’y a aucun frais de roaming sur la réception de SMS (par contre pour l’envoi, c’est une autre histoire), c’est valable dans le monde entier, quel que soit l’opérateur !

      • La réception de SMS est certes gratuite, mais encore faut-il que ton opérateur ait des accords de roaming avec le pays dans lequel tu es, sinon le téléphone ne fonctionne pas du tout. J’étais avant chez Leclerc Mobile et ce cas de figure m’est arrivé plus d’une fois. C’est le privilège de visiter des pays un peu trop obscurs 🙁

      • Au temps pour moi, tu as tout à fait raison. Je n’ai pas pris en compte ce point, car en Belgique nous n’avons pas ce genre de limitations chez les opérateurs (tout comme les téléphones liés à un opérateur, qu’on peut ensuite débloquer au bout de quelques mois, ce sont des notions que nous n’avons pas dans le plat pays).

        Amandine et moi faisons pourtant bien attention à éviter les belgicismes dans nos articles, mais comme tu le vois, parfois on a du mal à sortir de ses habitudes, sur la forme on y arrive, ici sur le fond, je me suis fait avoir (une fois !).

  4. Voilà qui est bon à savoir !!! Je remarque d’ailleurs que j’ai plein de mauvaises habitudes…

    Répondre
    • Ne t’inquiète pas, tu es loin d’être la seule, c’est aussi pour ça que j’ai fait cet article.
      Car au-delà du côté un peu technique, c’est surtout une méconnaissance de l’informatique dans son fonctionnement élémentaire (mais complexe) qui est à la base de l’incompréhension des gens face à un piratage sans chevaux de Troie, sans virus et a priori sans rien de visible. Pourtant ce type de piratage peut être mis en place en l’espace de quelques secondes à peine et semble de plus en plus courant sur les réseaux partagés.

      Répondre
  5. Je ne suis pas certain d’avoir tout compris…

    Si quelqu’un réussit à copier mes cookies, mais qu’entre-temps je change mes mots de passe, est-ce que les cookies vont fonctionner s’ils sont recopiés sur un autre ordinateur par la suite ?

    Et qu’en est-il des iPad ou autres tablettes où on ne se déconnecte pas ? Par exemple, lorsque j’utilise les applications Facebook, Mail et Twitter, je ne me déconnecte pas entre chaque utilisation, je ferme tout simplement l’application (et lorsque j’ouvre l’application à nouveau, je suis déjà connecté et je n’ai pas à retaper mon mot de passe). Est-ce dangereux ?

    Répondre
    • Oulà, beaucoup de questions !

      Pour la première question, le fait de changer votre mot de passe n’influence en rien la session, c’est d’ailleurs la raison pour laquelle ce simple cookie ne nécessite ni nom d’utilisateur, ni mot de passe. Il faut donc bien se déconnecter sur le site web pour que le site considère l’identifiant de session dans le cookie comme invalide (puisque la session est déconnectée à votre demande).

      Pour ce qui est des applications dédies telles que Facebook sur iPad, cela dépend de comment le créateur de l’application a créé l’application. Chaque application emploie la méthode qu’il veut, il faudrait tester chacune d’elles (et cela peut évoluer d’une mise à jour à l’autre). Le plus sûr est dès lors d’utiliser la version web mobile de ces sites, en vérifiant bien qu’on est en https, et à la fin de l’utilisation, ne pas oublier de quitter le navigateur (sous iPad : Safari).

      Je parle bien ici de quitter l’application, pour cela, avec un iPad, il faut d’abord appuyer une fois sur le bouton Home pour fermer Safari, ensuite double-cliquer sur Home pour faire apparaître les applications ouvertes, puis maintenir le doigt sur l’icône jusqu’à apparition du symbole rouge en haut de l’application, et enfin cliquer sur ce petit bouton.

      Sur Android, il doit certainement exister une manipulation similaire, mais je ne connais pas bien ce système. Si quelqu’un connait la réponse, je serai heureux de l’apprendre !

      Répondre
      • J’applique depuis longtemps ces petites pratiques sur mon ordinateur (habitude prise en Argentine où les réseaux ne sont pas du tout sécurisés). Mais la double authenfication est très handicapante quand le portable ne capte pas, ne fonctionne pas (fréquent dans beaucoup de pays), etc.
        Par contre, je me pose vraiment la question des applications mobile… Surtout qu’on les utilise souvent depuis des réseaux publics.

        La manip pour quitter une app sous Android : appui prolongé sur la touche centrale (menu), puis faire coulisser les app vers la droite. Très similaire à l’iPhone. 😉

      • Hello Johanna. Pour ma part, la réception de SMS difficile ne m’a jamais ennuyé, la plupart du temps si cela arrive, alors internet n’est souvent pas de la partie, ce qui règle le problème 🙂 Pour Google, il est par ailleurs aussi possible d’imprimer quelques codes de secours pour ces cas-là.

        Pour ce qui est d’app VS site. Les apps peuvent êtres très bien codées, mais aussi posséder l’un ou l’autre bug. Des app, surtout Facebook pour un citer un, qui sont extrêmement complexes et codées par modules par plusieurs personnes, peuvent vite se retrouver avec l’une ou l’autre faille. Par contre, le navigateur web est sensé être bien solide, et le protocole HTTPS simple à vérifier par la barre d’adresse. Bien sûr, rien n’est infaillible, on l’a encore vu avec la faille HTTPS HeartBleed.

        Je reste cependant convaincu que cela reste le meilleur moyen, cet avis n’est cependant pas toujours partagé, même au seins des informaticiens. 😀

      • Personnellement, même en France (y compris à mon domicile), je n’ai pas toujours assez de réseau pour recevoir les SMS ! (ou alors, ils arrivent plusieurs heures après)
        Ça me pose souvent souci quand je veux acheter quelque chose sur internet (assez rare pourtant) et que ma banque m’envoie un code de vérification. Alors, si j’ajoute ça à la boîte mail, je n’ai pas fini d’attendre… 😀

        Concernant les app, je me posais surtout la question des app Google sur Android (Gmail, Agenda, etc.) où tout est synchronisé et accessible sans mot de passe. L’app Dropbox m’inquiète un peu aussi. Et tout cela n’est pas remplaçable par le navigateur web (surtout sur un écran de 3.5″). Je vais faire quelques petites recherches. 😉

      • Ah oui ça en Belgique avec un pays tout plat, ça ne nous arrive plus vraiment depuis des années, est très (trop ?) bien servi d’ondes !

        Par contre dans ton cas il reste toujours la solution que je trouve idéalement la principale à utiliser : le générateur Google Authenticator de Google. Bon évidemment il faut un smartphone, mais vu tes bons conseils sur Android, je suppose que tu en as un 😉

  6. Merci pour les conseils on va tacher d’en tenir compte. T’es vraiment un pro, c’est vraiment bien d’en avoir un dans les sac a dos, Jessy peut-etre…

    Répondre
    • Profitez que Jessy n’ait pas encore atteint sa taille adulte : après c’est plus difficile pour fermer le sac !

      Répondre
  7. Merci pour ces informations, je pars au Pérou dans 2 jours et souhaite accéder à mes mails tous les jours (mon beau père à 86 ans). J’espère avoir cet accès sur l’ordinateur de chaque hôtel ou nous descendrons, Est-ce que les risques sont les mêmes?

    Répondre
    • Bonjour Chantal,

      comme je l’explique dans l’article, il faut fuir comme la peste les machines dont on n’a pas le contrôle. Il y a toujours un risque de l’ordinateur ne soit pas protégé, mais surtout qu’une personne y ai installé de quoi récupérer ce que vous taperez au clavier. Mieux vaut donc miser sur une petite tablette WiFi à 150 euros que vous emporterez avec vous plutôt que cette solution-là.

      Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest