L’accès WiFi proposé par les propriétaires dans les logements loués entre particuliers via Airbnb, ou d’autres plateformes communautaires à fort trafic, est risqué. C’est l’avertissement de Jeremy Galloway, chercheur en sécurité chez Atlassian. Il a précisé son propos jeudi lors de la conférence Black Hat de Las Vegas.
Dans de très nombreux logements loués via Airbnb, l’accès Wifi est disponible, comme dans la plupart des chaînes hôtelières ou les espaces dotés du WiFi public. Mais le risque est plus élevé, selon Galloway, car les dispositifs utilisés sont le plus souvent accessibles physiquement et peu sécurisés. Il en a fait lui-même l’expérience lors d’un séjour de courte durée. L’informaticien a déclaré avoir pris le contrôle d’un réseau domestique sans fil « en quelques minutes » à cette occasion.
Le plus grand risque, selon lui, est une menace dite du « trombone à papier » (« Average Paper Clip » – APT). Un invité peut prendre le contrôle du point d’accès WiFi ou routeur de l’hôte, avec un simple trombone utilisé pour en forcer le réinitialisation. L’attaquant peut allors modifier les paramètres du routeur, en prendre le contrôle à distance et obtenir un accès complet au dispositif, sans restriction.
Il est alors possible aux esprits peu scrupuleux d’installer un programme malveillant afin d’opérer différentes sortes d’attaques. Les locataires suivants pourraient ainsi faire les frais d’une attaque de l’homme du milieu (man-in-the-middle). Celle-ci étant menée pour intercepter le trafic d’un réseau, découvrir identifiants et mots de passe, ou encore rediriger le trafic vers des sites malveillants.
Des millions de logements loués avec Airbnb seraient vulnérables. Galloway recommande donc aux hôtes de cacher l’accès physique au routeur configuré comme point d’accès, en le plaçant dans un endroit fermé et sécurisé. Par ailleurs, il est possible de créer un réseau WiFi invité, indépendant du réseau principal. Ou d’installer une ligne différente pour ceux qui vivent des locations saisonnières.
De leur côté, les invités et locataires saisonniers peuvent utiliser un réseau privé virtuel (VPN). Mais pour toute communication sensible (accès à un compte bancaire, par exemple), ils devraient éviter l’accès WiFi, selon Galloway, et préférer un accès au réseau mobile depuis leur smartphone.
Lire aussi :
Big Data : Airbnb place son outil de requête en Open Source
Les voyageurs d’affaires ignorent les risques du WiFi public
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…