Le WiFi des locations Airbnb est plus risqué que le WiFi public

Avec un simple trombone, un locataire saisonnier peut forcer la réinitialisation du point d’accès WiFi ou routeur domestique de l’hôte. Et prendre le contrôle du dispositif.

L’accès WiFi proposé par les propriétaires dans les logements loués entre particuliers via Airbnb, ou d’autres plateformes communautaires à fort trafic, est risqué. C’est l’avertissement de Jeremy Galloway, chercheur en sécurité chez Atlassian. Il a précisé son propos jeudi lors de la conférence Black Hat de Las Vegas.

Dans de très nombreux logements loués via Airbnb, l’accès Wifi est disponible, comme dans la plupart des chaînes hôtelières ou les espaces dotés du WiFi public. Mais le risque est plus élevé, selon Galloway, car les dispositifs utilisés sont le plus souvent accessibles physiquement et peu sécurisés. Il en a fait lui-même l’expérience lors d’un séjour de courte durée. L’informaticien a déclaré avoir pris le contrôle d’un réseau domestique sans fil « en quelques minutes » à cette occasion.

Simple « trombone à papier »

Le plus grand risque, selon lui, est une menace dite du « trombone à papier » (« Average Paper Clip » – APT). Un invité peut prendre le contrôle du point d’accès WiFi ou routeur de l’hôte, avec un simple trombone utilisé pour en forcer le réinitialisation. L’attaquant peut allors modifier les paramètres du routeur, en prendre le contrôle à distance et obtenir un accès complet au dispositif, sans restriction.

Il est alors possible aux esprits peu scrupuleux d’installer un programme malveillant afin d’opérer différentes sortes d’attaques. Les locataires suivants pourraient ainsi faire les frais d’une attaque de l’homme du milieu (man-in-the-middle). Celle-ci étant  menée pour intercepter le trafic d’un réseau, découvrir identifiants et mots de passe, ou encore rediriger le trafic vers des sites malveillants.

Millions de foyers vulnérables

Des millions de logements loués avec Airbnb seraient vulnérables. Galloway recommande donc aux hôtes de cacher l’accès physique au routeur configuré comme point d’accès, en le plaçant dans un endroit fermé et sécurisé. Par ailleurs, il est possible de créer un réseau WiFi invité, indépendant du réseau principal. Ou d’installer une ligne différente pour ceux qui vivent des locations saisonnières.

De leur côté, les invités et locataires saisonniers peuvent utiliser un réseau privé virtuel (VPN). Mais pour toute communication sensible (accès à un compte bancaire, par exemple), ils devraient éviter l’accès WiFi, selon Galloway, et préférer un accès au réseau mobile depuis leur smartphone.

Lire aussi :

Big Data : Airbnb place son outil de requête en Open Source
Les voyageurs d’affaires ignorent les risques du WiFi public

crédit photo © artpixelgraphy Studio – shutterstock.com