Sur les places de Strasbourg, un WiFi un peu trop public

VIDÉO. – Cinq grandes places du centre-ville de Strasbourg sont désormais équipées d’un accès à Internet sans fil et gratuit. Une offre bienvenue mais qui demande quelques précautions d’usage. D’autant que l’opérateur n’a pas sécurisé sa page d’accueil et qu’il a bien l’intention d’exploiter les données personnelles.

Cet article est en accès libre. Pour soutenir Rue89 Strasbourg, abonnez-vous.

Florian Delafoi

Publié le 19 décembre 2014 ·

Modifié le 28 mars 2016 ·

5 minutes

Photo : Alex Lomix / FlickR / cc

Décryptage d’une clé d’accès à un réseau WiFi (Photo Alex Lomix / FlickR / cc)

C’est une oasis au milieu d’un désert pour les plus accros à Internet. Un réseau sans fil (Wi-Fi) public irrigue depuis jeudi 4 décembre 5 grandes places du centre-ville de Strasbourg (Kléber, Broglie, Gutenberg, Cathédrale et Gare).

Ce nouveau service a été initié par la Ville de Strasbourg, à la suite d’une promesse de campagne de Roland Ries. Le service Wifilib, piloté par l’opérateur télécom Afone, peut supporter la connexion d’un millier de personnes avec un débit de 25 mb/s. Un service bienvenu au moment où 2 millions de visiteurs arpentent le marché de Noël. La Ville se donne 18 mois pour expérimenter le projet dans le cadre d’une convention de partenariat avec Afone.

Connexion gratuite mais publique

Pierre Rudloff, développeur web, capture l’activité de son portable grâce à un logiciel installé sur son ordinateur (Photo FD / Rue89 Strasbourg)

Dans un coin de la place Kléber, assis sur un banc, Pierre Rudloff pianote sur son écran de téléphone. Pour ce développeur web membre de l’association StrasWeb, l’arrivée du Wi-Fi public dans les rues de Strasbourg est une très bonne nouvelle. Il avait même poussé dans ce sens au cours de brèves discussions avec des élus de la Ville. Mais il estime tout de même nécessaire d’éduquer les utilisateurs à ces modes de connexion qui ne sont pas toujours sans danger:

« Sur un réseau Internet avec un mot de passe, comme celui installé à son domicile, les connexions restent privées. Les utilisateurs ne vont donc pas pouvoir accéder aux pages consultées par les autres personnes connectées au même réseau. Mais sur n’importe quel réseau ouvert, comme le Wi-Fi public à Strasbourg, la technologie n’utilise aucun chiffrement. On peut donc dans une certaine mesure accéder à des informations comme des mots de passe, des adresses email, etc. »

Cerclé en rouge, le nom et le mot de passe utilisés pour s’enregistrer à Wifilib (capture d’écran)

Adresse mail et mot de passe affichés en clair

Des bidouilleurs mal intentionnés peuvent profiter de ce réseau ouvert pour accéder à un certain nombre de données personnelles envoyés à partir des appareils connectés. La manipulation se réalise grâce à des logiciels légaux, utilisés notamment par les entreprises pour effectuer des diagnostics sur leur réseau interne, du type retrouver l’employé qui confisque le débit du réseau de l’entreprise pour télécharger des films.

Pierre Rudloff décide de donner un aperçu de cette pratique, nommée sniffing, qui peut faire des dégâts. En quelques manipulations, le logiciel installé sur son ordinateur lui donne les sites Internet sur lesquels il s’est rendu sur son smartphone, son adresse mail et même un mot de passe envoyé par un formulaire. Une technique qu’il pourrait aussi bien appliquer aux téléphones de la centaine de passants connectés au même moment au Wi-Fi public sur la place Kléber.

Les sites sécurisés à privilégier

Pour éviter un vol de données personnelles, il vaut donc mieux naviguer sur des sites sécurisés (proposant le protocole « https »). Celui qui affiche un petit cadenas dans la barre d’adresse du navigateur Internet. Un principe de base qui a étonnamment échappé à Wifilib. La plateforme qui permet de se connecter à l’Internet gratuit à Strasbourg n’a pas sécurisé par défaut sa page d’accueil. Pour Paul Meyer, adjoint au maire (PS) de Strasbourg en charge du numérique, il s’agit d’un manquement grave:

« La sécurisation du réseau Wi-Fi public est l’une de nos préoccupations. On a demandé à Afone que le protocole sécurisé soit rapidement activé sur la page d’accueil de Wifilib. Cette absence est inacceptable. J’attends encore un retour sur ce point. L’opérateur fait face à une collectivité plus qu’exigeante en terme de sécurisation des données des utilisateurs. »

On a lu les conditions d’utilisation du Wi-Fi public : vos données sont leurs données

Le Wi-Fi public est un service totalement gratuit mais cela ne veut pas dire qu’il n’existe pas de contreparties. Il suffit de lire les conditions générales d’utilisation pour se rendre compte qu’Afone récupère les données personnelles de ses utilisateurs. Par obligation d’abord, car le décret du 24 mars 2006 oblige les fournisseurs d’accès à Internet à conserver sur une durée d’un an les données de ses usagers. Elles doivent pouvoir être “déconfidentialisées” en cas de poursuites judiciaires.

Mais Afone indique également que les données personnelles peuvent aussi être utilisées dans un cadre commercial, pour ses propres opérations marketing ou revendues à d’autres entreprises. Il en va de même pour les données de géolocalisation. La société se réserve le droit de transmettre ces informations pour réaliser des publicités contextuelles, c’est-à-dire ciblées par rapport à la position géographique de l’utilisateur. Pour éviter la réutilisation de ses informations, l’utilisateur peut exprimer son refus en envoyant un email à l’adresse: contact@wifilib.com.

L’absence d’une page d’accueil sécurisée peut se révéler très dangereuse dès la première connexion. Car pour bénéficier de l’accès à Internet gratuit, il faut remplir un formulaire d’inscription où un certain nombre d’informations personnelles sont demandées (adresse mail, mot de passe, sexe, etc.). Un pirate informatique pourrait s’en emparer assez facilement, d’autant que les internautes utilisent souvent le même mot de passe pour plusieurs services !

L’utilisateur doit assurer lui-même sa protection

Pour Pierre Rudloff, c’est à l’opérateur d’indiquer qu’il est préférable de consulter des pages web sécurisées. Mais cet avertissement pourrait en effrayer plus d’un selon lui. D’ailleurs, dans ses conditions générales d’utilisation (lire encadré ci-contre), Afone précise que l’utilisateur doit « prendre toute mesure utile pour assurer la protection et la confidentialité de ses données, ainsi que de se protéger contre toute intrusion ou virus ». L’opérateur n’a pas donné suite à nos demandes d’explications.

La Ville compte pousser Afone à mettre en avant sur son portail les « bonnes pratiques » à adopter sur un réseau ouvert comme Wifilib. Paul Meyer imagine une fenêtre pop-up qui s’afficherait à l’ouverture de la page d’accueil pour conseiller aux utilisateurs de naviguer sur des sites sécurisés. L’enjeu est important, le dispositif a déjà connu des pics d’affluence avec plus de 1 000 usagers connectés au même moment. Autant de cibles potentielles pour une personne mal-intentionnée. Mais comme le souligne Pierre Rudloff, il n’existe pas à ce jour de « technologie miracle » pour protéger les connexions aux réseaux Wi-Fi publics.