L’accès WiFi proposé par les propriétaires dans les logements loués entre particuliers via Airbnb, ou d’autres plateformes communautaires à fort trafic, est risqué. C’est l’avertissement de Jeremy Galloway, chercheur en sécurité chez Atlassian. Il a précisé son propos jeudi lors de la conférence Black Hat de Las Vegas.
Dans de très nombreux logements loués via Airbnb, l’accès Wifi est disponible, comme dans la plupart des chaînes hôtelières ou les espaces dotés du WiFi public. Mais le risque est plus élevé, selon Galloway, car les dispositifs utilisés sont le plus souvent accessibles physiquement et peu sécurisés. Il en a fait lui-même l’expérience lors d’un séjour de courte durée. L’informaticien a déclaré avoir pris le contrôle d’un réseau domestique sans fil « en quelques minutes » à cette occasion.
Le plus grand risque, selon lui, est une menace dite du « trombone à papier » (« Average Paper Clip » – APT). Un invité peut prendre le contrôle du point d’accès WiFi ou routeur de l’hôte, avec un simple trombone utilisé pour en forcer le réinitialisation. L’attaquant peut allors modifier les paramètres du routeur, en prendre le contrôle à distance et obtenir un accès complet au dispositif, sans restriction.
Il est alors possible aux esprits peu scrupuleux d’installer un programme malveillant afin d’opérer différentes sortes d’attaques. Les locataires suivants pourraient ainsi faire les frais d’une attaque de l’homme du milieu (man-in-the-middle). Celle-ci étant menée pour intercepter le trafic d’un réseau, découvrir identifiants et mots de passe, ou encore rediriger le trafic vers des sites malveillants.
Des millions de logements loués avec Airbnb seraient vulnérables. Galloway recommande donc aux hôtes de cacher l’accès physique au routeur configuré comme point d’accès, en le plaçant dans un endroit fermé et sécurisé. Par ailleurs, il est possible de créer un réseau WiFi invité, indépendant du réseau principal. Ou d’installer une ligne différente pour ceux qui vivent des locations saisonnières.
De leur côté, les invités et locataires saisonniers peuvent utiliser un réseau privé virtuel (VPN). Mais pour toute communication sensible (accès à un compte bancaire, par exemple), ils devraient éviter l’accès WiFi, selon Galloway, et préférer un accès au réseau mobile depuis leur smartphone.
Lire aussi :
Big Data : Airbnb place son outil de requête en Open Source
Les voyageurs d’affaires ignorent les risques du WiFi public
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…