Wi-Fi Pineapple : connaissez-vous les risques cyber liés au Wi-Fi public ?

Apprenez à vous protéger des attaques de type Wi-Fi Pineapple

Le Wi-Fi Pineapple ou Wi-Fi Ananas est un appareil portatif permettant aux cybercriminels de voler les données partagées via les réseaux Wi-Fi publics. Sachant que ce dispositif se vend entre entre 50 et 100 dollars canadiens, n’importe qui peut en acheter un et l’utiliser pour voler des données.

À l’origine, le Wi-Fi Pineapple a été conçu comme un outil pour se protéger contre les cybermenaces. Certaines organisations font effectivement appel à des pirates informatiques éthiques pour attaquer leur réseau afin d’en exposer les vulnérabilités. L’équipe TI peut ensuite les corriger avant que les cybercriminels ne les découvrent. Dans ce cadre, le Wi-Fi Pineapple pouvait être utilisé par les personnes chargées de réaliser des tests d’intrusion.

Mais les cybercriminels ont compris qu’ils pouvaient aussi utiliser ce dispositif pour mener des cyberattaques. Le Wi-Fi Pineapple est désormais utilisé comme appât dans le cadre d’attaques de l’homme du milieu ou d’attaques d’usurpation d’identité ou spoofing

Pour les organisations dont les employés travaillent à distance, assistent à des conférences, voyagent ou travaillent à domicile, le Wi-Fi Pineapple constitue une menace réelle. La plupart des gens ne sont pas méfiants lorsqu’ils utilisent le Wi-Fi public gratuit proposé par les cafés, les aéroports, les hôtels, ou lorsqu’ils se connectent aux réseaux ouverts fournis par les villes dans les parcs publics et autres espaces ouverts.

Comment les cybercriminels utilisent-ils le Wi-Fi Pineapple pour conduire des cyberattaques ?

Les cybercriminels utilisent cet appareil de trois manières principales pour mener des cyberattaques.

1. L’attaque de l’homme du milieu ou « Man-In-The-Middle attack »

Le Wi-Fi Pineapple est utilisé pour « écouter » ou espionner les personnes utilisant le Wi-Fi public. Il se présente de la même manière que le réseau Wi-Fi auquel les gens pensent se connecter. Au lieu de cela, ils se connectent à un faux réseau qui permet aux cybercriminels d’accéder facilement à toutes les données partagées sur le réseau et de les capturer. L’utilisateur n’a aucun moyen de savoir s’il est connecté à un réseau Wi-Fi public légitime ou à un réseau Pineapple.

2. Faux sites web

Pour aller encore plus loin, les cybercriminels créent des sites web qui semblent légitimes en apparence. Lorsque les gens tentent de se connecter à un site légitime, ils sont en réalité redirigés vers le site web frauduleux. Cette configuration permet aux pirates de capturer facilement les informations de connexion, les données de carte de crédit et toute autre information que l’utilisateur fournit au site web. Un faux site Amazon peut par exemple être utilisé pour voler des données de cartes de crédit, des adresses, des numéros de téléphone, des mots de passe, etc.

3. Faux HTTPS

Le protocole HTTPS est utilisé pour sécuriser les sites web et chiffrer les données. Il assure une protection aux visiteurs de site web en fournissant une couche de communication sécurisée. Les sites web qui recueillent des informations personnelles et confidentielles, comme les sites de commerce électronique, les sites gouvernementaux ou les plateformes de vidéoconférences, doivent utiliser le protocole HTTPS.

Toutefois, les cybercriminels utilisent le dispositif Wi-Fi Pineapple pour rediriger les requêtes HTTP (la plupart des gens n’utilisent pas HTTPS lorsqu’ils saisissent une URL) du véritable serveur HTTPS vers leur appareil afin de supprimer la couche sécurisée qui protège et chiffre les données. La seule différence notable pour l’utilisateur du site web est l’absence de l’icône « cadenas » dans la partie gauche de la barre d’URL.

Comment protéger votre entreprise contre les cyberattaques de type Wi-Fi Pineapple ?

Voici quelques conseils clés à destination des entreprises en matière de cybersécurité pour se protéger de ce type d’attaque :

• Établissez une politique de mots de passe stricte. Exigez de tous les employés qu’ils respectent les règles relatives aux mots de passe, qui doivent comporter au moins huit caractères, une combinaison de lettres majuscules et minuscules et un mélange de lettres, de chiffres et de caractères spéciaux.
• Assurez-vous que toutes les applications, les systèmes d’exploitation, les outils réseau et les logiciels internes sont à jour et sécurisés.
• Installez une protection contre les maliciels et un logiciel antipourriel.
• Recherchez régulièrement les points d’accès Wi-Fi non autorisés au sein de votre environnement de travail.
• Configurez toujours les réseaux d’entreprise de telle sorte qu’ils soient chiffrés par WPA avec un mot de passe.
• Pour les connexions Wi-Fi au sein de l’entreprise, évitez de faire figurer le nom de votre organisation sur le nom du réseau.
• Utilisez un pare-feu pour protéger les ports ouverts contre les attaques de type Wi-Fi Pineapple, maliciel, rançongiciel et botnet.
• Assurez-vous que l’authentification à deux facteurs (MFA) est activée pour accéder au VPN de l’entreprise. N’autorisez les employés à se connecter au réseau qu’avec une connexion sécurisée.
• Programmez des sauvegardes régulières de toutes les données stockées sur le réseau et sur les ordinateurs et appareils des employés.

Ayez toujours à l’esprit le fait que vos employés constituent votre première ligne de défense contre les attaques de type Wi-Fi Pineapple.

Facilitez l’accès de vos employés à une formation en sensibilisation à la cybersécurité avec des sujets pertinents et concrets, notamment les meilleures pratiques en matière de travail à distance et de voyage en toute sécurité.

Conseils concrets à destination des utilisateurs

10 conseils de cybersécurité à appliquer lorsque vous n’êtes pas au bureau

Les cybercriminels disposent de nombreuses méthodes avancées pour dérober facilement et discrètement vos informations personnelles et professionnelles. Lorsque vous travaillez au bureau, vous êtes protégé par des pare-feu, le VPN et d’autres mesures de sécurité. Des sauvegardes de données sont également effectuées régulièrement.

Les menaces et les risques sont accrus lorsque vous voyagez, travaillez à distance, assistez à des conférences ou effectuez des déplacements. Voici 10 conseils pour maintenir une bonne hygiène cyber et rester protégé même lorsque vous n’êtes pas au bureau.

1. Ne vous connectez jamais à un réseau Wi-Fi public non sécurisé, même s’il s’agit du seul Wi-Fi disponible. Fournir votre adresse électronique et accepter les conditions générales du propriétaire du Wi-Fi ne signifie pas que vous vous connectez à un Wi-Fi sécurisé.
2. Naviguez uniquement sur des sites web protégés par « HTTPS ». Dans la barre d’adresse URL, vérifiez que l’URL commence par « HTTPS » et que l’icône de verrouillage (le cadenas) est bien présente. Ne fournissez jamais d’informations confidentielles personnelles telles que des mots de passe, des détails de carte de crédit ou des informations bancaires sur un site web qui n’utilise pas de connexion en HTTPS.
3. Désactivez la connexion automatique au Wi-Fi. Assurez-vous que vos appareils mobiles ne sont pas configurés pour se connecter automatiquement à un Wi-Fi public qui n’est pas protégé par mot de passe.
4. Configurez vos appareils mobiles et votre ordinateur portable pour ne pas mémoriser les connexions aux réseaux Wi-Fi publics. Ainsi, les cybercriminels ne savent pas si vous avez déjà utilisé un réseau public dans le passé. Il est donc plus difficile pour eux de vous inciter à vous connecter à un faux réseau.
5. Désactivez la recherche automatique du Bluetooth. Les cybercriminels surveillent les signaux Bluetooth qu’ils peuvent pirater pour se connecter à des appareils mobiles.
6. Déchiquetez tous vos documents. Ne jetez pas vos documents personnels et professionnels dans des poubelles ou des bacs de recyclage. Si vous n’avez pas de déchiqueteuse à proximité, gardez ces documents avec vous et déchiquetez-les au bureau.
7. Ne transférez pas vos courriels professionnels vers votre compte de messagerie personnel. De nombreux comptes de messagerie personnels ne disposent pas des mesures de sécurité que les entreprises mettent en place pour assurer leur sécurité.
8. Prenez conscience de votre environnement et soyez vigilant. Ne laissez pas votre ordinateur portable ouvert sur la table d’un café ou votre appareil mobile branché à une prise sans surveillance. Ne demandez pas à quelqu’un de « surveiller » votre ordinateur portable lorsque vous commandez un café ou allez aux toilettes. Faites attention aux personnes assises trop près de vous qui pourraient écouter vos conversations ou regarder votre écran.
9. Installez toujours les dernières mises à jour, correctifs et versions. Assurez-vous que votre ordinateur et vos appareils mobiles disposent des dernières applications, systèmes d’exploitation, outils réseau et logiciels internes installés. Demandez à l’équipe du support informatique de vérifier que vos appareils sont bien à jour.
10. Connectez-vous toujours à votre réseau professionnel avec le VPN sécurisé de votre entreprise. Si vous n’avez pas tous les éléments nécessaires pour utiliser le VPN, contactez l’équipe du support informatique. À titre personnel, l’usage d’un logiciel VPN peut également vous servir à protéger votre vie privée. Cela peut vous offrir un certain niveau de sécurité si vous n’avez pas d’autre choix que de vous connecter à un réseau Wi-Fi ouvert.

Pour obtenir des informations supplémentaires sur les risques les plus courants en matière de cybersécurité, des conseils et des astuces pour vous aider à protéger vos informations sensibles, consultez le Hub de Cybersécurité. Vous pouvez y télécharger des trousses gratuites sur des sujets comme le phishing, l’ingénierie sociale, et bien d’autres !  

Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité

Pour consulter d’autres ressources sur le sujet, téléchargez le kit sur l’hameçonnage dans le Hub de la Cybersécurité.