Si j'utilise mon appareil mobile dans un hotspot Wifi, puis-je considérer qu'il présente les mêmes risques que l'utilisation d'un ordinateur portable, à savoir que les données peuvent être facilement interceptées et que l'appareil mobile est également ouvert aux attaques de type "man-in-the-middle" ?
Réponses
Trop de publicités?Oui, vous êtes soumis aux mêmes risques qu'avec un ordinateur portable (ou tout autre appareil qui se connecte à un réseau sans fil, d'ailleurs) ; pour les éviter, les procédures de sécurité standard s'appliquent : n'utilisez pas de connexions non cryptées auxquelles vous ne faites pas confiance et préférez toujours HTTPS pour la navigation.
Oui. Il y a deux problèmes différents :
A. Un attaquant qui renifle et/ou redirige tout le trafic via arp-spoofing.
Deux applications Android différentes le font déjà (interdites sur le marché bien sûr). Veuillez noter qu'il peut être illégal de les installer et de les tester dans votre pays !
- FaceNiff permet (je ne sais pas si c'est toujours le cas) d'espionner les identifiants de connexion et de prendre le contrôle des comptes Facebook et autres.
- Droidsheep fait effectivement la même chose
B. Un attaquant se faisant passer pour le Hotspot .
Le plus sérieux, je suppose. Il permet de détourner votre téléphone à tout moment si vous vous êtes préalablement connecté à une bien connu fournisseur de points chauds.
Votre téléphone Android se souvient généralement des hotspots connus par le seul ESSID des points d'accès (son nom) et tente de s'y reconnecter chaque fois qu'il voit à nouveau un tel ESSID pour plus de facilité. Cela permet à un attaquant de configurer un tel ESSID bien connu et votre téléphone s'y connectera volontiers. Comme aucun arp-spoofing n'est impliqué, vous ne pouvez pas détecter ce comportement facilement.
Essayez vous-même, configurez votre téléphone comme un dispositif de hotspot non crypté en utilisant un ESSID de hotspot bien connu et voyez combien de connexions vous obtenez en un rien de temps... L'utilisation d'un tel ESSID n'est peut-être même pas illégale et personne n'est dupé pour utiliser votre connexion.