Sécurité dans le Web

Réseaux ouverts à tous vents

d'Lëtzebuerger Land vom 24.06.2010

Les juges et législateurs du monde entier vont sans doute être amenés à préciser la nature des réseaux Wifi non sécurisés et le statut des données qui y transitent. Certes, le bon sens veut que l’on sécurise systématiquement ses réseaux, de préférence en utilisant une méthode avancée afin de rendre plus difficile la tâche d’éventuels hackers. Mais comment faire pour les réseaux Wifi de type « hotspot », de plus en plus fréquemment mis gracieusement à disposition dans les centres-villes, bibliothèques, chaînes de magasins et cafés ou restaurants tels que Starbucks ou McDonald ? La plupart du temps, ces réseaux sont librement accessibles, et les données qui y transitent peuvent être inter-ceptées par qui veut bien s’en donner la peine.

Lorsque Google a été pris la main dans le sac à enregistrer des données sur des réseaux Wifi privés, à l’occasion de prises de vue pour son service StreetView, le tollé a été général. Google s’est excusé, tout en affirmant que la collecte de ces données n’était pas illégale. En France, la CNIL (Commission nationale informatique et libertés) s’est offciellement plainte des agissements de Google auprès de ce dernier, qui a collaboré. Ceci a permis à la CNIL de constater que les voitures de Google croisant dans les rues de l’hexagone et « sniffant » les réseaux privés d’internautes avaient emmagasiné notamment des mot de passe de comptes e-mail et des contenus de messagerie. Une pratique difficile à justifier. Mais Google a fait valoir qu’il n’avait fait qu’enregistrer des données librement accessibles par tout un chacun, en d’autres termes qu’il appartient à chacun de protéger ses données. Ce n’est pas l’avis de l’Electronic Frontier Foundation (EFF), une ONG qui protège les droits des internautes : Marc Rotenberg, le directeur de son centre d’information, a estimé que l’enregistrement de ces données tombe sous le coup de la loi sur les écoutes téléphoniques et a demandé à la Commission fédérale des communications d’enquêter.

Aux États-Unis, la position défendue par Google a été confortée par une récente décision de justice. Lors d’un procès pour trafic de pornographie infantile, le tribunal avait maintenu comme preuve valable des données interceptées sur un réseau WiFi non sécurisé, malgré l’absence d’un mandat de perquisition. En d’autres termes, il ne peut être question de se prévaloir du caractère privé des données circulant sur son réseau si celui-ci est ouvert à tous vents.

Si l’on peut envisager d’encourager et d’exhorter les personnes privées à protéger leur réseau (en France, la loi LOPPSI en fait une obligation), il en va tout autrement des hotspots mis en place pour attirer le chaland : les verrouiller et forcer les clients à taper de longs mots de passe avant de pouvoir se connecter serait certainement très peu dans l’esprit du service proposé. Comment donc concilier la protection de la sphère privée et le confort d’un accès simple rapide à Internet dans les lieux publics ? Rotenberg, de l’EFF, recommande que les législateurs précisent que l’espionnage des données circulant sur les réseaux Wifi non protégés serait illégal.

Mettre en place de tels garde-fous ne sera pas une mince affaire. Comment distinguer l’internaute de bonne foi qui scanne les réseaux à sa disposition dans un lieu donné en vue de se connecter et celui qui utilise des outils sophistiqués pour en extraire des flux de données qui ne le regardent pas ? Paradoxalement, c’est Google qui a annoncé en janvier dernier, au moment de son départ fracassant de Chine, après des tentatives d’intrusion sur les comptes e-mail de défenseurs des droits de l’homme, avoir systématisé l’utilisation de l’encryptage pour son service de messagerie Gmail, afin de protéger ses utilisateurs contre des interceptions de données sur des réseaux Wifi non sécurisés.

Jean Lasar
© 2017 d’Lëtzebuerger Land