Skip to main content

Des chercheurs de Concordia évoquent les risques liés à l’utilisation des points d’accès Wi-Fi

Apprenez à vous protéger contre le pistage sur le Web et la collecte de données lors de vos déplacements
13 décembre 2019
|
Mohammad Mannan : « Ne vous demandez pas quels renseignements vous devriez cacher; cherchez plutôt à savoir comment ils sont utilisés. » | Photo : Paul Hanaoka, Unsplash
Mohammad Mannan : « Ne vous demandez pas quels renseignements vous devriez cacher; cherchez plutôt à savoir comment ils sont utilisés. » | Photo : Paul Hanaoka, Unsplash

Il n’y a rien de plus pratique que les points d’accès Wi-Fi, qui permettent d’accéder gratuitement à Internet dans les cafés, les gymnases, les centres commerciaux, les boutiques et les restaurants.

« Mais ce n’est pas tout à fait gratuit ! », prévient Suzan Ali, étudiante à la maîtrise à l’École de génie et d’informatique Gina-Cody – plus précisément à l’Institut d’ingénierie des systèmes d’information de l’Université Concordia.  

Elle étudie les risques d’atteinte à la vie privée liés à l’utilisation des réseaux Wi-Fi publics dotés de portails captifs, ces pages d’accueil où l’utilisateur doit généralement accepter les modalités du site Web et s’inscrire pour accéder au Wi-Fi.

« Si vous tenez à protéger vos renseignements personnels, vous devez demeurer aussi anonyme que possible », explique Mme Ali, qui a présenté les résultats de ses recherches cet automne, lors du Data Privacy Management (DPM) International Workshop au Luxembourg.

Soixante-sept points d’accès Wi-Fi publics

Dans le cadre d’une étude financée par le Commissariat à la protection de la vie privée du Canada, Suzan Ali et ses superviseurs, Mohammad Mannan et Amr Youssef, ont étudié 67 points d’accès Wi-Fi en libre accès à Montréal pour mieux comprendre les tendances en matière de pistage sur le Web et de collecte des données.

Ils ont créé l’application CPInspector pour capter les données brutes sur le trafic Web à partir d’ordinateurs portables et de téléphones Android. Cette application est offerte en libre accès ici.

L’étude révèle que 40 pour cent des points d’accès effectuent une collecte non nécessaire de données sensibles par l’intermédiaire des médias sociaux, du processus d’inscription ou de sondages. Ils transmettent ensuite cette information à des tiers.

Seuls trois points d’accès n’utilisent aucune technologie de pistage des utilisateurs sur leur portail captif. Plus de la moitié des points d’accès étudiés créent des témoins pisteurs persistants, conçus pour rester actifs pendant 20 ans ou moins.

« Étonnamment, 39 pour cent des points d’accès créent des témoins persistants avant même que l’utilisateur n’accepte les modalités de service et la politique de protection de la vie privée », affirme Mohammad Mannan, professeur et membre du Centre de recherche sur la sécurité.

Suzan Ali, a master’s student with the Concordia Institute for Information Systems Engineering Suzan Ali, a master’s student with the Concordia Institute for Information Systems Engineering.

Pistage sans état

En plus d’analyser le pistage persistant effectué par les témoins, l’étude a tenu compte du pistage sans état. Lorsqu’un utilisateur supprime les témoins de son navigateur, le fournisseur de services Internet peut quand même « relever ses empreintes » en notant le modèle de son ordinateur ainsi que la version de Chrome et les modules d’extension qu’il utilise, par exemple. Cette pratique s’apparente au profilage.

« Cette technique permet de reconstituer les témoins que vous avez supprimés », indique le Pr Mannan.

Heureusement, les résultats de cette étude ne sont pas tous alarmants. Selon le Pr Mannan, les téléphones Android sont plus sécuritaires que les ordinateurs portables.

« Sur un téléphone Android, le portail captif est une application distincte, explique-t-il. Les témoins qui y sont chargés n’ont aucun effet sur le navigateur principal. Par contre, sur un ordinateur portable, le portail captif s’affiche dans le navigateur par défaut. De plus, les téléphones mobiles génèrent automatiquement une adresse MAC aléatoire, ce qui les rend plus sécuritaires. »

Centre de recherche sur la sécurité

Selon le Pr Mannan, le droit à la vie privée est fondamental et mérite d’être protégé. Il est l’un des 18 chercheurs de Concordia membres du Centre de recherche sur la sécurité. En octobre 2019, ils avaient déjà recueilli plus de 25,6 millions de dollars en fonds externes, dont 17,6 millions au cours des six dernières années.

Ce qui l’irrite, ce sont les gens qui restent indifférents au partage de leurs renseignements personnels en ligne.

« Vous devriez vous en soucier non seulement par principe, mais aussi parce que vos renseignements personnels sont monnayables, explique le Pr Mannan. Quelqu’un en tire profit. Votre profil Facebook peut révéler de l’information susceptible de vous exposer à une tentative d’hameçonnage ciblé. »

« En matière de vie privée, ne vous demandez pas quels renseignements vous devriez cacher; cherchez plutôt à savoir comment ils sont utilisés et pourquoi ils sont transmis à des tiers », conclut-il.

Quatre conseils pour utiliser un réseau Wi-Fi public en toute confidentialité

Suzan Ali affirme qu’elle ne se sent à l’aise que lorsqu’elle navigue en ligne à la maison, sur le réseau d’un fournisseur de confiance.

« La loi empêche les fournisseurs de transmettre mes renseignements à un tiers », précise-t-elle.

De façon générale, elle déconseille fortement d’utiliser un réseau Wi-Fi public – et d’autant plus lorsque de l’information sensible est en jeu, comme des données financières.

Voici les points importants à considérer lorsque vous utilisez un réseau Wi-Fi public :

  • Ne vous y inscrivez pas.
  • Ne vous y inscrivez pas par l’entremise de médias sociaux.
  • Supprimez toujours les témoins de votre navigateur.
  • Utilisez un bloqueur de pisteurs.


Lisez l’étude citée :
On Privacy Risks of Public WiFi Captive Portals, financée par le Commissariat à la protection de la vie privée du Canada.

Apprenez-en davantage sur l’École de génie et d’informatique Gina-Cody.

 

 



Retour en haut de page

© Université Concordia