WiFi Finder a Exposé plus de 2 Millions de Mots de passe Wi-Fi

WiFi Finder Exposes Two Million Wi-Fi Passwords

Vous savez probablement que vous ne devriez jamais donner vos mots de passe à personne. Mais ce conseil peut-il être appliqué à chaque situation? Non, ce n'est pas possible. Lors de votre travail, il arrive souvent d'utiliser les mêmes identifiants de connexion avec certains de vos collègues. Même si ce n’est pas le cas, lorsque vous rentrez chez vous, vous partagez votre mot de passe Wi-Fi avec votre famille et les amis qui viennent de temps en temps. Évidemment, vous savez que garder votre réseau Wi-Fi protégé est très important, c'est pourquoi vous ne partagez votre mot de passe Wi-Fi qu'avec des personnes de confiance. N'est-ce pas?

Les applications mobiles peuvent être utilisées pour partager les mots de passe Wi-Fi sans le consentement du propriétaire

Dans le monde entier, les gens passent des heures dans les salons et les cafés des aéroports et sont souvent désespérés de se connecter aux réseaux Wi-Fi disponibles pour accéder à Internet. Cependant, il arrive parfois, pour diverses raisons, qu'on ne peut pas obtenir le mot de passe qui protège le réseau, ce qui est un gros problème, en particulier pour les personnes résidant à l’étranger où les coûts de données mobiles peuvent être astronomiques. Les utilisateurs qui se retrouvent dans une situation similaire seront heureux d’apprendre que, comme l’ont dit certains spécialistes en marketing d’Apple, « il y a une application pour ça ».

Plus concrètement, il existe de nombreuses applications iOS et Android qui permettent aux utilisateurs à partager leurs identifiants de connexion pour les réseaux sans fil du monde entier. À l'aide de données approvisionnées par la foule, ils créent une carte des réseaux Wi-Fi et, à l'aide du GPS de votre téléphone, ils peuvent vous montrer les points d'accès qui se trouvent le plus près de chez vous. Étant donné que les utilisateurs partagent aussi leurs mots de passe, vous pouvez vous connecter à Internet sans avoir à vous soucier de choses triviales telles que la communication avec d'autres êtres humains. Vous aussi, vous pouvez partager des réseaux Wi-Fi et des mots de passe avec d'autres personnes, ce qui apporte l'esprit communautaire qui fait souvent défaut dans le monde numérique.

Le problème, c’est que, sur Internet, la mentalité de « partager, c'est prendre soin » comporte souvent des risques supplémentaires. Il suffit de penser à la dangerosité d’un logiciel piraté, par exemple. En effet, il vaut mieux réfléchir à deux fois avant de partager un réseau Wi-Fi ou d’en utiliser un déjà partagé.

À tout le moins, le partage d'un mot de passe Wi-Fi élimine complètement l'un de ses objectifs principaux: empêcher les personnes indésirables d'accéder au réseau. Vous ne serez probablement pas trop heureux si vous découvrez que quelqu'un a partagé le mot de passe de votre réseau domestique avec des milliers d'autres personnes sans votre consentement. Bien qu'en théorie, ces applications ne devraient être utilisées que dans des endroits publics (cafés, théâtres, aéroports, etc.), une application appelée WiFi Finder nous a montré que ce n’est pas toujours le cas.

WiFi Finder a laissé une base de données de mots de passe Wi-Fi exposés au monde entier

WiFi Finder est une application Android récemment retiré du Play Store pour une très bonne raison, comme nous le verrons dans un instant. Une version archivée de la page de WiFi Finder sur Google Play montre que, même si tout le monde n'était pas satisfait de l'application, il y avait des critiques positives. Il a également eu plus de 100 000 téléchargements et, selon la description, l'application permettait aux utilisateurs d'accéder aux réseaux Wi-Fi du monde entier. Dans l'ensemble, cela ressemblait à l'une des nombreuses plates-formes de ce type. Comme nous l'avons déjà établi, certains pourraient soutenir que ses fonctionnalités prêtes à l'emploi pourraient théoriquement mettre votre réseau sans fil en péril. Sanyam Jain, spécialiste de la sécurité et membre de la GDI Foundation, a toutefois découvert que l'application avait un secret plus sombre.

À vrai dire, « secret » n'est probablement pas le mot juste, car tout était en libre accès. Par « tout », nous entendons les réseaux Wi-Fi partagés par les utilisateurs de l'application. Toutes les informations, y compris plus de deux millions de SSID, les mots de passe en texte brut et les géolocalisations ont été postés dans une base de données non protégée par un mot de passe ou un autre mécanisme. Chacun qui savait où chercher pouvait localiser et télécharger les données en quelques clics seulement.

Sanyam Jain savait que la fuite pourrait causer de graves dommages aux propriétaires des réseaux exposés. C'est pourquoi il a contacté Zack Whittaker, éditeur de la sécurité chez TechCrunch, qui avait pour objectif d'informer le développeur de WiFi Finder, la société Proofusion. Malheureusement, les multiples tentatives de passer à Proofusion ont heurté un mur. En fin de compte, Whittaker et Jain ont contacté OVH, la société qui fournit des services d’hébergement pour WiFi Finder. La base de données a été mise hors ligne rapidement par la suite, et après que TechCrunch ait annoncé publiquement la nouvelle, WiFi Finder a également été supprimé de Google Play.

Les utilisateurs peuvent être reconnaissants de savoir que, pour une fois, les experts n'ont vu aucune information personnellement identifiable dans la base de données exposée. Cela dit, les données de géolocalisation ont permis à Whittaker et Jain de comprendre qu'un grand nombre des mots de passe exposés appartenaient à des réseaux domestiques. Des dizaines de milliers sont basés aux États-Unis et au moins certains d'entre eux sont situés dans des zones résidentielles.

Quelles pourraient être les conséquences?

Il est difficile de dire si des cyber criminels ont accédé aux SSID et aux mots de passe avant qu'OVH ne parvienne à détruire la base de données. Jusqu'à présent, personne ne s'est plaint de voir son réseau sans fil compromis en raison de la fuite de données. Toutefois, il est juste de dire que vous ne voulez certainement pas que votre propre réseau Wi-Fi soit exposé de telle façon.

En effet, si un attaquant veut faire quelque chose, il doit être à la portée de votre réseau, ce qui limite le risque d'un côté. Pour autant, s’ils se connectent à votre signal Wi-Fi, il est possible, entre autres choses, qu'ils s'infiltrent dans votre trafic réseau et configurent un mécanisme de piratage DNS qui peut vous causer beaucoup d'ennuis.

Construire une base de données des informations d'identification réseau est assez risqué, mais malgré cela, il existe de nombreuses applications et de nombreux utilisateurs qui ne voient rien de mal à cela. Cependant, en exposant cette base de données, les développeurs de telles applications menacent la sécurité des utilisateurs. En espérant que WiFi Finder soit une exception plutôt que la règle.

May 7, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 6 + 8 ?