Au cours d’une attaque Evil Twin (Jumeau maléfique), une victime se connecte à son insu à un Wi-Fi falsifié, contrôlé par un cybercriminel. Dès que la victime est connectée, l’acteur malveillant peut voir toutes ses activités en ligne. 

Mettre en place un réseau piraté est extrêmement simple. Il existe de nombreux produits dans le commerce permettant à peu près n’importe qui de devenir un pirate informatique, même sans aucune connaissance en informatique ou en programmation. 

Déroulement d’une attaque Evil Twin 

Pour mener à bien ce type d’attaque, les cybercriminels comptent sur le fait que les internautes sont souvent plus impatients que prudents. Et il faut avouer que nous sommes nombreux à appartenir à cette catégorie. Lorsque nous sommes dans un lieu public, qu’il s’agisse d’une bibliothèque ou d’un bar, nous nous attendons à ce que cet établissement mette à notre disposition un Wi-Fi gratuit et performant. En fait, certains journalistes classent même les établissements en fonction de leur vitesse de connexion. 

Mais cette vitesse et praticité ont un coût. Il arrive que des cybercriminels prennent le contrôle d’une connexion Wi-Fi en apparence sécurisée et parviennent ainsi à espionner toutes les activités en ligne d’un utilisateur. 

Une attaque se déroule généralement comme suit :

• Étape 1 : Configurer un « double maléfique » du point d’accès.
  Le cybercriminel cherche un lieu très fréquenté proposant un Wi-Fi gratuit. Il prend note de son nom SSID (Service Set Identifier). Ensuite, il utilise un appareil tel que le WiFi Pineapple pour créer un nouveau compte avec le même SSID. Les terminaux connectés ne peuvent pas faire la différence entre les connexions légitimes et les versions piratées.
   
• Étape 2 : Configurer un faux portail de capture.
  Avant de pouvoir se connecter à la plupart des comptes Wi-Fi publics, un utilisateur doit compléter des données sur une page de connexion générique. Un pirate peut créer une copie exacte de cette page dans l’espoir d’amener la victime à fournir ses informations d’authentification. Une fois en possession de celles-ci, le cybercriminel peut se connecter au réseau et en prendre le contrôle.
   
• Étape 3 : Encourager les victimes à se connecter à la version falsifiée du Wi-Fi.
  Le cybercriminel se rapproche d’une victime et émet un signal de connexion plus fort que la version légitime. S’il s’agit d’un nouvel utilisateur, ce dernier verra uniquement le double et s’y connectera. Le cybercriminel peut aussi déconnecter les personnes actuellement connectées au réseau légitime par une attaque de déni de service distribué (DDoS) qui met temporairement hors service le serveur valide et incite les internautes à se connecter au réseau Wi-Fi du pirate.
   
• Étape 4 : Voler les données.
  À ce stade, les utilisateurs qui veulent se connecter au Wi-Fi le font par l’intermédiaire du cybercriminel. Il s’agit d’une attaque Man-in-the-Middle classique, qui permet à l’attaquant de surveiller toutes les activités en ligne. Si l’utilisateur se connecte à un compte sensible (par exemple un compte bancaire), le cybercriminel peut voir toutes les informations de connexion et les enregistrer afin de les réutiliser par la suite. 

La participation des internautes est indispensable dans le cadre d’une attaque Evil Twin. Malheureusement, seulement la moitié des internautes sont conscients qu’ils sont responsables de la sécurité de leurs données sur un compte Wi-Fi public. La plupart sont convaincus que les entreprises proposant une connexion Wi-Fi se chargent de leur protection, ce qui n’est pas forcément le cas.

Exemples d’attaque Evil Twin

Qu’est-ce qui motive un cybercriminel à s’interposer entre les clients et les sites web ? Les deux exemples suivants expliquent comment les cybercriminels peuvent exploiter ce type de données. 

Prenons le cas d’un cybercriminel ayant pris le contrôle de la connexion d’un bar :

• Le Wi-Fi factice a été correctement configuré. Le cybercriminel a créé un double du réseau et un utilisateur s’y connecte. 
• L’attaque commence. La victime ignore totalement que la connexion n’est pas sécurisée. Il accède à la page d’un site bancaire en ligne et s’y connecte. Il veut ensuite transférer 100 euros à un ami.
• Le cybercriminel manipule les données. Il intercepte la demande et remplace le bénéficiaire par un compte qu’il possède. La banque traite la transaction et envoie un reçu. Le pirate modifie le reçu afin que la victime soit persuadée que la banque a bien traité la transaction d’origine.

Imaginons une autre version de la même attaque.

• Le Wi-Fi factice a été correctement configuré. Le cybercriminel a créé un double du réseau, ainsi qu’un site de phishing. 
• La connexion est établie. La victime doit se connecter au site de phishing pour avoir accès au réseau. Celle-ci pense se connecter à un site normal, par exemple Facebook ou Google. Mais il se connecte en réalité à celui du cybercriminel.
• Le cybercriminel vole les données de la cible. Il peut voir les données de connexion de la victime et les enregistrer. Il peut alors utiliser ces identifiants pour voler de l’argent ou les revendre à des acheteurs sur le marché noir. 
• Le cybercriminel « libère » la victime. Il déconnecte la victime. La connexion suivante est légitime et la victime n’a aucune idée de ce qui s’est passé. 

Une attaque de ce type peut être très rentable. Il est presque impossible pour les victimes de se rendre compte de la supercherie.

Prévention de la prochaine attaque

Plus de 80 % de la population se connectent à des réseaux Wi-Fi gratuits lors de leurs voyages ou déplacements. Si vous en faites partie, il est temps de revoir votre stratégie. 

Pour se protéger, la méthode la plus simple consiste à ne jamais se connecter aux réseaux Wi-Fi publics. Utilisez votre propre service de données mobiles ou attendez d’être à la maison ou au bureau pour vous connecter. 

Si vous devez utiliser un Wi-Fi public, suivez les trois conseils suivants :

1. Utilisez un VPN. Un réseau privé virtuel chiffre les données lors de leur transfert entre votre terminal et un réseau. Un système de ce type peut vous protéger, même face à un cybercriminel. 
2. Désactivez l’enregistrement automatique. Votre terminal peut rechercher des comptes Wi-Fi auxquels vous vous êtes connecté par le passé et s’y reconnecter, sans vous le demander. Désactivez cette option afin de toujours savoir quel réseau vous utilisez. 
3. Faites preuve de discernement. Si vous vous connectez à un Wi-Fi sans passer par un VPN, faites attention aux comptes auxquels vous vous connectez. Ne vous connectez pas à votre compte bancaire ou aux serveurs de votre entreprise. Mais si vous voulez absolument accéder à Twitter, et que vous en acceptez les risques, libre à vous. 

Les attaques Evil Twin ne sont qu’une des tactiques utilisées par les cybercriminels pour tenter de s’emparer de vos données. Les attaques d’usurpation de l’adresse IP sont tout aussi dangereuses et tout aussi difficiles à détecter. Pour tout savoir de ces attaques et découvrir comment Okta peut vous protéger, lisez cet article de blog.

Références

The 16 Chains With the Best Free Wi-Fi, Ranked. Octobre 2016. CNET. 

Most People Unaware of the Risks of Using Public Wi-Fi. Juin 2016. CNBC. 

Report: 82 Percent of People Say They Connect to Any Free WiFi That’s Available in a Public Place. Mars 2020. Decision Data. 

Tips for Using Public Wi-Fi Networks. Federal Trade Commission. 

Is Using Public WiFi Still a Bad Idea? Avril 2019. Consumer Reports.