(modifié le 13 décembre 2015 à 2:41)

Cela faisait longtemps que je voulais aborder le sujet, et c'est une news tombée cette semaine qui m'a donné envie de commencer : Google et notre vie privée.

"Nos voitures sont en mouvement. Il fallait que quelqu'un utilise le réseau quand la voiture passait devant. L'équipement wifi de nos voitures change automatiquement de canal environ cinq fois par seconde. En outre, nous n'avons pas collecté d'informations passant sur des réseaux wifi sécurisés et protégés par mot de passe", propos de Alan Eustace (vice-président à l'ingénierie et à la recherche de Google)

La news qui déclenche ce billet c'est Google qui annonce avoir collecté des données sur les réseaux WiFi ouverts (comprendre non sécurisés) à l'aide des Google Cars. On apprend que les noms des réseaux (SSID) ainsi que les adresses MAC (identifiant interface réseau) ont été enregistrés, suite à un audit (allemand) sur la protection des données de Street View. On se pose déjà la question du Pourquoi cette collecte ?

Mais nous ne sommes pas au bout de nos surprises... C'est le vice-président à l'ingénierie et à la recherche de Google, Alan Eustace, qui reconnait que les premières informations données concernant la collecte des SSID et des adresses MAC étaient pas tout à fait justes... c'est là que ça se gâte. Les voitures de Google enregistraient également des paquets de données envoyés sur les réseaux non protégés. D'après Zdnet ce serait pas moins de 600 Go de trafic collectés depuis 2006, cela me paraît peu mais peut-être est-ce le trafic "utilisable" en supprimant tous les morceaux de paquets incomplets.

Alors j'en profite pour décerner la palme d'Or à Google qui cette fois-ci se fou vraiment de notre gueule ! Utiliser un réseau WiFi ouvert, c'est certes du suicide côté sécurité, car tout circule en clair et peut être intercepté par un tiers (tout ce qui n'est pas chiffré en réalité, HTTP par exemple).Google est une entreprise américaine qui "veut le bien de la planète" en rendant l'information accessible à tous mais qui, depuis quelques temps, nous impose ses choix.

Il y a quelques semaines Google annonçait ne plus prendre en compte de la même façon un site lent d'un site rapide. Soit, si cette politique vous déplaît vous pouvez toujours améliorer votre site ou ne plus être indexé chez Google. Mais dans le cas du WiFi ce qui me dérange particulièrement c'est que Google se permet de "faire la morale" sur des équipements réseaux qui vous sont personnels, ou du moins qui ne lui appartiennent pas. Et je pense franchement que Google part en vrille côté vie privée.

"Nous avons hautement conscience que nous avons lamentablement échoué dans ce cas-là. Nous sommes profondément désolés de cette erreur et sommes déterminés à en tirer toutes les leçons possibles."

Tirer des leçons c'est bien, mais s'apercevoir de sa connerie avant de la faire, c'est mieux. Il y a tout de même deux types de hostpot : ceux fournis par les FAI (FreeWiFi, Neuf Wifi, Fon, etc.) qui sont ouverts mais sur lesquels vous devez vous authentifier afin que votre FAI sache qui utilise le point d'accès, et ceux qui sont ouverts pas mégarde ou par choix d'un particulier ou même d'une entreprise. Concernant ce deuxième cas je vous rappelle que si vous tentez de vous connecter à un réseau sans fil non protégé sans autorisation et vous êtes passibles d'emprisonnement avec une grosse amende à la clé :

"Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende." Art.323-1(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002). (Loi nº 2004-575 du 21 juin 2004 art. 45 I Journal Officiel du 22 juin 2004), source

J'imagine que Google ne se connectait pas aux AP (point d'accès) pour écouter ce qu'il s'y passait mais le faisait en mode "promiscuous", c'est à dire en écoutant tout les paquets transitant dans l'air, même ceux qui ne lui sont pas destinés. Dans le cas contraire l'opération était totalement illégale.

Faites moi plaisir, n'utilise pas de sites ou services sensibles depuis un hotspot (Hotmail par exemple qui ne sécurisé pas l'accès par défaut)... Et même si vous utilisez un site en HTTPS faites bien attention au certificat, vous ne devez en aucun cas avoir d'alerte. Sachez qu'il est très facile à une personne tierse d'intercepter des données, même en HTTPS, alors faites bien attention à ce que le certificat ne déclenche pas d'alerte. Exemple avec BackTrack :

Le mieux c'est de n'utiliser ces hotspots ouverts qu'en cas de dépannage. Car même si vous n'allez sur aucun site sensible vous avez peut-être des applications qui fonctionnent en arrière plan et vont tenter de se connecter avec vos identifiants en clair sur le réseau (MSN par exemple). Rappelez-vous également que le FTP est un protocole non sécurisé et que absolument tout passe en clair sur le réseau. Je vous conseille d'utiliser un tunnel VPN ou SSH personnel (OpenVPN / OpenSSH fonctionnent très bien) pour rendre invisibles vos flux de données.

Enfin, pensez à changer régulièrement vos mots de passe, et n'utilisez pas le même mot de passe de partout. On peut vous voler le mot de passe de votre boite email et récupérer / réinitialiser vos mots de passes d'autres services plusieurs mois plus tard sans que vous ne compreniez comment. N'enregistrez pas non plus les mots de passes dans votre navigateur si l'ouverture n'est pas protégée par mot de passe : si on vous vole votre laptop tous vos mots de passes partiront avec et vous ne saurez même plus combien vous en aviez enregistrés.

Il ne faut pas être parano mais faire preuve d'un minimum de lucidité et d'attention concernant vos données sensibles. Je vous invite également à lire le billet à ce sujet chez Bluetouff.

Credits photo : 1, 2, via