Les WI-FI publique partie 2 : La fin provisoire du voyage !

C'est partie pour le second post !

J'espère que vous vous souvenez de ce que j'ai écris avant car nous allons continuer sur la même analogie!

Durant votre trajet dans notre archipel, vous avez un passeport avec vous. Ce passeport, contient tous ce que les différentes îles peuvent récupérer sur vous. A chaque passage d’une île à l’autre, les gardes peuvent vous demander votre passeport et le cloner complètement. Je pense que vous m’avez vu venir : avec « le spoofing » si l’attaquant si connais, il peut vous demander une partie de ces informations ou la totalité. Avec le site que je vous passe juste en dessous vous pouvez voir une grande partie de ce qu’un navigateur peut récupérer.
https://panopticlick.eff.org
exemple avec mon navigateur :






En résumé une personne peut très bien savoir énormément de chose sur vous à partir d’un faux site et de un peu de connaissance (mais là on s’attaque à la collecte de données!)

Maintenant on va parler d’un dernier problème (qui reste cependant plus rare!)  :

C’est une attaque de type « pop-up ou Browser spoofing». Toujours sur le même principe d’un attaquant qui peut regarder tous ce que vous demander au serveur DNSS. Sauf que cette fois, au lieu de vous renvoyer vers « une fausse île », il va un peu modifier l’île sur lequel vous aller : Il va y injecter du code !

Ne croyez pas que c'est très compliqué en vrai c'est quelque ligne en javascript !
Pour la plupart des gens, une simple pop-up ne peut pas changer grand-chose. Mais imaginons un instant que dans cette pop-up il y ait un message vous disant « Attention : une faille critique dans votre navigateur XXX a été découverte, c’est très grave ! Vous devez mettre à jour tout de suite ! ». Combien de personne vont prendre le temps de faire des recherches avant d’installer cette dite mise-à-jour ? Combien vont allez vérifiez l’information ? La réponse est claire : pas grand monde. Ce genre d’attaque comme le fishing fonctionne grâce à la peur ! Mais on en reparlera une autre fois !

Cependant une fois que vous avez cliqué c'est foutu!

J’espère ne pas avoir été trop long ni trop incompréhensible ! Garder en tête que lorsque l'on connais les risques on est déjà beaucoup mieux protégé...

Après il reste la solution de Sacha qui est pas trop mal mais il faut trouver un lieu qui le permet (cependant la plupart des attaques que j'ai présenté ici reste faisable même dans un ordi vierge. L'attaquant ne pourras juste pas récupérer les données stocké par le navigateur

Très bien fait ce petit topic ^^

Je voudrais juste précisé un point, le fishing. SA a précisé qu'il compléterait une autre fois, mais je voulais quand même dire tout de suite que ce n'est pas parce que vous êtes en wi-fi privé que vous en êtes protégé. Il n'existe pas qu'en "pop-up", on trouve beaucoup de fishing par mail ou autre afin de vous faire rentrer des codes ou d'autres données. Du coup, ne le faites jamais si vous n'avez pas une confiance aveugle dans la page sur laquelle vous vous trouvez. Il vaut mieux par exemple passer par google pour trouver un site que suivre le lien d'un mail qui soit disant y conduit.

Yep @Sacha je suis tout à fait d'accord avec toi. J'ai juste trouvé que le sujet méritais un post à lui tout seul tant il est complexe. Je peux conseiller une vidéo qui pas mal pour le fishing pour ceux qui s'y intéresse c'est sur la chaine Youtube de @Micode

Oui, je pense aussi qu'il mériterait sa propre partie ^^
Je voulais juste éclaircir ce point pour ne pas qu'on se sente invulnérable en wi-fi privé ^^

Sacha a écrit:

Du coup, ne le faites jamais si vous n'avez pas une confiance aveugle dans la page sur laquelle vous vous trouvez. Il vaut mieux par exemple passer par google pour trouver un site que suivre le lien d'un mail qui soit disant y conduit.

Oui c'est ce que j'avais expliquée à ma famille, je l'ai un peu étudié aussi dans mes cours. Par ex un jour mon frère il a cliqué sur un lien d'un mail qui était soi-disant un site médical alors qu'en réalité il n'y avait rien, maintenant que j'y pense on a eu de la chance de ne pas avoir de problème par la suite.

Merci pour les infos sans-atout, d'ailleurs finalement j'ai décidée de ne plus me connecter dans les Wi-Fi publique, il vaut mieux lire un bouquin c'est moins risqué

En plus combien de fois j'ai donnée mon nom et mon adresse-mail pour avoir accès à ce genre de Wi-Fi, j'étais complètement insouciante en fait xD

On en parlera dans le topic sur la collecte de données ^^
Bon après ne soyez pas parano non plus connaître les mécanismes c'est déjà bien

Envoyé depuis l'appli Topic'it