Question sur la sécurité de connection wireless

rachmede

Membre actif
21 Août 2006
362
14
Bonjour,

je viens de m'acheter un macbook et c'est mon premier ordinateur avec lequel je peux me connecter par wireless. J'ai donc une petite question au sujet de cette connexion.

Imaginons que je sois dans un café fournissant gentilement a ses client une ligne wireless et qu'il me vienne soudainement à l'esprit qu'il faudrait que je paies mon compte VISA. Puis-je aller sur le site web de ma banque et effectuer la transaction en ayant l'esprit tranquille ou si je devrais plutôt attendre d'être revenu chez moi (et finalement risquer encore une fois d'oublier de faire le paiement) ?

C'est que quand on parle d'argent disons que la sécurité internet commence vraiment à prendre un côté beaucoup plus sérieux!
 
Bonjour

Qu'il s'agisse du Wi-fi, d'Internet ou même des comptes bancaires en ligne et des cartes VISA, la sécurité est malheureusement quelque chose de tout-à-fait relatif. On ne peut pas être sûr à 100%, et les exemples de piratage ébruités dans la presse spécialisée ces dernières années en sont la preuve flagrante.

Alors, bien sûr qu'on peut le faire, mais pas avec l'esprit complètement tranquille. Le piratage est toujours possible. Il faut simplement prendre garde à pouvoir rentrer dans ses frais (contestation possible, remboursement par la banque ou l'assurance) si cela devait arriver.


Sans tomber dans la parano, un minimum de précautions peut éviter un "lessivage" en règle par des escrocs, comme c'est déjà arrivé à quelques-uns de mes collègues de bureau.

Pour ma part, je ne fais aucune transaction bancaire par Internet, je ne laisse aucune trace (supplémentaire, dirais-je) de mes informations VISA ni sur papier ni sur ordinateur, je vérifie les décomptes mensuels de ma banque afin de pouvoir éventuellement contester dans les temps, et j'ai une assurance spécifique en cas de coup dur (parce que c'est malgré tout encore possible)...
 
Merci Pascal, il y a toujours des risques ça c'est bien évident. Mai disons que je reformule ma queston. Est-ce que la connection wireless a quelque chose de particulier qui la rende plus à risque qu'une autre ?
 
rachmede a dit:
Merci Pascal, il y a toujours des risques ça c'est bien évident. Mai disons que je reformule ma queston. Est-ce que la connection wireless a quelque chose de particulier qui la rende plus à risque qu'une autre ?
Oui. Il semblerait que le système Wi-fi soit encore pour le moment une véritable passoire, même avec une clé de sécurité.

Il est possible d'espionner et de substituer un équipement par un autre dans le réseau. Et comme des failles de pilotes Wi-fi courants sont déjà connus, on est même déjà arrivé (dans certaines conditions) à inoculer des rootkits sur des Macs et des PC pour en prendre le contrôle à distance.
 
okidou! je crois que je vais me contenter de boire mon café tranquilos en m'écrivant une note du genre "hey pauvre con, paies la visa!":D
 
rachmede a dit:
Merci Pascal, il y a toujours des risques ça c'est bien évident. Mai disons que je reformule ma queston. Est-ce que la connection wireless a quelque chose de particulier qui la rende plus à risque qu'une autre ?

La grosse différence avec une conection "cablée" est que si quelqu'un se connecte au réseau, il est très difficile de le localiser. Avec un réseau cablé, on maitrise plus facilement les accès matériels.

Ensuite, je pense qu'il faut arrêter la parano. Les chances pour que quelqu'un essaie de vous voler vos numéros de compte bancaire est assez faible. Surtout s'il on le compare au risque de se faire "braquer" en sortant du distributeur à billet ou ce genre d'incidents...

Actuellement le gros problème avec le WIFI, ce sont les sociétés/particuliers qui laissent un accès à leur réseau et leur accès internet car leur wifi n'est pas sécurisé.

Donc je pense que tu ne devrais pas hésiter à utiliser les hotspots gratuits mais évite d'aller sur des sites bancaires. (quand on sort du distributeurs à billets, on ne sort pas avec la liasse de Billets de 500 euros bien voyante)
 
Vous mélanger les choses il me semble.
D'une part il y a la sécurité lié au Wifi, où effectivement le WEP montre ses limites, puisqu'il se casse très vite
Le risque est de se faire intercepter des données non cryptées transitant entre l'ordi et le modem.

D'autre part, il y a la sécurité liée à HTTP où là on crypte les données sensible en SSL.
Bref, la question est : donnez-vous votre numéro de CB sur un site HTTP ou HTTPS.
 
OlivierL a dit:
Vous mélanger les choses il me semble.
D'une part il y a la sécurité lié au Wifi, où effectivement le WEP montre ses limites, puisqu'il se casse très vite
Le risque est de se faire intercepter des données non cryptées transitant entre l'ordi et le modem.

D'autre part, il y a la sécurité liée à HTTP où là on crypte les données sensible en SSL.
Bref, la question est : donnez-vous votre numéro de CB sur un site HTTP ou HTTPS.
Effectivement.

Mais même SSL a déjà montré des failles de par le passé (il a été cassé par l'EPFL en 2003). Comme je l'indiquais, rien n'est jamais sûr à 100%. Même le compte VISA peut être vidé sans qu'Internet ou le Wi-fi n'aient jamais rien eu à voir dans l'affaire.

Je pense aussi que l'installation d'un rootkit ou d'un keylogger sur l'ordinateur relié à Internet (ou au réseau Wi-fi du pirate) représente aussi un danger non négligeable. Bien que les attaques n'aient jusque maintenant concerné que les PC et Windows, les Macs ne sont pas nécessairement à l'abri de ce genre de malware, surtout que leur installation peut provenir d'ailleurs qu'une page Web visitée.
 
Concernant les sites bancaires.
OK, on est jamais sûr à 100%, mais effectivement, quand on tire du brozouffe au DAB non plus.

J'accède en HTTP-S sur le site de ma banque.
Donc si un de mes voisins casse la clef WEP de mon Wifi, il aura une belle trame cryptée SSL 128b à casser avant d'avoir mon code d'accès.

Concernant les keyloggers, le site de ma banque me demande mon mot de passe non pas en le tappant au clavier, mais en cliquant sur un genre de calculette dont les chiffres ne sont pas aux mêmes positions à chaque loggin. Donc exit l'espionnage par keylogger.
Et même si la trame SSL est cassée, elle ne contiendra que les coordonnées où j'ai cliqué avec mon mulot.