Sophos, un leader mondial de la sécurité nouvelle génération, annonce la publication d’une série de trois articles portant sur les réseaux Wi-Fi publics, les gestionnaires de mots de passe et l’état de la sécurité actuel sur le World Wide Web. En effet, l’approche du Black Friday et de la période des fêtes se caractérise par une recrudescence des attaques, des fraudes et des tentatives de phishing, alors que nombre de consommateurs sont désormais habitués à faire leurs achats en ligne. Dans cette série d’articles, Chester Wisniewski, principal research scientist pour Sophos, partage les conclusions d’études menées sur divers aspects de la sécurité en ligne.
Le premier article porte sur la sécurité des connexions Wi-Fi publiques, auxquels de nombreux consommateurs ont de nouveau recours après un retour à la mobilité post-confinements. Selon une idée reçue, ces réseaux ne sont pas forcément sécurisés, en particulier face à des attaques dites « par repli » ou « downgrade » au cours desquelles les cybercriminels exploitent une version obsolète du protocole Transport Layer Security (TLS) pour rediriger vers une connexion non chiffrée et dérober des informations. Toutefois, selon les conclusions de l’étude de Sophos, ce type de menace requiert une proximité physique des attaquants ou un ciblage particulier et seuls 5 % des données ne sont pas suffisamment chiffrées et demeurent peu exploitables pour les cybercriminels. Ainsi, l’utilisation du Wi-Fi public pour faire ses achats ne semble pas comporter un risque majeur, même si les utilisateurs les plus méfiants ou les plus exposés peuvent avoir recours à des précautions supplémentaires, comme un service VPN, The onion router (Tor), le protocole DNS over HTTPS, l’utilisation des données mobiles ou encore un gestionnaire de mots de passe.
Dans le deuxième article, Wisniewski se fonde sur les résultats de tests opérés sur huit gestionnaires de mots de passe pour déterminer leur degré d’efficacité et de protection. Ces tests ont révélé que la plupart des solutions de gestion des mots de passe les plus communément exploitées (Google, Firefow, Mozilla, etc.) étaient résilientes face à une attaque de type « downgrade » et que cette précaution est préférable à un mot de passe qui n’est pas suffisamment sécurisé, en particulier si elle s’accompagne d’une sécurité multi-facteurs. Néanmoins, dans le cas d’une menace reposant sur un faux certificat TLS, qui redirige l’utilisateur vers un domaine non chiffré contrôlé par l’attaquant, ces solutions ne sont pas toutes abouties et requièrent de la part des utilisateurs une prudence accrue lorsqu’ils visitent un domaine dans lequel ils n’ont pas encore confiance et une attention particulière aux alertes automatiques émises par les navigateurs.
Enfin, dans le troisième article de cette série, Wisniewski donne un aperçu de l’état de la sécurité du World Wide Web dans son ensemble et ses conclusions sont plutôt encourageantes. En effet, si tout n’est pas encore parfait, environ 95 % des pages web sont actuellement chiffrées et le reste ne présente qu’un risque limité. Toutefois, pour faire face à la prolifération des attaques de types machine-in-the-middle (MitM) ou de phishing, destinées à intercepter les communications ou à dérober des informations à l’aide de diverses techniques, il est nécessaire que la spécification de type HTTP Strict Transport Security (HSTS) soit universellement adoptée et déployée. Par conséquent, il est toujours préférable de se fier à des sites dotés du plus haut degré de sécurité (HTTPS et HSTS) et de confiance pour faire ses achats ou opérer des transactions.