En avril 2024, l’Australian Federal Police a ouvert une enquête mettant en lumière des vols de données opérés sur plusieurs vols intérieurs. Le mis en cause utilisait un dispositif Wi-Fi Evil Twin afin de récupérer les données personnelles des voyageurs. Encore largement méconnus, les Wi-fi Evil Twin pourraient bien devenir une menace émergente et un outil de collecte de données très efficace dans un contexte d’espionnage industriel.
Le fonctionnement de l’Evil Twin
Encore largement méconnu, l’Evil Twin est une technique permettant de dérober des données. L’attaquant configure d’abord un réseau Wi-Fi frauduleux qui paraît légitime. Lorsqu’un internaute s’y connecte, ses données personnelles et ses identifiants de connexion sont dérobés. Le stratagème est en apparence assez simple. L’attaquant choisit un lieu avec une forte fréquentation et possédant un Wi-Fi. Il peut s’agir d’une galerie commerciale, d’un restaurant, d’une gare ou d’un aéroport. Ce type de lieux possède souvent un ou plusieurs Wi-Fi gratuits, ce qui en fait de bonnes cibles. Ensuite, l’attaquant configure un nouveau hotspot, c’est-à-dire un point d’accès Wi-Fi. Pour ce faire, il va se munir d’un téléphone, d’une tablette ou d’un ordinateur. L’attaquant va utiliser des outils tels que Airbase-ng, Wi-Fi Pineapple ou des logiciels similaires qui permettent la création de faux réseaux. Il va ensuite utiliser le même nom Service Set IDentifier (SSID) que le Wi-Fi ciblé, soit utiliser le même nom que le réseau Wi-Fi légitime. Par exemple, si le réseau Wi-Fi légitime s’appelle CAFE_AEROPORT, alors l’attaquant choisira le même nom. L’attaquant va également cloner l’adresse MAC du Wi-Fi légitime, ce qui signifie copier l’identifiant unique assigné à l’interface réseau du Wi-Fi légitime.
L’étape suivante est de concevoir une page de portail de connexion factice, demandant les identifiants de l’utilisateur. C’est ici que le piège se referme, car il est presque impossible de différencier une véritable page de connexion d’une imitation soigneusement réalisée. Une fois que tout est en place, l’attaquant va faire en sorte de rendre son réseau frauduleux attractif afin d’attirer du trafic. Pour cela, il peut notamment utiliser une puissance de signal plus élevée dans le but d’arriver plus haut que le Wi-Fi légitime dans la liste des connexions disponibles. Une autre méthode utilisée par l’attaquant consiste à lancer une attaque par déni de service (attaque qui vise à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer) contre le réseau légitime pour le rendre indisponible.
Les appareils étant déconnectés, les utilisateurs choisiront probablement l’Evil Twin, qui porte le même nom dans la liste des réseaux accessibles. De plus, il arrive que des appareils s’étant déjà connectés au réseau légitime auparavant se reconnectent au réseau Wi-Fi portant le même nom, facilitant la connexion au réseau malveillant. Enfin, les utilisateurs peuvent être trompés et se connecter à ce faux réseau, permettant ainsi à l’attaquant de capturer des données sensibles comme des identifiants, des mots de passe, des données bancaires ou des informations confidentielles.
Une méthode rentable et méconnue
Quand on sait que plus de 80% de la population est amenée à utiliser un Wi-fi public, il est plus facile de comprendre pourquoi les hackers utilisent cette menace émergente. Si cette méthode nécessite de se rendre physiquement sur place, ce qui constitue une limite, la quantité de personnes amenées à utiliser cet Evil Twin justifie largement ce risque, ce qui en fait un outil très intéressant. Il faut ajouter à cela que cette méthode est méconnue, la population n’y étant pas sensibilisée, ce qui participe à maximiser les chances de réussite. Bien que méconnu, ce type d’attaque n’est pas nouveau. Dès 2005, lors du salon Interop 2005, Airdefense a conduit une analyse sur le trafic Wi-fi du salon, et les résultats sont éloquents : un point d’accès imitant un point d’accès légitime fourni par un sponsor du salon a été découvert, ce qui a donné lieu à 25 tentatives d’attaque.
Une arme dans un contexte d’intelligence économique
Relativement simples à mettre en place, ces réseaux frauduleux ne sont pas à sous-estimer et peuvent représenter un danger réel pour les particuliers, mais surtout pour les entreprises et les salariés à haute responsabilité. En effet, un salarié peut très bien se connecter au portail de l’entreprise sur un réseau Evil Twin, donnant ainsi l’accès au hacker aux données de l’organisation ou lui permettant d’injecter un malware au sein du réseau. En matière d’intelligence économique, la collecte, l’analyse et la protection des informations sensibles sont cruciales. Par ce biais, les Evils Twins peuvent se révéler de terribles outils de collecte d’informations du fait de leur nature anodine et posent des problématiques de sécurité de l’information. Les entreprises doivent donc porter une attention particulière à cette méthode de vol de données.
Par la suite, ces données peuvent être utilisées dans un cadre de déstabilisation, voire d’espionnage industriel. En 2017, un Starbuck situé à Buenos Aires en Argentine a été pris pour cible par un dispositif Evil Twin, ce qui a provoqué le vol des informations de paiements des clients, mais également une perte de réputation pour la franchise. Dans le cadre d’une déstabilisation voulue par un concurrent, il est aisé d’imaginer ce dispositif mis à profit. Pour illustrer ce cas, des cas d’espionnage économique ont déjà été recensés : les attaquants ont mis en place des Evil Twin à proximité des bureaux d’une entreprise ciblée, ce qui a entraîné des vols de données exploitées par les concurrents cachés derrière cette attaque.
Un autre exemple est celui d’employés ayant accès à des informations sensibles se retrouvent dans un hôtel dans le cadre d’un séminaire. Un de ces salariés décide de se connecter au réseau Wi-Fi de l’hôtel avec son ordinateur professionnel, et partage des documents sensibles liés à des nouvelles technologies par courrier électronique. Rien n’assure à ce salarié que le réseau auquel il s’est connecté de façon anodine n’est en fait pas un Evil Twin déployé par un espion industriel au courant de ce déplacement professionnel. Via cet accès et selon les habilitations des salariés tombés dans le piège, l’attaquant aura accès à des informations sur la recherche et le développement, des détails financiers ou des informations sur la stratégie de l’entreprise.
L’incident DarkHotel
Bien qu’il ne s’agisse pas stricto sensu d’Evil Twin, le célèbre incident DarkHotel illustre parfaitement le scénario décrit ci-dessus. Cette campagne extrêmement organisée de cyber espionnage ciblait particulièrement des cadres supérieurs de l’élite économique internationale, tels que les directeurs généraux, vice-présidents, ainsi que les responsables des ventes et du marketing de grandes entreprises américaines et asiatiques. Pour arriver à leur fin, les attaquants ciblaient les hôtels de luxe ou séjournaient leurs cibles lors de déplacements professionnels. Leur modus operandi est assez semblable aux Evil Twins Wi-Fi : les assaillants compromettent les réseaux Wi-Fi hôteliers et repèrent les cibles intéressantes, avant de coordonner des attaques précises visant à installer des logiciels espions sur les appareils ciblés ou de réaliser des attaques par déni de service.
Opérant depuis près d’une décennie, la campagne DarkHotel met en lumière les risques liés à l’usage de réseaux Wi-Fi publics. Bien qu’il soit compliqué d’attribuer cette campagne à une entreprise ou un Etat en particulier, les investigations menées laissent à penser qu’un acteur coréen se cache derrière ces attaques, démontrant l’usage actif du dispositif par des États ou des entreprises privées. Du fait de leur caractère émergent, la documentation sur les Evils Twins et les exemples concrets d’espionnage industriel sont encore rares, mais il y a fort à parier qu’ils se multiplient dans le futur.
La meilleure défense passe par la sensibilisation
La part de la population se connectant au Wi-Fi public étant élevée, on peut en déduire que le levier le plus important à actionner pour les entreprises afin d’éviter ce risque passe par la formation et les bonnes pratiques. En effet, la méthode la plus simple pour éviter cette menace est de ne jamais se connecter aux Wi-Fi publics. Il est plus sage pour le salarié d’utiliser ses propres données mobiles ou d’attendre d’être dans un environnement qu’il sait sécuriser.
Pour arriver à ce résultat, la sensibilisation est primordiale. Mais si la connexion à un WiFi-public est inévitable, il convient de respecter quelques précautions. Une recommandation qui revient souvent réside dans l’utilisation d’un VPN (Virtual Private Network), qui chiffre les données lors de leur transfert entre votre terminal et un réseau. La prochaine étape est de vérifier les certificats SSL, c’est-à-dire s’assurer que les sites web utilisent bien HTTPS (les connexions HTTPS sont chiffrées). Il faut aussi veiller à désactiver l’enregistrement automatique, qui pourrait vous faire défaut en vous connectant automatiquement à des réseaux non voulus utilisés par le passé. Le désactiver permet de toujours savoir quel réseau est utilisé.
Il convient également d’utiliser des outils de détection de Evil twin, parfois intégrés dans les pare-feux ou antivirus. Les rapports recommandent également d’éviter de se connecter à des comptes sensibles depuis ce Wi-Fi public (compte bancaire ou serveurs de l’entreprise). Les techniques de dérobade de données telles que les Evil Twin Wi-Fi illustrent à quel point les menaces numériques peuvent se cacher dans les usages quotidiens. Très insidieuse, cette attaque exploite les failles des comportements humains et des systèmes technologiques afin d’arriver à leurs fins. Le recueil de ces informations stratégiques par des attaquants représente des ressources cruciales dans le cadre de l’espionnage industriel et de la compétitivité économiques entre États. Face à ces menaces émergentes, la clé pour les entreprises semble bien de passer par la sensibilisation et la formation.
Simon Jouanen pour le club Cyber de l’AEGE
Pour aller plus loin :