Homme du milieu : le risque silencieux derrière le Wi-Fi public

Homme du milieu : le risque silencieux derrière le Wi-Fi public

Le Wi-Fi gratuit offert par les hôtels, les aéroports, les cafés ou les espaces de coworking demeure une commodité très prisée tant par les utilisateurs que par les professionnels en déplacement. Il permet d’économiser des données, de se connecter rapidement et de maintenir une certaine continuité professionnelle hors du bureau. Cependant, cette pratique comporte aussi un risque souvent sous-estimé : perdre le contrôle du canal de transmission de l’information.

L’un des scénarios les plus connus est l’attaque Man in the Middle ou MITM, où un attaquant parvient à se placer entre le dispositif de la victime et le service légitime auquel elle tente d’accéder. Depuis cette position, il peut observer, capturer ou modifier les communications sans que l’utilisateur détecte nécessairement un problème visible. La page se charge, l’application répond, et la connexion semble normale. Cette apparence de normalité constitue précisément une partie du problème.

Ce qui se passe lors d’une attaque Man in the Middle

Dans une communication normale, l’appareil de l’utilisateur établit une connexion avec un serveur : un site web, un service de messagerie, une application d’entreprise ou une plateforme bancaire. Lors d’une attaque MITM, l’attaquant parvient à s’intercaler dans ce flux. Il peut le faire en contrôlant un faux point d’accès Wi-Fi, en manipulant la résolution DNS, en exploitant des configurations faibles sur un réseau local ou en utilisant des appareils et navigateurs obsolètes.

Sur les réseaux publics, le scénario le plus simple consiste en un point d’accès malveillant. L’attaquant crée un réseau avec un nom similaire à celui du réseau légitime de l’hôtel, de l’aéroport ou du café. L’utilisateur se connecte en pensant utiliser le Wi-Fi officiel, mais en réalité, son trafic transite via une infrastructure contrôlée par un tiers.

Il existe également des techniques plus sophistiquées en réseau local, comme les attaques ARP spoofing, la manipulation DNS ou les tentatives de dégrader les connexions sécurisées. Dans des environnements d’entreprise peu segmentés, un attaquant ayant accès au LAN peut essayer de rediriger le trafic interne, de capturer des identifiants ou d’interférer dans la communication entre les appareils et les services.

Les objectifs peuvent varier. Dans certains cas, il s’agit de lire des informations, dans d’autres, de voler des identifiants, de capturer des cookies de session, de modifier des réponses, de rediriger l’utilisateur vers des pages falsifiées ou de modifier le contenu en transit. Lorsqu’une victime utilise des comptes d’entreprise, l’impact peut aller bien au-delà de l’appareil affecté.

Pourquoi HTTPS contribue, mais ne résout pas tout

L’utilisation de HTTPS a grandement réduit l’exposition aux attaques MITM classiques. Lorsqu’un site utilise correctement TLS, la communication entre le navigateur et le serveur est chiffrée et authentifiée. Cela complique la lecture ou la modification du contenu par un tiers.

Cependant, HTTPS ne supprime pas tous les risques. Si l’utilisateur ignore les avertissements de certificat, installe des profils non fiables, accède à des domaines falsifiés ou utilise des applications qui ne valident pas correctement les certificats, l’attaquant peut encore exploiter certaines opportunités. De plus, le chiffrement ne protège pas contre une page de phishing bien conçue si la victime saisit volontairement ses identifiants sur un site frauduleux.

C’est pourquoi la vérification ne devrait pas se limiter à « regarder si le cadenas apparaît ». Il faut s’assurer que le domaine est exact, que la page commence par https://, qu’aucun avertissement du navigateur n’apparaît et que l’on ne saisit pas de données sensibles sur des sites ouverts via des liens suspects.

Dans un cadre professionnel, la protection doit aller au-delà du navigateur. Les applications internes, API, clients de messagerie, VPN d’entreprise et outils SaaS doivent valider les certificats strictement et éviter les configurations qui acceptent des connexions non sécurisées par commodité.

Mesures concrètes pour les utilisateurs et les entreprises

Pour les utilisateurs en déplacement, la première ligne de défense consiste à éviter les réseaux publics pour les opérations sensibles. La banque en ligne, l’accès à la messagerie professionnelle, les interfaces d’administration, la signature de documents ou l’échange d’informations confidentielles devraient idéalement s’effectuer via des données mobiles, des réseaux de confiance ou un VPN fiable.

Le VPN ne transforme pas un réseau non sécurisé en sécurisé, mais il réduit considérablement l’exposition en chiffrant le trafic entre l’appareil et le point de sortie du service. Toutefois, il est préférable d’éviter les VPN gratuits dont la origine est douteuse. Si le fournisseur de VPN n’est pas fiable, c’est le problème qui est transféré du réseau public vers le prestataire lui-même.

Il est également conseillé de désactiver la connexion automatique aux réseaux ouverts, d’oublier ceux qui ne sont plus utilisés, de maintenir le système d’exploitation et le navigateur à jour, d’activer la vérification en deux étapes et d’utiliser des gestionnaires de mots de passe. Ces derniers aident à repérer les faux domaines puisqu’ils ne remplissent pas les identifiants si l’URL ne correspond pas au site légitime.

Pour les entreprises, l’approche doit être plus globale. Il ne suffit pas d’avertir les employés d’être prudents. Il faut fournir un VPN d’entreprise, une authentification multifactorielle, des politiques d’accès conditionnel, une détection et réponse améliorées (EDR), une configuration sécurisée des appareils et une formation claire sur l’usage des réseaux publics.

De plus, les établissements offrant du Wi-Fi aux clients doivent séparer le réseau invité du réseau interne. Le réseau public ne devrait pas permettre la visibilité sur les systèmes de gestion, la caisse, les imprimantes, les serveurs ou les équipements administratifs. La segmentation, l’isolation des clients, WPA2 ou WPA3, des mots de passe complexes et une configuration adaptée du routeur réduisent les risques de base.

Le facteur de risque le plus faible reste la confiance excessive

Les attaques Man in the Middle fonctionnent parce qu’elles exploitent une confiance que l’utilisateur accorde souvent de manière trop hâtive. On fait confiance au réseau avec le nom de l’hôtel, à une page qui se charge, à une alerte du navigateur ou à une connexion gratuite en pensant qu’il n’y aura pas de coûts cachés. Cette confiance excessive constitue un point faible majeur.

En été, cette confiance s’accroît car on improvise davantage. On travaille depuis d’autres lieux, on connecte plus d’appareils hors du domicile, et on mélange usages personnels et professionnels. Cette situation offre aux attaquants plus d’opportunités.

Le MITM n’est pas une menace nouvelle, mais elle reste pertinente car elle exploite un fait quotidien : l’utilisateur qui se connecte à un réseau qu’il ne contrôle pas pour effectuer des tâches sensibles. La solution consiste à réduire cette surface d’exposition, appliquer le chiffrement de bout en bout lorsque cela est possible, et considérer qu’un réseau public doit toujours être traité comme un environnement non fiable.

La cybersécurité en mobilité commence avant même d’ouvrir un email ou de visiter un site web. Elle débute dès le choix du réseau.

Homme du milieu : le risque silencieux derrière le Wi-Fi public 1

Questions fréquentes

Qu’est-ce qu’une attaque Man in the Middle ?
Il s’agit d’une attaque où un tiers se place entre l’utilisateur et le service légitime pour intercepter, lire ou modifier la communication sans que la victime en ait nécessairement conscience.

HTTPS évite-t-il les attaques MITM ?
Il réduit considérablement le risque si la mise en œuvre est correcte et si l’utilisateur ne ignore pas les avertissements de sécurité. Toutefois, il ne protège pas contre les réseaux falsifiés, le phishing, les domaines frauduleux ou les mauvaises pratiques applicatives.

Que doivent faire les entreprises pour réduire les risques ?
Utiliser un VPN d’entreprise, une authentification multifactorielle, maintenir les appareils à jour, segmenter les réseaux, appliquer des accès conditionnels, former les employés et séparer clairement réseaux internes et invités.

le dernier