La façon dont l’Etat tunisien s’y est pris pour voler les identifiants Facebook des Internautes de Tunisie, lors du « printemps arabe », nous rappelle à quel point la sécurité de nos données personnelles peut être précaire.
La sécurité sur Internet est avant tout une question de confiance : confiance dans le navigateur ; confiance dans le site ; confiance dans l’émetteur du certificat attestant de l’authenticité d’un site ou d’un fichier ; confiance dans les intermédiaires qui transportent les données.
Et trop souvent, sur Internet, on a tendance à faire facilement confiance, alors que l’on ne devrait pas ; car le niveau de sécurité n’est tout simplement pas suffisant.
Si on a le moindre doute, les règles de sécurité élémentaires rappelées régulièrement lors de nos formations Web & NTIC et lors de nos missions de conseil sont incontournables : ne pas ajouter de plugin dans son navigateur, désactiver javascript pour visiter un site inconnu, vérifier la validité des certificats en ligne, utiliser un VPN.
Il est ainsi recommandé de ne pas se connecter en FTP depuis un WiFi public, ni consulter ses emails sans utiliser de protocole chiffré (ssl par exemple)… sauf lorsque l’on est dans un environnement sécurisé, tel que son entreprise ou son domicile.
Pourtant, si l’on peut légitiment s’attendre à ce que le réseau de l’entreprise ou celui de son Fournisseur d’Accès à Internet (FAI) soit sûr, nous n’en avons aucune garantie : un mouchard peut avoir été installé sur le réseau local, de même chez le FAI…
La « garantie de confiance » est d’autant plus faible que le FAI est contrôlé par l’Etat, comme c’était le cas en Tunisie (lors de la « révolution des Jasmins »).
C’est ce qu’illustre Paul Rascagneres, consultant en sécurité, qui rapporte sur son site r00ted.com comment l’Etat tunisien a pu voler automatiquement des milliers d’identifiants Facebook.
Le principe est simple : lorsque l’internaute tunisien demandait à afficher une page du site web facebook.com, le contenu de la page était altéré en temps réel ; une portion de code malveillant étant ajoutée directement dans la page HTML, après qu’elle ait été envoyée par le serveur de facebook.com, et avant d’être transmise au navigateur de l’internaute.
Il s’agit ni plus ni moins de techniques bien connues pour voler des identifiants depuis une page web infectée. Mais sans dépendre d’un site web tiers, puisque la chaîne de confiance a été rompue (par le FAI, en l’occurrence).
Cet exemple montre à quel point nous devons rester vigilants lorsque nous nous connectons à Internet… même dans un environnement familier.
Werner KLINGER
Ingénieur Conseil NeoDiffusion.