À l’aéroport les failles sont partout, même dans les écrans d’information sous Windows 10.
Nous y passons presque tous à un moment, pour nos vacances, notre travail ou pour un rendez-vous médical. Plus préoccupés par la sécurité aéroportuaire nous oublions souvent de nous préoccuper de notre propre sécurité !
Pourtant à l’aéroport nous exposons sans le savoir un grand nombre de nos informations personnelles. Voyons un peu ce à quoi nous devons faire attention.
WiFi
Le WiFi c’est un peu le pot de nute**a de la cybersécurité : nous savons que ce n’est pas bon pour nous et pourtant nous trempons tous notre cuillère dedans.
Nous avons pourtant un besoin crucial en donnée mobile justement à un endroit où nous en sommes dépourvus. A l’étranger, surtout à l’arrivée nous avons besoin de data : réserver un taxi, trouver un transport, son hôtel…
Nous savons tous qu’il faut se méfier des réseaux publics ouverts. Si nous ne pouvons pas l’éviter, a minima il faudra activer un VPN avec l’option Kill-switch activée.
Sans lui, nous pouvons craindre 2 attaques : soit un man-in-the middle qui va capter le flux non chiffré, soit une personne malveillante qui aura monté un faux réseau WIFI avec une mire d’authentification sur laquelle vous allez rentrer des données personnelles.
Un exemple de mire d’authentification que j’utilise en sensibilisation sur un Flipper Zero
Bluetooth
Veuillez penser à désactiver votre Bluetooth. Même si la connexion d’un appareil requiert souvent une validation sur votre téléphone, un appareil malveillant peut toujours tenter de se faire passer pour un clavier et tenter des opérations non désirées.
Enfin pour rire, affichez la liste des appareils disponibles autour de vous à l’aéroport… Vous trouverez sans peine les prénoms de bon nombre de vos voisins « IPhone de Paul », « Google Pixel Josy »…
Le réseau mobile
Le réseau mobile, tout simplement. Quand votre téléphone se reconnecte au réseau en situation de roaming (à l’étranger), les premières données qu’il envoie sont en clair. Parmi ces données on trouve :
- L’identifiant international d’abonné mobile (IMSI – International Mobile Subscriber Identity) :
- C’est un identifiant unique associé à la carte SIM de l’utilisateur.
- Il contient le code du pays d’origine et le code de l’opérateur d’origine.
- L’identifiant international d’équipement mobile (IMEI – International Mobile Equipment Identity) :
- C’est le numéro de série unique du téléphone.
- Le type et les capacités du téléphone :
- Informations sur le modèle de l’appareil et ses fonctionnalités réseau.
- La version du logiciel/firmware du téléphone.
- Les bandes de fréquences et technologies réseau supportées par l’appareil.
- La puissance de signal reçue des antennes environnantes.
- Les identifiants des cellules réseau environnantes détectées par le téléphone.
- La demande d’authentification et d’enregistrement sur le nouveau réseau.
C’est déjà beaucoup d’informations… Et à quel endroit une personne malveillante est certaine de capter la première connexion en roaming… dans l’aéroport. Il est recommandé de ne connecter son téléphone au réseau qu’une fois loin de l’aéroport.
Une personne malveillante peut utiliser un IMSI catcher pour collecter vos informations, voire intercepter vos données mobiles, messages, mots de passe… Vous pourriez vous faire voler vos données personnelles et ainsi subir une tentative de fraude ou d’usurpation d’identité.
Au-dessus de mon épaule
Beaucoup de personnes travaillent en attendant leur avion, consultent des applications professionnelles ou sensibles. L’installation d’un film de confidentialité est un minimum pour s’assurer que vous seul pouvez voir votre écran. On en trouve à partir de 20€ pour tous les ordinateurs.
Après il faut bien sûr ne pas s’absenter, aller aux toilettes en laissant son ordinateur se recharger seul… Et se vider de ses informations au regard d’un passager trop curieux.
Aux bornes de chargement
L’information commence à se diffuser au grand public, mais charger son portable sur une borne libre-service ou un câble « oublié » est une assez mauvaise idée.
Ces bornes sont gratuites mais peuvent nous couter cher.
Ce qui est moins connu cependant, c’est qu’il existe une solution qui permet de se brancher en toute sécurité. Il existe des Data blocker USB pour 2-3€. En le connectant entre la borne et votre téléphone, vous vous assurez de ne pas permettre l’exécution de scripts malveillants.
Un exemple de blocker, plusieurs connectiques existent.
À la poubelle
À l’aéroport je veille à ne rien jeter qui pourrait contenir mes informations. J’ai récupéré hier à Orly un billet d’avion au sol, tombé vraisemblablement par inadvertance. Avec peu de données, un individu malveillant aurait pu faire beaucoup de choses.
Un billet trouvé au sol.
- Nom seul : en 15 secondes j’ai retrouvé la photo LinkedIn et le village d’habitation de cette personne. Par chance je lui ressemble un peu, je pourrais très bien tenter une usurpation d’identité, rechercher plus d’informations en OSINT. S’il était venu en vacances, j’aurai su que son logement était vide et pour combien de temps.
La photo de profil LinkedIn, légèrement floutée bien entendu.
- Nom + référence de vol : je peux très bien tenter d’accéder à sa réservation. Ce monsieur a fait l’aller-retour dans la journée. J’aurai pu modifier son billet, l’annuler, ou essayer de m’approprier sa réservation.
En conclusion
l’aéroport est une zone sensible pour vos données personnelles. Il faut faire attention lors de son passage mais également en amont :
- Avoir un téléphone/ordinateur à jour : OS, applications, antivirus
Disposer d’outils de connexion sécurisés : déverrouillage par biométrie, MFA sur les applications, coffre-fort de mots de passe déverrouillé par biom.