Qui va tomber à l’eau ?
Depuis le tout début d’Hadopi, les informaticiens ont vite compris que les accès Wifi et Hadopi n’allaient pas faire bon ménage. Beaucoup ont essayé d’expliquer qu’il était relativement facile de « casser » une clef WEP, et que même les clefs WPA n’étaient pas un gage de sécurité absolue. Mais si la situation était encore bien pire que ce que l’on imagine ?
Progressivement, tous les FAI ont mis en place dans leur box un système de « partage » avec un principe globalement similaire. Si vous êtes client chez SFR, alors vous pourrez, en utilisant des identifiants spécifiques, vous connecter à la box SFR de n’importe quel autre client. Les FAI se veulent rassurant, en expliquant qu’ils peuvent différencier les activités faites par le propriétaire de la box, et celles faites par son invité (adresse IP différentes, blablabla).
Oui mais… Quand vous vous connectez de cette façon à une box qui n’est pas la votre. Qu’est ce qui vous garanti que c’est bien une box adsl de votre FAI qui vous répond et vous donne l’accès au net ?
Reprenons. Supposons que vous êtes une personne mal intentionnée (oui normalement ça n’existe pas sur cette planète, mais supposons…). Vous souhaitez pouvoir vous connecter sur n’importe quel box adsl, et cela bien sur sans utiliser vos identifiants, mais les identifiants de n’importe qui d’autre.
Obtention d’identifiants
La première étape consiste à créer une ou plusieurs « fausse box adsl ». Autrement dit, un point d’accès wifi qui se présentera avec un SSID judicieusement choisi (FreeWifi par exemple). Il devrai alors se comporter comme une vraie, et donc : envoyer une page web identique. Ensuite ? Facile… La personne entrera ses identifiants (espérons qu’elle ne se trompe pas en les tapant) car bien évidement, quel que soit les informations qu’elle envoi, vous lui donnez l’accès au net. Ca vous parait encore compliqué ? Pas de soucis, des howto existent pour détailler comment on paramètre ce genre de chose. Il me semble même que cette fonctionnalité est intégrée par défaut dans les firmwares de routeur wifi open source (comme openwrt par exemple).
La normalement vous devez vous dire que ca ne peut pas être aussi simple… qu’il y a forcément quelque chose qui va clocher. Une brève seconde, j’ai eu un doute concernant l’url qui allait s’afficher dans le navigateur de la victime. Mais non. Aucun problème. En effet, c’est votre routeur wifi qui lui communique son IP ainsi que le serveur DNS qu’il faut utiliser. Il suffira donc d’ajouter une petite ligne du genre « ip locale www.free.fr » dans le fichier host de la fausse box, et le navigateur de la victime lui affichera exactement ce qu’il aurait vu en se connectant sur une vraie.
Connexions en tant qu’autrui
Une fois en possession d’une bonne liste d’identifiants/mot de passe valables (vous pouvez simuler autant de box que vous le souhaitez) vous devriez alors pouvoir vous connecter n’importe ou, en utilisant une identité toujours différente… Que du bonheur non ? Normalement, l’accès wifi gratuit partout et pour tous devrait déjà être une réalité… Je crois d’ailleurs que c’est une promesse électorale. Vous ne faites donc qu’anticiper un peu les choses 😉
Améliorations possibles
Le système décrit plus haut fonctionnera très bien si vous habitez dans une ville un peu peuplée quand même… Bref, si des gens sont effectivement susceptibles de venir se connecter chez vous. Que faire si vous n’avez aucun voisin et très peu de passage ? Facile. C’est un ordinateur portable qu’il faudra transformer en fausse borne wifi. Il suffira alors d’aller vous promener dans des lieux très fréquenté, et d’attendre vos premières connexions 🙂
Ah… j’en vois un qui lève la main au fond ? « Hé mais sur un portable, t’aura pas l’accès au net ! donc ca marchera pas ton truc !’ Erreur mon bon ami. Effectivement, la personne qui essayera de se connecter à ta box et bien.. elle n’aura pas accès au net. Toi par contre tu aura tout de même déjà ses identifiants…
Accessoirement, je souhaite bien du courage au pauvre malheureux dont les identifiants auront été utilisé si il devait un jour prouver qu’il ne n’est pas connecté. (C’est le principe d’hadopi, vous êtes considéré coupable, et c’est à vous de parvenir à démontrer le contraire… bonne chance).
Sur le même sujet, mais tout à fait autre chose, as tu vu les affiches publicitaires pour hadopi ? Comme le disais Croc, c’est beau, on dirait du Bon Jovi 😀 . Je te laisse un lien au cas où histoire de te bidonner un peu : http://www.komrod.com/2011/06/15/me…
La première est une carricature, mais si une de nos connaissances communes tombe dessus, elle va devenir pro-hadopi :p
Et les affiches c’est pas le pire… T’a pas vu les spots télés ? Ils ont étés tellement parodiés sur le net que bon… Meme hadopi à eu honte :
http://www.numerama.com/magazine/19…
C’est vrais qu’elles sont belles ces pub, je suis déjà fan d’Emma Leprince 😀 !!! C’est de l’incitation pûre et simple au téléchargement ne serais-ce que pour sauver les générations futures de ces trois chef-d’oeuvres.