« Apple Demo » : le réseau Wi-Fi des Apple Store fait un joli pot de miel

Stéphane Moussie |

Le journal du lapin a mené une expérimentation intéressante : que se passe-t-il quand on met en place un « faux » réseau Wi-Fi d'Apple Store dans un environnement où de nombreux appareils Apple sont présents ? Réponse courte : beaucoup d'appareils se connectent, logiquement, à ce pot de miel.

Photo Ken Hawkins CC BY

C'est bien connu, les Apple Store ne servent pas qu'à acheter des Mac, ils sont aussi des endroits bien pratiques pour se connecter gratuitement à Internet. Soit on monopolise un appareil en exposition, soit on connecte son propre terminal au réseau Wi-Fi public du magasin qui s'appelle « Apple Demo » (c'est son SSID). Par défaut, le terminal iOS et le Mac gardent en mémoire ce réseau pour pouvoir s'y reconnecter directement lors de la prochaine visite.

Et même si on n'a pas connecté soi-même son terminal à « Apple Demo », il y a une chance que ce SSID soit enregistré. Le service après-vente d'Apple utilise en effet ce réseau pour vérifier la connexion sans fil des produits en réparation.

À l'aide d'un Raspberry Pi et d'une clé Wi-Fi, le blogueur Pierre Dandumont a créé un « faux » réseau sans fil d'Apple Store, nommé donc « Apple Demo », qu'il a placé dans l'école 42 de Xavier Niel. Au bout de deux heures, six appareils s'étaient connectés automatiquement à ce réseau : quatre iPhone, un appareil Android et un appareil non identifié qui serait un PC portable.

Est-ce que cela pose un problème de sécurité ? Oui et non. « Ce n’est pas une faille de sécurité en tant que telle », souligne Pierre Dandumont, mais c'est une bonne première étape pour réaliser une attaque « Man in the Middle », c'est-à-dire une attaque où la personne malintentionnée se place entre l'utilisateur et le réseau. Dans cette opération, le faux réseau « Apple Demo » fait office de pot de miel, un élément qui sert à attirer les terminaux visés en se faisant passer, par exemple, pour quelque chose d'authentique.

Cette astuce fonctionne aussi avec d'autres noms de réseaux Wi-Fi publics, mais « Apple Demo » s'y prête particulièrement bien car il est largement répandu. Différentes possibilitées s'ouvrent ensuite à la personne qui contrôle ce pot de miel, comme intercepter les communications non chiffrées. Alors que faire pour éviter d'éventuelles déconvenues ?

Sur Mac, on peut supprimer « Apple Demo » des réseaux enregistrés. Il faut aller dans Préférences Système > Réseau > bouton Avancé... dans le menu Wi-Fi > puis supprimer le réseau. En faisant cela, la machine ne se connectera plus automatiquement à « Apple Demo ». Et on peut décocher la case « Mémoriser les réseaux auxquels cet ordinateur s'est connecté » pour éviter que la machine ne retienne les réseaux Wi-Fi auxquels elle se connecte.

Sur iOS, ce n'est pas aussi pratique. Le système mobile ne liste pas tous les réseaux que l'iPhone ou l'iPad a en mémoire. Il faut soit supprimer « Apple Demo » au moment où on y est connecté (un tap sur le « i » à côté du SSID dans les réglages du Wi-Fi), soit réinitialiser les paramètres réseaux (Réglages > Général > Réinitialiser), mais alors tous les réseaux Wi-Fi sont oubliés.

De manière générale, il faut toujours être prudent avec les réseaux Wi-Fi publics qui, par nature, sont moins sécurisés que les réseaux privés.

avatar Silverscreen | 

En même temps, ils allaient pas appeler leur réseau AS 445-23-32 Open …

avatar Dean Lubaki | 

Non, mais le fait est que quelqu'un pourrait aller près d'un Apple Store, se munir d'un appareil pour simuler un "Apple Demo" network...

avatar oomu | 

Dans votre cas, à part noyer le wifi inconnu, peu de solutions. On peut toujours nommer son wifi avec un nom accrocheur.

Si on a un réseau assez dense, on peut l'instruire de contrer systématiquement les émissions d'une borne inconnue. Tant pis pour les gens tentant un wifi privé entre amis pour se partager un truc s'ils sont dans la portée.

avatar oomu | 

en fait, si. Il faudrait, et cela PAR boutique et le changer régulièrement

tel que "Apple Store 142zeZ-dé61". Cela limiterait la casse. Et que le SSID soit écrit en énorme à l'entrée.

-
Pas tout à fait le même cas:

Le problème des pots de miel wifi se pose avec tous les wifi publique d'institution (université, etc). Il est courant d'avoir régulièrement des gens qui tentent de se faire passer pour le wifi officiel du coin. Il existe des techniques pour mitiger cela.

Mais la solution définitive est d'imposer l'authentification, mais on y perd en anonymat. Et de toute façon la Loi pousse vers cela.

avatar gimly54 | 

Le seul souci que je vois avec ton idée d'ajouter des chiffres aléatoires à la suite, c'est que la connexion n'est plus automatique...

Il ne faut pas oublier que ce réseau est également utilisé afin de faire des achats EasyPay dont l'objectif est d'être le moins contraignant possible.

Après l'idée d'authentification est intéressante, il suffirait simplement que les appareils Apple aient la possibilité de se connecter automatiquement à ce réseau (que la clé soit par exemple synchronisée via iCloud avec tous les appareils).

avatar brian02 | 

Je pense que les Apple Demo représentent bien peu de choses par rapport aux "Free Wifi", "SFR Wifi Public" et compagnie. En France en tout cas, n'importe lequel des SSID publics d'un FAI quelconque récolterait plus de candidats que le SSID des 4 ou 5 Apple Store de France...

avatar Alex94 | 

Un jour ils mettront des codes wifi dans les Apple store car des gros malins auront tenté de pirater le truc. Ça sera super sympa pour tout le monde....lol

avatar Clemzo | 

Sur iOS, on peut demander la confirmation de connexion.

avatar JokeyezFX | 

Et sinon il serait peut être intéressant d'associer au SSID l'adresse MAC du routeur pour autoriser la connexion automatique à ce réseau, non?!

avatar ddrmysti | 

6 connexion en deux heures dans une école d'informatique où passent certainement des dizines voir des centaines de personnes par jour ? Et ils appellent ça un pot de miel ? C'est comme si je mettait un stand avec une pancarte "bière gratuite" dans un stade de foot et que j'avais une dizaine de personnes durant le match, c'est pas vraiment foule...

avatar dandu | 

Avec un Raspberry Pi dans un sac, sur batterie et avec une carte Wi-Fi minuscule, c'est pas mal.

Faut que je teste avec un truc qui porte vraiment, genre une carte Alfa.

avatar ddrmysti | 

CA reste ridicule comparé au nombre de personnes qui ont du voir le réseau sans y porter attention. Ca montre absolument pas que le nom apple attire les gens vers un réseau wifi.

avatar misc | 

C'est surtout que les appareils se connectent automatiquement a un réseau connu, pas nécessairement que les gens le voient.. (c'est donc un pot de miel pour les machines plus que les personnes)

avatar Solunne | 

Faut replacer ça dans le contexte ici, il s'agit de l'école 42 donc une école de geek par excellence, je doute que ceux-ci achètent du Apple, Apple étant orienté bourgeois ne sachabt que faire de leur pognon et néophyte.
Pour contre tu mets ça, comme la photo de de l'article le suggère, dans un Starbucks où pullule les jeunes bobos en mal de reconnaissance ça marcherait sûrement mieux.

avatar imad3v | 

@Solunne: " je doute que ceux-ci achètent du Apple" ... Si tu voyais les ordis sur lesquels les élèves travaillent: l'école a investi dans 1000 iMac.
Un petit exemple: http://www.mac4ever.com/images/3590_xavier-niel-lance-42-son-ecole-d-inf...

avatar zearnal | 

Autant de clichés, de lieux communs tous plus idiots les uns que les autres, et ce en si peut de lignes, je suis impressionné ......

avatar syquest14 | 

Le nom "attirant" du réseau me rappelle une drôle d'anecdote d'un père de famille ayant punaisé dans son immeuble une affichette demandant que son voisin change le nom "trashy" qu'il avait donné à son réseau wiif.. en effet ses enfants apprenaient à lire (tumblr chersvoisns). Une fois encore: There's no free lunch... les gens sont naifs, qu'ils assument leur penchant.

avatar rondex8002 | 

Nous sommes sur un site d'informatique ou le public visé a de très bonnes connaissances en informatique. Ce n'est pas le cas de toute la population.
Je peux te faire des comparaisons avec pas mal de domaines. Le plus simple, la mécanique automobile. La plupart des gens ne savent et n’ont jamais fait une vidange. Pourtant c’est une opération d'entretien essentiel des plus facile à faire.
Ce genre de phrase : "les gens sont naïfs, qu'ils assument leur penchant." m'horripile au plus haut point. C'est vraiment un manque de considération face à autrui.

avatar John Maynard Keynes | 

@rondex8002

ou le public visé a de très bonnes connaissances en informatique.

Pas tous très loin s'en faut, après beaucoup n'en sont pas conscient c'est une autre histoire :-)

avatar rondex8002 | 

Globalement, les gens qui fréquentent les sites des news informatiques tels que MacG, ont un niveau en informatique bien supérieur à la moyenne des gens.

« Pas tous très loin s'en faut, après beaucoup n'en sont pas conscient c'est une autre histoire »

Tout dépend où tu places la barre. Si tu travailles et/ou si tu as une formation dans le milieu de l'informatique, oui effectivement, tu as un niveau bien supérieur aux autres. C'est comme un médecin qui irait sur un forum sur la santé (où l'on constate une profusion d'énormités). Dans ce cas, oui, je te comprends.

avatar syquest14 | 

... manque de considération ? je les laisse libre de faire leur choix, si j'étais plus près d'un Apple store moi même j'aurais (peut être) essayé de rejoindre ce fameux SSID apple demo pour le reste et ce qui aurait pu m'arriver je suis seul responsable j'attends que les autres le soi aussi. Ca s'appelle être responsable sinon je persiste les gens sont naifs.

avatar rondex8002 | 

Ce que je veux dire, c'est que la plupart des gens utilisent les smartphones, ordinateurs, et l'informatique d'une manière générale avec une connaissance inférieure à la tienne. Un peu comme une voiture. Il faut qu'elle roule. Je fais les révisions. Point. Et on ne peut pas demander à tout le monde d'avoir une connaissance en mécanique. Et en prétextant que les gens sont naïfs parce qu'ils ne savent pas qu'il faut faire la distribution tous les x kilomètres, par exemple. La plupart des gens ne savent pas ce qu'est une distribution. On ne peut pas savoir tout sur tout.

De la même manière, dire que les gens sont « naïfs », parce qu'ils ne connaissent pas le parfait fonctionnement du réseau WiFi me parait un peu « extrême ». Si tu fais un sondage avec un échantillon représentatif de la population, je ne suis pas sûr que beaucoup de monde sache ce qu'est un SSID, même en leur disant que ça concerne le WiFi.

Comme le dit l'article, les iPhones, iPads, Macs sont éventuellement préprogrammés pour se connecter en WiFi dans un Apple Store. Et on ne peut pas vraiment en vouloir aux possesseurs de matériel informatique de ne pas deviner qu'ils peuvent se faire avoir si leurs matériels se connectent automatiquement si un SSID se nommant « apple demo » se promène dans les parages !?

J'ai bien compris que tu n'es pas d'accord avec moi. Mais je maintiens moi aussi ce que j'ai dit. ;-)
Par ailleurs, si tout le monde était toujours d'accord, ça serait d'un ennui mortel, sans aucun débat possible.

J'espère que j'ai été le plus clair possible. ;-)

avatar misterbrown | 

Vous me faites rire avec votre "Apple Demo" et le tuto anti grand méchant loup qui suit.

Quand a l'étranger, Amsterdam, New York par ex ( ou il y a bcp de réseauc ouverts) vous vous asseyez a un terrasse, vous prenez le premier réseau qui vient pour consulter vos mails.
Et si il ne marche pas, vous passez au suivant!

Et peut emporte le nom SSID..

Je le suis deja connecté dans un aéroport a un mec qui faisait clairement du partage de données depuis son téléphone Android. Parce que le reseau etait ouvert et que j'avais besoin de verifier un truc.
Tant pis si c'etait le piège d'un hacker ou de la NSA

avatar Stéphane Moussie | 
Je dis nulle part que les réseaux WI-Fi publics c'est le Mal et qu'il faut surtout pas s'y connecter. Je suis bien content d'en trouver à l'étranger comme tout le monde. Faut juste être conscient de leurs limites en matière de confidentialité. Un petit rappel de temps en temps ça fait pas de mal.
avatar hirtrey | 

@misterbrown :
Oui je fais exactement cela puis connexion automatique à mon VPN.

Pages

CONNEXION UTILISATEUR