Dangers du wifi : cas concret - Acces aux donnees clients d'un hotel de luxe

“If you spend more on coffee than on IT security, you will be hacked. What's more, you deserve to be hacked.”  ― R. Clarke


DISCLAIMER

Cet article est écrit à toutes fins de CONCRÈTE SENSIBILISATION et de prise de conscience. Je n’exhorte aucunement qui que ce soit de s’adonner à de telles choses surtout si vous ne savez pas comment faire et pire encore semer le trouble dans un système d’information en live. Je n’ai sauvegardé aucunes données personnelles et en aucun cas modifier le système.

Tout ce qui vous sera présenter ici a été découvert en l’espace d’une quinzaine de minutes. Il y a clairement certaines informations dont je n’ai aucunement le besoin de savoir. Aussi, je me suis gardé d’être trop intrusif.



À TOUS MES DÉTRACTEURS ET POURFENDEURS DE L’ÉTHIQUE

Gardez-vous de tous commentaires ou réflexions. J’ai longuement hésité à faire cet article, mais pour sensibiliser concrètement, il est parfois nécessaire (enfin ce n’est que mon humble jugement) d’avoir un article concret tel que celui-ci.

Je suis le premier concerné par l’utilisation de ces systèmes :

  • Quand on prend l’avion et que l’on doit remplir parfois des demandes de visas en passant par des applications toutes vulnérables les unes plus que les autres ;
  • Quand on doit remplir avec le COVID pas mal de renseignements de santé ;
  • Quand on séjourne dans certains hôtels ;
  • La liste est loin d’être terminée… ;

On touche d’un peu plus prêt la réalité de la donnée, de son stockage et de sa sécurisation. De nombreuses structures parfois qui devraient être à niveau ne le sont pas. Je reste peut-être plus sensible à la protection de nos données personnelles, nos données citoyennes et plus encore nos données de santé.

Ça m’embête terriblement que certaines de mes données “non compressibles” tel que mon nom et prénom soient sauvegardées dans de tel système parce qu’obligé de présenter mon passeport ! Dans d’autres cas, l’impact est moindre pour moi vu que je donne d’autres identités ! Cela est d’autant plus compliqué qu’il n’y a aucun recours légal de manière générale en Afrique obligeant une entreprise à nous fournir les données récoltées sur nous et encore plus à demander la destruction de ces dernières. Si tel est le cas, je serai ravi d’avoir les textes.



INTRO

N’avez-vous jamais entendu auparavant des personnes vous dire :

  • Ne te connecte pas au wifi public, ce n’est pas sécurisé !
  • On peut voler tes données si tu t’y connectes

Avouez de vous à moi, si vous êtes néophyte comme ma grand-mère, et encore voici là un doux euphémisme, vous n’y avez jamais prêté attention. Plus encore, vous vous en moquez bien du moment que vous pouvez avoir accès à internet ! Oui, on est devenus tellement dépendants que ne pas avoir accès à internet peut se révéler compliqué.

Je saute sur une occasion presqu’en or pour vous narrer concrètement et très précisèment comment le simple accès à un réseau wifi d’un hôtel de luxe d’une capitale africaine m’a conduit droit à l’accès au listing des clients des 6 derniers mois…

Installez-vous confortablement. Servez-vous une bon café, une tisane, une verre de vin, un soda ou prenez juste un petit biscuit. Je vous amène avec moi pendant 5mn.

NOTA: Pour rendre cet article des plus accessibles et pour mettre l’accent sur l’aspect vulgarisation, je n’arboderai pas la technique.



PLANTONS LE DÉCOR

Dimanche 7 novembre 2021, l’horloge affiche 15h et le thermomètre lui 34° à l’ombre. Je décide de rejoindre un partenaire pour une session de travail en vue d’un prochain évènement de cybersécurité.

30mn après nous voilà tous atablés à la terrasse de cet hôtel, belle vue. Je commande une caïpirinha au serveur. En attendant que mon verre arrive, je décide de sortir mon ordi pour la session de travail.

Point important : je ne me connecte jamais, mais jamais au wifi quelqu’il soit.

Mais la loi de Murphy devait se confirmer, mon partenaire m’envoie une information et il se trouve que j’avais besoin du wifi. Je regarde donc les hotspots émettant et remarque celui de l’hôtel en question.

HOTEL-KIN-12.png

Je m’y' connecte donc et suis ensuite dirigé vers une page me demandant de renseigner un numéro de chambre ainsi que le nom associé. Ce mécanisme est appelé une connexion au travers d’un portail captif.

HOTEL-KIN-13.png



À LA DÉCOUVERTE

Ne résidant pas dans cet hôtel et n’ayant pas de numéro, je décide d’essayer quelques numéros de chambres aléatoires ainsi que des noms. Après quelques tentatives infructueuses, j’abandonne cette idée.

Lors de la redirection vers le portail captif, je remarque quelque chose qui attise tout de suite ma curiosité. Après 3mn “à trifouiller” ce quelque chose, j’accède au panneau d’administration. Un panneau d’administration est comparable à une tour de contrôle ou encore la même exacte vue qu’à le personnel qui gère les check-in et check-out des clients.

À ce moment là, je suis tout excité à l’idée d’avoir accès à PRESQUE TOUT dans le système de l’hôtel mais aussi atterré ! Se dire que c’était d’une facilité déconcertante et que cette vulnérabilité ne devait pas du tout exister ! Mais passons…

NOTA: EN 2019, à Dakar (Sénégal), j’avais déjà découvert une faille similaire dans un des 3 plus grands hôtels de la place où je résidais.

Je montre ma prise de guerre de hacker à mon partenaire… ce dernier est interloqué. Il l’est plus surtout quand je lui montre l’accès au listing client ! Fun fact, à ce moment il prend lègèrement l’ordinateur vers lui et se met à chercher son nom… sur lequel il tombe rapidement… lui-même résidant dans cet hôtel !

Il sort son téléphone pour prendre mon écran en photo.

Je reprends mon ordinateur et décide de faire rapidement le tour du propriétaire.

HOTEL-KIN-1-1.png



RECAPITULATIF DES FONCTIONNALITES

20211110122001.png

L’interface d’administration offre une multitude de fonctionnalités. Ces dernières vont de la gestion des reservations actuelles, passées et à venir à la facturation, à la gestion de la bande passante par ustilisateur ou encore à la gestion des messages à afficher lorsque l’on arrive sur la page principale demandant à un utilisateur de renseigner numéro de chambre et nom d’utilisateur.

Je ne vous présente ici que quelques fonctionnalités pour vous donner un petit aperçu. J'ai volontairement pris la peine d'omettre certaines autres fonctionnalités qui étaient exposées depuis cette interface d'administration.

> Clients de l’hôtel et/ou Personnes de passage connectés au wifi

HOTEL-KIN-2.png

Cette capture d’écran expose tous les clients de l’hôtel qui se sont connectés au wifi. On y retrouve aussi bien les clients même de l’hôtel, mais aussi les personnes passées dernièrement dans l’établissement au bar ou au restaurant de l’hôtel.

On retrouve plusieurs informations dans cet extrait de capture d’écran. Parmi elles, deux ont particulièrement attiré mon attention :

  • “l’adresse” qui représente dans certains cas le nom des téléphones. Dans le cas d’Iphone, la plupart du temps, il y a d’exposé le nom et le prénom de la personne. Ce paramétrage est laissé par défaut lors de l’achat et de la prise en main de l’Iphone. Vous me direz que ce n’est pas si grave que ça que d’exposer nom + prénom. Certes ! Mais dans ce cas précis, une personne très malveillante pourrait remonter les 6 mois de données et voir s’il n’y avait pas certaines personnalités de passage dans cet hôtel… (Je m’arrête là pour ne pas en dire plus)
  • le “data transfer” qui représente le nombre de bande passante consommé par chaque utilisateur sur le wifi. Cette donnée est particulièrement intéressante quand on commence à la corréler avec les heures mais aussi les pics. On peut ainsi facilement savoir les clients professionnels ou certaines personnes qui le soir dans leur chambre regarde des films voire des films pour adulte ou même encore sont n’étaient pas trop présents dans l’hôtel si ce n’est que pour dormir.

Cette autre capture détaille encore plus l’activité et les informations spécifiques à un utilisateur.

HOTEL-KIN-11.png


> Gestion des codes wifi

HOTEL-KIN-3-1.png

Ici, une personne malveillante depuis n’importe quel endroit de l’hôtel ou même en dehors, peut procéder à plusierus choses :

  • générer plusieurs codes d’accès wifi et ensuite les distribuer. Généralement, il faut consommer pour recevoir un code ;
  • imprimer ces codes et ainsi provoquer un dysfonctionnement à l’acceuil de l’hôtel. On imagine rapidement que le personnel se demanderait d’où viennent toutes ces impressions dont ils ne sont pas à l’origine.

> Gestion technique de la manière dont les clients accèdent à Internet

HOTEL-KIN-4-1.png

Finalement, pour un pirate, une personne malveillante qui voudrait réellement nuire aussi bien à l’hôtel qu’aux clients connectés au wifi, c’est la partie la plus intéressante. Sans trop rentrer dans les détails techniques comme annoncé en prélude, un pirate pourrait changer le paramètre Primary DNS et ainsi être le point de sortie et celui d’entrée vers internet. Donc concrètement, toutes vos informations passeraient, transiteraient par le pirate sans que vous ne le voyiez sans même que vous ne le remarquiez.

20211110122800.png

Une fois de plus le conseil de ne jamais se connecter sur un wifi public dans les aéroports, en gare, dans un restaurant, dans un hotel n’a jamais été aussi vrai.


> Gestion des utilisateurs du système

HOTEL-KIN-5.png

Cette partie sert à rajouter, supprimer et modifier des utilisateurs de sorte à ce que ces derniers puissent avoir accès au système de gestion dont nous parlons depuis tout à l’heure.

HOTEL-KIN-6.png


> Informations sur le serveur

HOTEL-KIN-7-1.png

Dans cette capture d’écran, on y voit différentes informations. Elles ne vous sauteront peut-être pas aux yeux. Par exemple, on apprend que le serveur n’a pas été éteint et rallumé dans le cadre de mis à jour depuis 225 jours…

Dans les autres onglets, représentant les différents logs (comprenez traces de toutes activités sur le serveur) on y découvre des choses assez intéressantes.


> Paramètres de configuration de la page d’accès et éléments visuels de connexion

HOTEL-KIN-8.png

Ici, une personne malveillante pourrait nuire à l’image de cet hôtel. Il y a tous les paramètres nécessaires à la configuration lorsqu’un client arrive sur la page d’accueil. Ainsi, on pourrait imaginer changer le mot d’accueil, les images, rajouter d’autres éléments. Concrètement en période électorale, on peut facilement penser à remplacer le contenu par de la propagande ou encore mettre des images peu appropriées.

Il y a également le changement des paramètres de messagerie. Concrètement, un pirate pourrait recevoir les mails directement chez lui-même en étant plus dans l’enceinte de l’hôtel.

HOTEL-KIN-9.png

HOTEL-KIN-10.png


NOTA: Je laisse bien entendu au lecteur de supputer, de conjecturer comme bon lui semblara ! En somme, laisser libre cours à son imagination sur tout ce que l'on pourrait faire avec ces informations et encore plus si vous deviez vous mettre dans la peau d'une personne malveillante, d'un pirate informatique.


L’ARBRE QUI CACHE LA FORET

Si déjà ce que je vous ai décrit vous interpelle, vous dérange, et même vous choque dites vous qu’il y a pire.

Je n’ai bien entendu pas poussé jusque-là. Mais en continuant un peu dans la technique et l’investigation, je me suis rendu compte que les caisses automatiques, mais aussi une partie du système de vidéo de surveillance de l’hôtel était aussi accessibles.

Je ne ferai aucun aparté là-dessus.



CONSÉQUENCES / IMPACTS

Pas besoin de vous faire un dessin arrivé à ce moment de l’article. Nombre d’entre vous doit voir toutes les conséquences si une personne malveillante décidait de sévir.

Par ailleurs, vu le caractère délicat de la situation, je ne donnerai pas de conséquences très concrètes. Il serait dommage de donner des idées assez mauvaises à toute personne opportuniste qui lirait cet article.

Mais il paraît évident qu’en chainant quelques scenarii, cet hôtel de luxe pourrait subir une vraie perte financière, un dégradation considérable de son image en plus des répercussions concrètes sur les clients.



LES SOLUTIONS POUR EVITER CELA

Pour faire court et précis, je ne donnerai que 3 conseils à chauqe fois côté hôtel et côté client.


POUR L’HOTEL

  • Mener à bien un audit wifi. Très peu d’entreprises le font mais c’est important de s’assurer que des personnes non autorisées ne puissent pas se connecter facilement au wifi et qui plus est accèder à toutes ces données

  • On dit souvent qu’il ne faut pas mettre tous ces oeufs dans le même panier ! Et bien ici c’est exactement la même chose. Segmenter / Cloisonner / Isoler le système de gestion - les caisses - le système de vidéosurveillance du reste du réseau accessible à toute personne légitimement connectée sur le wifi.

  • Déployer un système de surveillance, permettant de déceler tout accès frauduleux au système de gestion global pour toute personne non autorisé. Cela reviendrait métaphoriquement à vérifier que dans une pièce sensible, les 3 personnes habilitées à y rentrer sont bien lesdites personnes. Lorsque ce n’est pas le cas, une alarme sonnerait automiquement pour dissuaduer déjà les intrus mais alerter dans le même temps les vigiles et personnes en charge de cette pièce.


POUR LE CLIENT

  • J’ai vraiment besoin de me connecter au wifi pour X raisons ! Ok… dans ces cas, éviter de se connecter sur des sites sensibles comme sa banque, ses mails, facebook
  • Utiliser un VPN
  • NE PAS SE CONNECTER AU WIFI PUBLIC


CONCLUSION

L’idée de cet article est vraiment de toucher de prêt un vrai cas et pas seulement parler sans réellement savoir de quoi il s’agit. Lors de tous mes derniers voyages en Afrique, j’ai été confronté à de nombreux systèmes d’information et aucun d’entre eux n’étaient sécurisés.

Je m’étonne de voir qu’un hôtel de cet acabit qui plus est d’une chaîne internationale soit sans aucune protection.

Les données personnelles en Afrique et leur protection sont clairement le cadet des soucis de beaucoup à l’heure actuelle.

Imaginez ce à quoi j’ai pu avoir accès en 15mn et à l’inverse ce que d’autres personnes / acteurs ayant plus d’argent et de temps peuvent avoir accès.

La nécessité d’un cadre légal urge.

Je m’alarme depuis quelques mois sur situation cyber en Afrique, mais je pense que la situation pourrait rapidement se dégrader.

L’Afrique est déjà le terrain de jeu de nombreux cyberattaquants ; à la différence près que pour le moment tout cela est enfoui. Ce n’est qu’une question de temps avant de voir toutes ces cyberattaques opportunistes ou pas éclater au grand jour. Je déplore grandement le fait qu’à ce moment-là, il y ait le feu partout et qu’éteindre ce dernier soit plus compliqué, car aucun extincteur à proximité.

NOTA : Si vous souhaitez re-publier cet article dans votre média, n’hésitez pas à me contacter par mail📧 contact[at]saxx[dot]fr.

Cybèrement vôtre,

SaxX