Nos secrets sont dans la rue. Les données informatiques transmises au sein d'une entreprise par les ondes hertziennes - et non pas par les fils - peuvent être facilement piratées. Ces réseaux sont de véritables passoires. Et les « curieux » n'ont plus qu'à se servir

par Nicolas Gurgand (avec le service enquêtes)

Alerte aux ondes ! Des dossiers confidentiels commerciaux, scientifiques ou industriels, voire des secrets d'Etat, livrés sur la place publique à cause de fuites dans les réseaux informatiques. Ce n'est pas de la fiction, mais l'incroyable réalité due à l'entrée de ces réseaux dans l'ère du sans-fil.

A l'heure où la guerre économique fait rage, où la lutte contre le terrorisme est une préoccupation constante, ce nouveau péril a été, jusqu'à présent, soigneusement occulté. Les services de renseignement, spécialement concernés, ne sont pas autorisés à en parler. Et pourtant, il n'a jamais été aussi facile d'aller fouiller dans les ordinateurs, de se balader clandestinement sur les réseaux informatiques dernier cri ouverts à tous les vents. La menace est réelle et touche de grandes banques, des groupes pétroliers, des sous-traitants de la défense... tout comme les simples particuliers. Souvent, d'ailleurs, les intéressés ne se doutent de rien. D'après un policier spécialisé dans la traque de ce nouveau fléau technologique, « même les services publics et certains grands ministères » sont vulnérables. Jusqu'à présent, la nouvelle n'a guère dépassé le petit cercle d'initiés que sont les pirates informatiques généralement très surveillés. Mais on n'ose imaginer les conséquences si une organisation mal intentionnée décidait d'exploiter cette faille.

Le danger provient d'une norme radio baptisée wi-fi (wireless fidelity), qui fait fureur en France depuis environ deux ans. Provenant des Etats-Unis, elle permet de créer un réseau informatique interne à moindres frais en se passant de fils. Les ordinateurs reliés entre eux communiquent par ondes hertziennes. Il suffit de disposer une sorte d'antenne émettrice appelée « point d'accès » et d'équiper chaque poste que l'on veut connecter d'un récepteur se présentant sous la forme d'une grosse carte de crédit (carte réseau sans fil). Le tour est joué ! Les transmissions, l'accès au serveur central, voire les connexions à l'Internet, peuvent alors commencer. L'équipement spécifique est tellement simple et bon marché - de 450 à 1 000 euros pour un petit réseau - que tout le monde peut désormais se l'offrir. Selon le Synergy Research Group, un institut américain d'analyse des marchés, les ventes de ce type de matériel à l'échelle internationale affichent, sur un an, une croissance de 60 %. Pas étonnant : la norme wi-fi présente toutes sortes d'avantages pour les entreprises. Elle assure une parfaite transmission des données informatiques à haut débit tout en supprimant le casse-tête des enchevêtrements de câbles et de leur cheminement. Avec la wi-fi, plus de problème si l'on reconfigure les locaux. De plus, cette technologie permet de rester connecté au réseau en permanence, quel que soit l'endroit de la société où l'on se trouve avec son portable. Des toilettes à la cafétéria, on peut travailler partout.

Sauf que le bon vieux réseau filaire possède un avantage décisif sur le sans-fil : il reste parfaitement circonscrit aux murs de l'entreprise. Le pénétrer pour y puiser des données confidentielles ne peut être que le fait de pirates expérimentés opérant à partir de l'Internet. Avec le sans-fil, tout devient plus facile. Les ondes radio sortent des locaux de l'entreprise ou de la maison, se propagent dans la rue et peuvent donc être interceptées. C'est le cas par exemple - nous l'avons constaté - de tel fameux magasin parisien de stylos de luxe ou de cette importante ambassade asiatique. « Installer un réseau sans fil dans son entreprise revient à mettre des prises à l'extérieur de ses murs », résume Jean-Michel Cornu, consultant à la Fondation Internet nouvelle génération (FING). Autrement dit, à exposer ses dossiers aux regards indiscrets.

« Il est arrivé que deux sociétés cohabitant sur le même palier s'équipent de réseaux sans fil, raconte un expert en sécurité informatique de la région de Rennes. Du jour au lendemain, chacune a pu accéder aux données de l'autre. » Fâcheux, mais explicable. C'est le principe d'une émission de radio : tous les récepteurs réglés sur une même fréquence captent la même émission. II a fallu un mois aux spécialistes d'une autre entreprise pour comprendre pourquoi le réseau « plantait » tous les jours entre 12 et 14 heures. La cause : un four à microondes d'une cantine toute proche perturbait les émissions.

Voilà pour l'anecdote. Plus sérieusement, ces faiblesses peuvent se révéler dangereuses. N'importe quel ordinateur muni d'une carte réseau sans fil peut établir une cartographie très précise des points d'accès aux réseaux mal sécurisés (voir carte page 67). Il suffit de le raccorder à un équipement de géolocalisation de type GPS (Global Positioning System). Un logiciel gratuit - on le télécharge librement sur l'Internet - coordonne l'ordinateur avec la carte réceptrice et le GPS. A chaque nouvelle « prise », le logiciel émet un bip, affiche les spécificités du réseau qu'il vient de trouver et son nom.

Ainsi équipé, Le Point a tenté l'expérience et vérifié sur le terrain la réalité de la menace. Une petite balade dans Paris se révélera particulièrement instructive. Nous avons pu recenser plus de cent points d'accès sans fil, dont quarante-deux en moins d'une heure (voir encadré page 67).

Lorsque le logiciel capte un réseau sans fil, il se contente de le signaler et d'indiquer s'il est sécurisé ou non. S'il ne l'est pas, ce qui arrive dans « 80 % des cas », selon les spécialistes officiellement chargés de mesurer les failles, l'ordinateur portable se retrouve d'office connecté au réseau d'entreprise qu'il vient d'identifier. Il suffit alors d'utiliser ses fonctionnalités classiques pour « visiter » les postes de travail reliés aux réseaux détectés. Un geste que nous n'avons pas fait afin de ne pas être accusés de piratage. D'autres, en revanche, peuvent ne pas avoir de scrupules.

Une menace négligée

« Les PME-PMI sont particulièrement exposées, explique Hervé Schauer, directeur de HSC, une des rares sociétés de consultants en sécurité informatique en France à proposer des protections pour les réseaux sans fil. Elles s'équipent généralement de réseaux wi-fi par souci d'économie pour ne pas payer le prix des câbles... mais n'investissent pas dans leur sécurisation. » Or, pour simplifier leur utilisation, ces systèmes sont le plus souvent vendus avec une sécurité désactivée. Il suffirait d'un mot de passe et d'un ou deux clics pour compliquer la tâche d'un visiteur importun. Il existe d'autres protections logicielles, bien plus efficaces. Encore faut-il considérer qu'il y a un danger potentiel. Dans l'entreprise, certains gestionnaires de réseau négligent la menace, qu'ils considèrent comme peu probable. Ils préfèrent ne pas s'en encombrer.

Le danger pourtant devient maximal si un équipement wi-fi est « greffé » sur un réseau d'entreprise câblé, et ce à l'insu des responsables informatiques eux-mêmes. Il suffit qu'un employé un rien malin installe, pour son confort personnel et sans le dire, un point d'accès dans son bureau. S'ouvre alors une brèche béante susceptible de mettre en péril la sécurité de toute la société. Le phénomène n'est pas si rare. « La plupart des grands comptes sont sans doute déjà fragilisés de cette façon sans le savoir », estime même Hervé Schauer. En particulier ceux qui n'ont jamais investi un sou dans le sans-fil et qui pensent, de ce fait, être préservés.

Les ondes des émetteurs rayonnent parfois sur plusieurs centaines de mètres autour des enceintes où on les croit cantonnées. Les murs ne les arrêtent pas. Première conséquence, ludique celle-là : à Paris, autour du Champ-de-Mars, quelques initiés viennent régulièrement à l'heure du déjeuner se connecter à l'Internet à haut débit, sans fil, gratuitement et en plein air, aux frais d'une entreprise qui arrose le quartier et dont ils ignorent jusqu'au nom. Un délit qui ne semble pas si grave, et pourtant...

A plusieurs reprises, ces derniers mois, des cybercafés ont été mis en cause pour avoir servi de lieux d'échange dans la préparation d'actes terroristes. Que se passerait-il si ces mêmes terroristes échangeaient leurs informations par le biais d'un réseau sans fil ne leur appartenant pas ? Ils deviendraient de ce fait parfaitement invisibles. Les enquêtes policières ne pourraient plus remonter qu'à la société propriétaire des serveurs ayant abrité, à son insu, les échanges de messages. Laquelle aurait bien du mal à prouver son innocence.

Bien sûr, le fait de se « maintenir » sur le réseau informatique d'autrui constitue un délit. Mais l'envahissement de la chaussée par les ondes est lui aussi réprimé. Les fréquences utilisées dans le domaine public appartiennent aux militaires. Elles ne sont autorisées - par dérogation - qu'à l'intérieur des bâtiments. Même si les rues de Paris sont déjà tellement saturées par ces débordement illégaux de réseaux que personne n'est plus en mesure de les réguler. L'Autorité de régulation des télécommunications (ART) elle-même a bien du mal à défaire ce noeud gordien.

L'ART elle-même piégée

Contactée par nos soins, elle n'a pas souhaité s'exprimer, craignant de s'afficher sous un jour trop répressif. « Et si des chefs d'entreprise sont suffisamment irresponsables pour disperser leurs réseaux dans la nature, cela nous concerne-t-il vraiment ? » lâche un de ses représentants, visiblement dépassé par les événements. Au point d'ignorer que le 19 juin le propre réseau sans fil de l'ART débordait dans un square de Montparnasse. Un comble, pour cet organisme public, quand on connaît les enjeux commerciaux de ses délibérations secrètes. La gestion de la wi-fi piège ceux qui sont censés la réglementer !

Aux Etats-Unis, où la quête des points d'accès sans fil est devenue un sport national appelé « war-driving », un adepte a pu dénombrer 1 500 points d'accès sur la côte Ouest. Mais, là-bas, la sécurisation du sans-fil est prise très au sérieux. Et la presse en parle. En France, le phénomène n'a donné lieu qu'à de rares communications confidentielles dans des revues spécialisées. Les services de renseignement s'inquiètent en tout cas de la prolifération de ces réseaux sauvages qu'ils s'affairent à cartographier. Les risques de piratage ou d'espionnage sont bien réels. Listings de clients, documents comptables, relevés bancaires et codes secrets... la France étale, sans réagir, tous ses secrets. Une aubaine repérée par les agences d'intelligence économique. Elles trouvent dans la pénétration des réseaux sans fil un outil d'espionnage particulièrement efficace garantissant, en outre, un camouflage providentiel !

Et le danger s'accroît chaque jour, au rythme de l'équipement du pays. « Demain, les réseaux sans fil vont se généraliser. Il est déjà impensable de revenir en arrière », affirme un policier du high-tech. Face à l'ampleur des risques, les autorités demeurent comme paralysées et préfèrent se taire. Quand lèvera-t-on le tabou ? « Sans doute, estime un jeune hacker spécialiste de la wi-fi, le jour où un grand groupe fera les frais d'une énorme attaque sur ses serveurs. »