Qu’est-ce qu’une attaque “Evil Twin” et comment s’en protéger ?

Qu’est-ce qu’une attaque “Evil Twin” et comment s’en protéger ?

Parmi les méthodes d’intrusion les plus discrètes, l’attaque “Evil Twin” se distingue par sa capacité à tromper l’utilisateur sans qu’il en ait conscience. Elle vise principalement les réseaux Wi-Fi publics et repose sur la création d’un point d’accès cloné, difficile à distinguer de l’original.

Cette technique permet à un tiers malveillant de collecter les données de connexion, détourner les sessions actives ou injecter du contenu dans les pages consultées. Le risque concerne aussi bien les particuliers que les professionnels, notamment lorsqu’ils travaillent à distance.

Réseau Wi-Fi falsifié : une méthode d’imitation invisible pour l’utilisateur

L’attaque repose sur une idée simple : reproduire un réseau existant, avec le même nom (SSID), une puissance de signal équivalente voire supérieure, et des paramètres proches de l’original. Résultat : l’appareil ciblé (ordinateur, smartphone, tablette) se connecte automatiquement à ce faux réseau, sans alerte visible, surtout s’il avait déjà été lié au réseau d’origine.

En arrière-plan, l’agresseur peut alors intercepter tout le trafic réseau, récupérer des identifiants, lire des données non chiffrées ou détourner des connexions HTTP vers des versions manipulées de sites connus.

Le danger est renforcé par le fait que de nombreux réseaux Wi-Fi publics n’exigent pas d’authentification réelle, ce qui laisse une large marge de manœuvre à l’attaquant.

À lire  Cloudflare enregistre une attaque DDoS d'une ampleur sans précédent

Quels types de données peuvent être volés pendant l’attaque

Une fois la connexion établie entre l’appareil de la victime et le faux point d’accès, toutes les informations non protégées par un chiffrement HTTPS deviennent accessibles :

  • noms d’utilisateur et mots de passe (envoyés sans TLS),
  • requêtes DNS permettant de reconstituer l’activité de navigation,
  • cookies de session, parfois suffisants pour accéder à des comptes sans authentification.

Dans certains cas, des outils de type sslstrip peuvent même forcer la redirection vers des pages non sécurisées, augmentant encore les possibilités d’exploitation.

Chiffres récents : des attaques plus fréquentes qu’on ne l’imagine

Selon une étude menée en 2024 par Norton Labs, près de 28 % des connexions Wi-Fi publiques dans les cafés, hôtels et transports pourraient être ciblées par des attaques de type Evil Twin ou Man-in-the-Middle.
Le facteur aggravant ? La méconnaissance du danger par les utilisateurs, qui font souvent confiance au simple nom du réseau sans vérifier d’autres éléments de sécurité.

Comment détecter un réseau Wi-Fi falsifié ?

Il est extrêmement difficile pour un utilisateur non averti de faire la différence entre un réseau légitime et sa copie. Toutefois, certains signaux peuvent mettre la puce à l’oreille :

  • Une demande de saisie de mot de passe sur un portail qui ne s’affichait pas d’habitude.
  • Une lenteur anormale ou des redirections fréquentes vers des pages d’erreur.
  • L’absence de certificat HTTPS valide sur des sites pourtant réputés fiables.
  • Des avertissements de sécurité déclenchés par le navigateur.

Les utilisateurs plus avancés peuvent également analyser l’adresse MAC du point d’accès, qui ne correspondra pas à celle du réseau original (si connue).

À lire  Honeypot : un outil de sécurité pour piéger les pirates informatiques

Précautions concrètes pour éviter d’être piégé

Plusieurs approches permettent de limiter les risques lors de l’utilisation d’un Wi-Fi public :

  • Utiliser systématiquement un VPN, qui chiffre toutes les communications, même sur un réseau compromis.
  • Désactiver la connexion automatique aux réseaux Wi-Fi connus : cela empêche l’appareil de se connecter sans validation manuelle.
  • Vérifier la présence du protocole HTTPS sur tous les sites accédés : les navigateurs modernes affichent des alertes en cas de problème de certificat.
  • Préférer les connexions 4G ou 5G, notamment pour consulter sa messagerie, accéder à ses comptes ou réaliser des paiements.
  • Garder les logiciels de sécurité et les systèmes à jour, pour éviter l’exploitation de failles connues.

Pourquoi les entreprises doivent également s’en préoccuper ?

L’attaque Evil Twin ne se limite pas à des cas isolés ou à un usage individuel. Un salarié en télétravail ou en déplacement professionnel peut involontairement exposer des données sensibles de l’entreprise s’il se connecte à un réseau piégé.
Les attaques peuvent aussi viser des employés ciblés (médecins, avocats, consultants, journalistes) afin d’accéder à des contenus confidentiels.

Intégrer cette menace dans la politique de sécurité des accès distants devient donc un enjeu de cybersécurité pour les PME comme pour les grandes structures.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *