Connexion Internet dans un hôtel: prudence !
Les professionnels doivent être vigilant lorsqu'ils se connectent depuis le réseau d'un hôtel. Le secteur hôtelier doit lui aussi être sensibilisé, surtout au niveau du Wi-Fi.
Les professionnels accédant à Internet depuis un hôtel avec leur ordinateur devraient s'assurer préalablement de la sécurité du réseau de celui-ci, et veiller à respecter certaines bonnes pratiques afin de ne pas exposer les données de leur entreprise. Une étude conduite pas des chercheurs de l'université de Cornell pointe en effet du doigt le faible niveau de sécurité des réseaux informatiques des hôtels américains.
Des audits et tests d'intrusion menés auprès de 147 hôtels des Etats-Unis, il ressort que les établissements ne prennent que très rarement en considération la sécurité de leurs clients et de leur propre infrastructure. Certains hôtels (20%) s'appuient ainsi encore sur de simples hub, bien plus vulnérables au piratage que les routeurs (49%) et switches (44%) plus récents. Ces derniers demeurent néanmoins vulnérables à des attaques de type ARP spoofing permettant de rediriger le trafic vers un ordinateur donnée, ici l'ordinateur du pirate.
Mais les établissements proposent aussi bien souvent aussi un accès par connexion Wi-Fi. 92,5% d'entre eux mettent ainsi à disposition, de leurs clients et parfois plus généralement du public, un accès sans fil (802.11). Or les risques d'attaques contre des internautes utilisant des connexions Wi-Fi dans des lieux publics (restaurants, aéroports, etc.) ont déjà été prouvés, afin notamment d'intercepter des données.
Sur les 45 hôtels plus précisément audités (sur site), 39 disposaient d'un réseau Wi-Fi. Mais parmi ceux-ci, seulement 6 avaient mis en place un chiffrement des communications (4 sur 6 dans le cadre d'un service payant). La sécurité a donc un prix pour les clients puisque la facturation du service d'accès à Internet s'accompagne alors de l'implémentation de mécanismes de sécurité.
Si l'étude conclut à un manque de préparation des hôtels, c'est notamment en raison de l'absence de moyens humains. Le personnel en charge de l'IT est en effet rare, voire inexistant. La majorité n'a aucun salarié formé pour assurer la gestion de l'infrastructure informatique. Un tiers des hôtels déclarent confier l'administration à un unique employé. Employé qui avant d'entrer en poste n'a bénéficié d'aucune formation. Seuls 18,2% des hôtels exigeraient une certification dans la matière informatique.
Mais l'allocation de moyens humains va de pair avec la faiblesse des budgets alloués à la sécurité. La part moyenne du budget IT allouée à la sécurité est de 9,5%. Les disparités sont cependant importantes puisque si certains hôtels déclarent ne consacrer aucun investissement à la sécurité, d'autre (moins de 5%) n'hésiteraient pas à monopoliser 80% de leur budget informatique à ce domaine de dépense.
| Source : Center for Hospitality Research |
| Utiliser un router ou un switch pour gérer le trafic réseau |
| Les réseaux interne et clients sont séparés, si ce n'est physiquement, au moins par un pare-feu |
| Un page présentant les conditions d?utilisation du service doit être présentée et approuvée avant la connexion effective à chaque client de l?hôtel |
| Envisager la possibilité de configurer le réseau en VLAN |
| Recruter un personnel avec des certifications appropriées en sécurité et proposer des formations durant sa carrière |
| Les réseaux Wi-Fi sont protégés par mot de passe et chiffrement. Le protocole WEP est à bannir |
| Ne pas bloquer le traffic VPN des utilisateurs en autorisant les ports et protocoles nécessaire |
| Sensibiliser le personnel au social engineering afin que celui-ci ne communique pas des informations sensibles sur le réseau |
Les professionnels se connectant via le réseau d'un hôtel sont donc vivement incités à respecter certaines pratiques. Il s'agit notamment de se borner, pour l'envoi d'information, à des pages chiffrées en HTTPS. Un paramétrage du client de messagerie permet également de se prémunir contre une intrusion en chiffrant à la source les emails. Le recours au VPN est quoi qu'il en soit à privilégier autant qu'il est possible, tout comme celui d'un pare-feu personnel, à jour naturellement.