Authentification n'est pas chiffrement
Une bien belle et bien évidente maxime que nous commente Brad Antoniewicz de l'Avert Lab. Lequel nous explique que, malgré toutes les subtilités d'un système d'identification, rien, lors d'une session initialisée sur un réseau sans fil, rien donc n'interdit à un voisin de palier de filtrer le trafic en attendant le contenu d'un http request (ou http post comme le montre le hack Gmail publié par Robert Graham). Et Antoniewicz d'insister sur le manque de sécurité de la plupart des « hot spot » d'opérateurs, lesquels -les opérateurs- sont là pour vendre de la minute de connexion et non l'assurance d'une communication sécurisée. La solution ? SSL et VPN. Au minimum. Et en prenant garde d'appliquer cette règle à l'intégralité des protocoles utilisés, car les filtrages http quelque chose se retrouvent, sous une forme ou sous une autre, dans tous les autres services IP, qu'il s'agisse de messagerie instantanée, d'email, de transfert de fichier ou de « remote desktop ». Remarquons tout de même à ce propos qu'il n'est pas toujours évident d'expliquer comment configurer un ftp ssl à un débutant, et ce qui est automatique sur un navigateur Web n'est pas nécessairement transposable dans la totalité des autres applications Internet.
