Créer de faux hotspots wifi sur Android avec FakeHotSpot

Fake HotSpot devrait intéresser pas mal de monde. Cette application pour Google Android permet effectivement à n’importe qui disposant d’un smartphone rooté de déployer de faux hotspots WiFi (Free, SFR ou Bouygues) afin de piéger les pauvres mobinautes trainant dans le secteur et, surtout, de récupérer leurs accès. Une technique très efficace, particulièrement dangereuse, et qui doit bien évidemment être portée à l’attention du grand public afin que ce dernier puisse s’en prémunir. D’autant plus qu’il existe plusieurs méthodes pour nous assurer de l’intégrité d’un hotspot WiFi…

Créer de faux hotspots wifi sur Android avec FakeHotSpot

L’idée de départ est simple. On est en vadrouille, on a besoin de se connecter en WiFi pour faire des recherches, relever ses mails ou n’importe quoi d’autre, on repère un réseau ouvert, on se connecte dessus, on saisit notre identifiant, notre mot de passe, et… et il ne se passe absolument rien. Car en effet, ce hotspot était un leurre et nos identifiants sont donc tombés dans la poche d’un petit malin qui pourra ensuite surfer à l’oeil grâce à notre accès. Tout le monde peut se faire avoir. Absolument tout le monde. Une situation urgente, on est pressé, on ne fait pas attention et c’est fini, on se retrouve dans le filet.

Notons en outre que Fake HotSpot semble plutôt complet. Il vous permettra de créer les hotspots de votre choix, certes, mais une version à venir donnera même l’occasion au petit pirate de copier des hotspots à la volée histoire de lui faciliter encore un peu plus la vie.

Bref, c’est une application plutôt dangereuse, mais sachez qu’il est tout de même possible de savoir si un hotspot est vrai ou pas. Ces méthodes ne sont pas infaillibles, bien sûr, mais elles devraient tout de même vous permettre de mettre de côté un paquet de fakes :

  • Vérifiez l’adresse IP du hotspot. Les fournisseurs d’accès disposent leurs hotspots ouverts sur certaines plages d’adresses. Si le hotspot qui vous intéresse ne se trouve pas sur cette plage d’adresses, alors il y a de fortes chances qu’il s’agisse d’un faux hotspot.
  • Se tromper sur ses identifiants. Là encore, c’est une bonne méthode pour savoir si un hotspot est valide ou non. Si vous saisissez de mauvais identifiants et qu’il fait quand même mine de vous connecter, alors c’est un fake.
  • Vérifier le certificat racine SSL. Même chose, un faux hotspot ne pourra pas simuler le certificat racine SSL obtenu par l’opérateur, c’est donc encore un bon moyen d’identifier les mauvais hostpots.
  • D’autres idées ?

Evidemment, si vous avez d’autres idées, les commentaires sont là pour ça. Ce qui est sûr, en tout cas, c’est que si vous avez l’habitude de vous connecter sur des hotspots ouverts, il est nécessaire que vous gardiez à l’esprit que ces derniers ne sont pas forcément sécurisés, ce qui veut donc aussi dire que n’importe quel type un peu habile de ses dix doigts peut parfaitement vous espionner et savoir avec précision ce que vous êtes en train de faire et quels sont les sites que vous consultez. Dans tous les cas, tâchez donc de ne jamais utiliser ou accéder à vos dossiers personnels depuis un hotspot ouvert.

Merci à Geniks pour l’info.