Au moment où s’achèvent les vacances d’été, et en référence à un film connu des années 1990, nous avons voulu savoir où vous êtes allés et ce que vous avez fait cet été... sans porter atteinte à votre vie privée puisque, en réalité, vous rendez publiques des informations sur vos déplacements...
Ou plutôt, votre smartphone rend ces informations publiques. Comme il est indiqué dans un précédent article du Bulletin, intitulé « Vivre en symbiose », la plupart d’entre nous transportent en permanence une sorte de balise. Cette balise mémorise les lieux où nous sommes allés de plusieurs manières. La plus courante est la position GPS ou l'adresse IP que votre smartphone partage, respectivement, avec des entreprises telles que Google et Facebook et avec votre fournisseur d'accès à Internet (FAI) local. Google et Facebook utilisent ces données à des fins de marketing et de publicité (vous payez en fait leurs services avec vos données de localisation) ou les partagent avec votre application sportive préférée (comme Strava) pour retracer votre itinéraire de course à pied, vos randonnées pédestres ou vos parcours à vélo. Les FAI, par contre, ne les utilisent qu'à des fins internes et pour satisfaire à des obligations légales. Comme les fournisseurs d’accès à Internet, le CERN, par exemple, tient un registre des points d'accès sans fil auxquels se connecte votre appareil, à tout moment lorsqu’il utilise le réseau du CERN (à noter qu’Android et iOS ont mis en place une « randomisation des adresses MAC », rendant difficile, voire impossible, l’établissement de corrélations). Mais il existe d'autres moyens simples de savoir ce que vous avez fait l'été dernier, par exemple l’exploitation des identifiants SSID (Service Set IDentifier).
Un SSID est un identifiant non unique d'un réseau sans fil, comme « CERN », « eduroam », « FREE WIFI GVA » ou « Livebox-XB4X ». Il s'agit du nom et de la description du réseau sans fil auquel se connecte votre appareil ; la connexion se fait manuellement, si vous saisissez cet identifiant pour la première fois, ou automatiquement, s'il est déjà connu de votre appareil. Pour plus de commodité, votre appareil mémorise tous les SSID auxquels il s'est déjà connecté. Sur un iPhone, vous trouverez cette liste dans « Réglages » -> « Wi-Fi » -> « Modifier », et, sur un téléphone Android, dans « Réseaux enregistrés ». Vous pouvez ainsi retracer tout ce que vous avez fait l'été dernier, et même avant. Tous les identifiants SSID que vous avez utilisés auparavant sont regroupés à cet endroit. Et grâce à leurs noms, vous pouvez facilement retrouver les différents lieux où vous étiez. Malheureusement, il n’y a pas que vous qui peut retrouver ces informations...
Si le Wi-Fi est activé, votre smartphone essaie en permanence de se connecter à un réseau sans fil. Cela vous facilite la vie. Vous pouvez ainsi vous connecter automatiquement à l’internet partout où vous vous trouvez : lorsque vous arrivez le matin au CERN et lorsque vous êtes de retour chez vous le soir. Mais aussi quand vous vous déplacez. En effet, le service « eduroam » vous identifie « automagiquement » et vous donne illico accès à l’internet sans autre formalité. Pour ce faire, votre smartphone doit toutefois s'annoncer auprès du réseau afin de savoir si, par hasard, il y aurait dans le coin un SSID particulier. Et, du même coup, il diffuse la liste de tous les SSID enregistrés. C'est là que votre vie privée en prend un coup. Car tout le monde peut alors savoir ce que vous avez fait l'été dernier, et même avant (ces informations SSID ne sont pas horodatées).
Nous avons voulu faire le test au CERN, sans relier les SSID à un appareil particulier. Nous avons simplement collecté tous les SSID qu’annonçaient à un moment précis les smartphones des collègues qui se trouvaient autour du bâtiment 31. Et voici la liste des SSID d’hôtels, d’instituts, de conférences, de restaurants, de bars, de musées et de magasins que nous avons récoltés : Prague Airport Wifi Free, #StarbucksWifi, *Louvre_WiFi_Gratuit, La Jolla Village Guest WiFi, ATLAS WEEK, AirFranceCONNECT, Airport-Frankfurt, AlohaHostel, Alpen Resort Public WiFi, Ambleside Tavern, BEAURIVAGE, BESTWESTERN, BMW Public, BostonPublicLibrary, Brussels Airport free Wi-Fi, Camping Zermatt Public WiFi, DESY guest legacy, Dunkin' Donuts Guest, ESA-wireless, Foyer Schumann, GELATERIA ITALIANA, GenuaWifi, Glasgow, Gran Hotel Santiago, Grand Elysee, GrandCentral_FreeWiFi, Helsinki Airport Free Wi-Fi, Hilton Honors, Hôtel de Ville, INTERMARCHÉ, ITER-Guest, Incanto-Ristorante, Jiva Hill free access, KFC Hotspot, MIGROS WiFi, MarriottBonvoy_Guest, McDonald's Free WiFi, MonacoWifi, Pneus Claude Wifi Clients, Porsche HotSpot, Prêt-à-Manger, Public WiFi Interlaken, Radisson_Guest, Raiffeisen Bank - Free WiFi, Regiojet - zluty, Room#507, Starbucks WiFi, Styles Hotel, THE BARISTA LAB public, The Bowling Balexert, Val Thoiry - WiFi Gratuit, VertigoJazzClub, VorstadtBistroSolothurn, Wirtshaus Franz, Wyndham Public, ZurichAirport, _Free JFK WiFi, _SNCF gare-gratuit, easyJet onboard, esa-conference, etc. Et voilà ! Nous savons à présent ce que vous avez (collectivement) fait l’été dernier.
Comme vous le voyez, votre smartphone peut partager beaucoup de choses avec le monde entier : les SSID auxquels il s'est connecté, les SSID des lieux que vous avez fréquentés. Si vous voulez reprendre le contrôle de votre vie privée, vérifiez vos paramètres Wi-Fi et supprimez tous les SSID que vous ne voulez plus voir associés à votre appareil, ou bien désactivez la connexion automatique au Wi-Fi (dans ce cas, vous devrez vous réenregistrer chaque fois que vous souhaitez vous connecter à nouveau à un réseau particulier). Sinon, tout le monde saura ce que vous avez fait l'été dernier...
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site (https://cern.ch/Computer.Security) ou contactez-nous à l’adresse Computer.Security@cern.ch.