Pendant plus d’un an, une faille dans le réseau Wi-Fi du métro de Moscou aurait pu permettre d’obtenir le numéro de téléphone et les données personnelles de toutes les personnes connectées dans les rames, y compris leur âge, leur état civil et leur trajet régulier. Vladimir Serov, qui a découvert cette vulnérabilité, a développé un programme qui permet de suivre tous ceux qui voyagent sous terre.
Selon la législation antiterroriste russe, les voyageurs doivent fournir leur numéro de téléphone pour utiliser le réseau. Chaque périphérique a un identifiant unique appelé adresse de contrôle d’accès du support (adresse MAC). Lorsque les passagers enregistrent leur numéro de téléphone, leur adresse MAC et leurs données personnelles deviennent disponibles à l’opérateur du réseau. En règle générale, ceci est utilisé pour le ciblage géographique et le positionnement des publicités.
Selon Serov, MaximaTelecom, qui gérait le réseau, n’a pas fourni la protection nécessaire aux données des utilisateurs. « J’ai décidé de vérifier la page d’autorisation », a-t-il déclaré aux journalistes russes.
« Bien que la page ne fournisse pas de données personnelles, en connaissant une adresse MAC, vous pouvez obtenir les données des utilisateurs sur la page d’autorisation du Wi-Fi ». Selon Serov, en utilisant des programmes spéciaux, un criminel peut collecter les données de tous les voyageurs de la rame.
Il a contacté les autorités de Moscou, mais n’a reçu aucune réponse. Serov a décidé de raconter sa découverte inattendue sur un blog collaboratif destiné aux programmeurs, Habrahabr, et a écrit un article intitulé « Comment obtenir le numéro de n’importe quelle jolie fille de Moscou ou une particularité intéressante de MT_FREE ».
Serov, qui n’a reçu aucune réponse des autorités, a continué à jouer avec le réseau. Par exemple, il a découvert un indicateur spécial pour les stations et a pu suivre une jeune femme qui revenait du travail.
« Les lecteurs et moi-même nous sommes bien amusés », a déclaré Serov.
Après la publication sur Habrahabr, MaximaTelecom a sécurisé le réseau et a demandé à Serov de supprimer son poste. Il a refusé.
« Pendant tout ce temps, la société était consciente que cela violait les règles de base de la protection des données personnelles, a déclaré Serov. Ils ont non seulement stocké des informations non sécurisées sur les utilisateurs, ce qui est sans précédent, mais les ont aussi rendues disponibles via un canal non crypté dans un réseau ouvert. Pourquoi devrais-je garder le silence au sujet de mes données personnelles si elles sont traitées de la sorte ? ».
Selon MaximaTelecom, près de 12 millions d’utilisateurs se sont enregistrés sur MT_FREE en 2016. Le même réseau est également disponible dans le métro de Saint-Pétersbourg, dans les trains express desservant les aéroports de Moscou et même dans les chemins de fer russes.
rbth.com