La ville de Nivelles a annoncé il y a quelques mois son intention d'adhérer au projet FON [1,2], un projet de partage de WiFi communautaire. Ce qui peut s'apparenter à une très bonne idée au premier abord, pose pas mal de questions à la fois techniques et juridiques. N'étant pas juriste, je ne ferai que mentionner les côtés juridiques, sans entrer dans leurs détails.

Commençons par expliquer comment fonctionne FON. Le but de FON [3] est de rassembler une communauté d'utilisateurs (les foneros) souhaitant partager leur accès à Internet, les uns souhaitant en échange pouvoir accéder à la connexion Internet partagée d'autres utilisateurs, les autres souhaitant être payés à chaque utilisation de leur connexion. Pour ce faire, FON vend de petits routeurs sans fils (la FONERA) que vous branchez directement sur votre modem ou routeur. Cette FONERA annonce deux "réseaux WiFi" (SSID en langage plus technique) contrairement aux routeurs classiques. Le premier SSID est chiffré avec une clé partagée comme devrait l'être n'importe quel réseau WiFi et est destiné à être utilisé par les propriétaires de la connexion à Internet. Le second SSID est ouvert et destiné aux visiteurs. Lorsque des visiteurs s'y connectent, ils n'ont accès qu'à une seule page web les invitant à entrer leur nom d'utilisateur et mot de passe FON. Pour les non-foneros, il est possible d'accéder à un réseau FON partagée via paiement par carte de crédit. Un quart d'heure gratuit est également offert par FON à tout visiteur. Pour ces deux dernières méthodes d'accès, l'utilisateur partageant son réseau est légèrement rétribué.

La conseil communal de Nivelles a donc décidé d'acheter dans un premier temps une vingtaine de FONERAs qui seront placés dans les bâtiments communaux et prêtés à des commerces. Dans un second temps, la ville compte en acquérir cent vingt. Un argument avancé par la commune de Nivelles est de rendre disponible gratuitement à une très large communauté d'utilisateurs nomades, les connexions haut débit existantes en permettant le partage de celles-ci [1]. De quelle communauté parle-t-on ici ? De la communauté FON, bien entendu. Cette communauté a beau être composée de milliers d'utilisateurs, combien des 25000 Nivellois sont membres de cette communauté ? Alors que la commune a déjà déployé quelques points FON et que la population a commencé à être sensibilisée, nous comptons moins de trente utilisateurs FON sur le territoire de Nivelles dont un quart ont leurs points d'accès éteints ([4], 12/2009).
Par ailleurs, on a de bonnes chances de croire que les principaux intéressés par cette "chasse au FONERA allumé" seront des visiteurs extérieurs. En effet, les habitants n'auront accès aux points déployés par la commune qu'à condition de faire l'acquisition d'une FONERA d'une trentaine d'euros et de partager leur propre connexion.

Et parlons-en de partager cette connexion. La solution développée par FON empêche un visiteur mal intentionné de tenter d'attaquer vos propres ordinateurs, accéder à votre imprimante et à vos fichiers partagés à votre domicile. Mais cela s'arrête là, la solution FON ne protège d'aucune autre dérive du partage de connexion.
Pour commencer, en partageant votre connexion Internet, vous pouvez être pratiquement certains que vous violez les termes du contrat qui vous lie à votre fournisseur d'accès à Internet, en tout cas pour la quasi totalité de ceux-ci en Belgique.
Ensuite, supposons que le fils de votre voisin ait également un compte FON. Rien ne l'empêche de se connecter sur votre réseau lorsqu'il désire télécharger ses séries préférées. La plupart des opérateurs belges fixant un quota maximum de données transférées par mois, vous pourriez rapidement vous retrouver à une connexion bridée, coupée ou dont chaque "méga" supplémentaire vous est facturé automatiquement au prix fort. [5]

Ensuite, le risque peut-être le plus important, ou en tout cas le moins agréable, est de voir arriver chez vous la police fédérale (la Federal Computer Crime Unit) avec comme objectif de saisir votre ordinateur pour accès à du contenu illégal (site pédophile, téléchargement illégal de musique, ...). Bien entendu, ce contenu aura été accédé par un visiteur s'étant connecté à votre point FON en face de votre maison, mais ça la police ne peut pas le savoir à priori et ne peut même que difficilement le vérifier. En effet, tout utilisateur sur Internet peut être identifié grâce à son adresse IP, adresse prêtée par le fournisseur d'accès à ses clients lorsqu'il se connecte à Internet. Mais cette adresse est unique pour tous les utilisateurs d'une même connexion à un moment donné.
De plus, l'évolution des législations européennes évoluent pour l'instant vers une plus grande responsabilité de la personne partageant son réseau si le "visiteur" ne peut être identifié. L'utilisateur FON doit s'authentifier me direz-vous ? Oui en effet, soit avec son nom d'utilisateur FON s'il partage son WiFi ou grâce à sa carte de crédit. Mais FON fournis néanmoins une petite porte de secours pour ceux qui voudraient rester anonyme, faisant grincer les dents de nombreux experts : tout utilisateur a droit à un quart d'heure gratuit sur tout point FON après avoir regardé une petite vidéo publicitaire ... (ce dernier point est "oublié" dans la description de la sécurité de FON [7])

Vous pensez donc maintenant que vous avez intérêt à rendre votre signal FON inaccessible à tout visiteur tout en profitant des points d'accès disséminés dans la ville ? Nous vous le déconseillons également, ou avec quelques précautions. Pour commencer, il est relativement aisé pour quelqu'un ayant quelques connaissances avancées en informatique de créer un faux point d'accès FON proposant d'entrer vos données FON sur une page web et donc permettant de récupérer les noms d'utilisateur et mots de passe d'utilisateurs naïfs. Ces données pourront alors être utilisées à leurs issus pour se connecter à d'autres points d'accès. Plus dangereusement, la plupart des utilisateurs FON ignorent que, techniquement, il est relativement simple, pour le propriétaire du point d'accès sur lequel ils se connectent, d'espionner tout le trafic qui est envoyé par le visiteur. Bien qu'il n'y ait pas de soucis à se faire pour tout ce qui concerne les connexions sécurisées (banques entre autres), le risque est non nul pour certains autres sites et services.

Comme dernier argument, laissons de côté les soucis de sécurité pour se demander ce que pourra être l'avenir d'une telle initiative. Le concept FON n'est pas relativement neuf à l'échelle des nouvelles technologies. Et pourtant, cette initiative n'a jamais décollé comme l'auraient voulu leurs concepteurs. Un tel concept de partage "communautaire" ne peut cependant fonctionner que si la communauté est très développée. Si l'on considère les chiffres officiels de 700 000 utilisateurs (12/2009) à travers le monde, calculez maintenant la proportion par rapport au milliard et demi d'habitants en Europe et Amérique du Nord. Si les 20 à 30 points d'accès FON situés à Nivelles vous semblent beaucoup, rappelez-vous qu'un signal WiFi n'a rarement une portée supérieure à 30m et ne sera accessible de la rue que si le point d'accès se trouve au rez-de-chaussée et si le visiteur se place à quelques dizaines mètres tout au plus du bâtiment. De plus, des études avaient également révélés il y a quelques années que plus de 2 tiers des points d'accès FON sont éteints. En effet, on observe que beaucoup d'utilisateurs FON débranchent définitivement leurs points d'accès après quelques mois. Des sondages [6] semblent montrer que 2 des raisons principales sont les risques de sécurités tels qu'expliqués précédemment et la difficulté de trouver des accès pour se connecter eux-même.

Contrairement à ce que l'on pourrait croire, nous n'avons rien contre FON. Mais vu l'ensemble des arguments développés ci-dessus, nous trouvons relativement dangereux de la part d'un conseil communal d'encourager l'utilisation de FON. Il n'existe à l'heure actuelle pas de solution grand public pouvant combler ces besoins tout en garantissant une sécurité convenable... mais nous y travaillons...

Réferences:

[1] La ville de Nivelles adhère au projet FON, Agence Wallonne des Télécommunications. 09/10/2009.
[2] La Ville de Nivelles adhère au projet FON et vous propose d'y participer !, Etienne LAURENT, Echevin de l'Informatique de la ville de Nivelles. 06/10/2009.
[3] FON
[4] FON Maps
[5] Faut-il réguler les quotas internet ?, Olivier Bonaventure, Carte blanche Le Soir. 30/12/2009.
[6] El tema de los foneros que desconectan su fonera, Martin Varsavsky. 4/4/2008.
[7] FON est sécurisé, FON. Consulté le 5/1/2010.

Autre discussion sur FON et ses risques:

Software based WiFi sharing versus custom hardware, Mike Puchol. 6/4/2008. (à la fois l'article et la discussion en commentaire sont intéressants)