Si vous avez pris l'avion dans une compagnie américaine ou canadienne et utilisé le service Wi-Fi proposé à bord, vos communications ont pu être observées, analysées et stockées, grâce à une attaque de type "man-in-the-middle" réalisée par l'opérateur lui-même.

Ce ne serait pas très discret, mais il est impossible de ne pas rapprocher les deux informations. En avril dernier, Wired avait révélé que la société Gogo qui fournit un accès à internet en Wi-Fi dans les avions en Amérique du Nord allait encore plus loin que ce qu'exige la loi américaine, dans sa collaboration avec les services de renseignement et les autorités de police. Or en ce début d'année, une ingénieure de Google révèle que GoGo Inflight Internet usurpe les certificats SSL des sites internet visités par une technique de type "man in the middle", ce qui lui permet d'empêcher le chiffrement sécurisé des communications, et de lire les échanges en clair :

Dans une lettre envoyée en 2012 à la Commission Fédérale des Communications (FCC), GoGo avait expliqué au régulateur qu'il avait "travaillé étroitement avec les autorités judiciaires pour incorporer des fonctionnalités et des protections qui serviraient les intérêts de la sécurité publique et de la sécurité nationale", sans préciser la nature exacte des mesures prises. L'opérateur avait simplement reconnu qu'il allait plus loin que ce que la loi CALEA (Communications Assistance for Law Enforcement Act) sur les interceptions de communications exigeait des opérateurs télécoms aux Etats-Unis, et qu'il avait "travaillé avec des agences fédérales pour parvenir à un accord sur un ensemble de capacités additionnelles".

Interrogé par Wired, GoGo avait nié à l'époque avoir effectivement mis en place des mesures supplémentaires pour plaire à la NSA ou au FBI, reconnaissant uniquement l'ajout d'un CAPTCHA au moment de la connexion, ce qui n'a aucun intérêt pour la surveillance. 

Dans son contrat d'utilisation, GoGo prévient qu'il peut "divulguer (…) vos communications à travers les Services, si c'est exigé par la loi, ou si nous estimons de bonne foi qu'une telle divulgation est nécessaire pour (a) se conformer aux lois applicables ou pour répondre à des mises en demeure ou réquisitions qui nous sont faites, ou (b) pour protéger ou défendre les droits, propriétés ou sécurités de GoGo, de vous, ou d'autres utilisateurs, ou de tiers (en particulier en cas d'urgence)".

Les services GoGo Inflight Internet sont proposés dans les avions de Air Canada, AirTran, Alaska Airlines, America Airlines, Delta Airlines, Japan Airlines, United Airlines, US Airways, et Virgin America. 


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !