Lisez 01net pour 2,25 € / n° seulement

Actualités > Sécurité

Firesheep, l'extension Firefox pour pirater des comptes en un clic

C’est une extension Firefox qui fait beaucoup parler d’elle depuis quelques jours. Elle permet de voler l’accès à des services en ligne à un utilisateur qui vient de s’y connecter en Wi-Fi.

Eric le Bourlout

01net

le 27/10/10 à 17h35

22 réactions

envoyer
par mail

imprimer
l'article

Partager |

Attention à ne pas vous faire voler vos identifiants sur Facebook, Twitter, Windows Live et bien d’autres services en ligne depuis un point d’accès Wi-Fi ouvert. Voilà, en résumé, le message que tient à faire passer Eric Butler, qui a développé une petite extension Firefox déjà célèbre. Elle a été téléchargée plus de 130 000 fois en quelques heures, à tel point que le mot clé « firesheep » s’est retrouvé à la dixième place des recherches les plus souvent effectuées sur Google Etats-Unis hier.

agrandir la photo

Firesheep, présenté par Butler lors d’une conférence de « hacking » à San Diego, s’affiche dans un volet de Firefox. Le programme permet de capturer à la volée les cookies de connexion d’autres utilisateurs connectés au même point d’accès ouvert. L’outil peut récupérer, sans aucune intervention du pirate, des identifiants issus d’une trentaine de sites différents, d’Amazon à Google, en passant par Gowalla, Windows Live, Facebook et Twitter. Ils apparaissent simplement dans le volet. Il suffit alors de cliquer dessus pour se retrouver connecté sur le compte de la victime.

La faille : les cookies d'authentification

Comment cela fonctionne-t-il ? Eric Butler l’explique sur son blog :

« Quand vous vous “loguez” à un site vous commencez par soumettre votre nom d’utilisateur et votre mot de passe. Le serveur vérifie alors si un compte correspondant à cette information existe et, le cas échéant, vous répond avec un “cookie” qui est utilisé par votre navigateur pour toutes les requêtes suivantes. Les sites protègent très fréquemment votre mot de passe en cryptant votre identification initiale, mais il est rare, fait surprenant, que les sites cryptent le reste. Cela laisse le cookie (et l’utilisateur) vulnérable. Le détournement de session HTTP, que l’on appelle parfois “sidejacking”, intervient lorsqu’un attaquant s’empare du cookie de l’utilisateur, ce qui lui permet de faire tout ce que l’utilisateur peut faire sur un site particulier. Or, sur un réseau sans fil, les cookies sont comme “criés” en l’air, ce qui rend ces attaques extrêmement simples ».

C’est précisément pour dénoncer ce manque de sécurité côté sites Web que Butler a conçu son angoissant programme : « C’est un problème largement connu dont on a parlé jusqu’à plus soif, et pourtant les sites continuent de faillir à protéger leurs utilisateurs », explique-t-il.

Quelles solutions pour se prémunir contre Firesheep ?

Si c’est bien l’un des moyens les plus simples pour effectuer la manœuvre, Firesheep n’est pas le premier programme permettant de « pirater » des sessions HTTP, en théorie protégées par mot de passe, de cette manière. De nombreux logiciels, qui existent pour certains depuis bien des années, permettent le même genre d’attaques : « Très peu de choses ont changé après que chacun de ces logiciels ont été lancés. Ils ont eu leur succès médiatique à l’époque, et les gens ont oublié ou n’y ont pas fait attention. Et la plupart de ces outils ont seulement été utilisés par des gens passionnés de technologie, des hackers et des geeks. » A noter qu’il existe également des outils plus complexes permettant de faire de même… Sur des réseaux protégés par mot de passe.

En fournissant un outil de hacking « en un clic » Butler espère donc que Firesheep ira au-delà du simple phénomène médiatique et poussera les sites à parfaire leur sécurité afin d’éviter que leurs utilisateurs se fassent « voler » leur compte en quelques secondes. Pas sur qu’il y parvienne…

Malheureusement, il n’existe pas de solution miracle afin d’éviter ce genre de mésaventures. Toujours d’après Butler, « vous ne pouvez vous contenter d’éviter les sites attaqués par Firesheep. Il y a beaucoup de contenus mélangés sur le Web aujourd’hui, comme les boutons “j’aime” de Facebook, les widgets Twitter, et même les images intégrées hébergées sur Flickr et d’autres sites de partage de photos. A chaque fois que vous accédez à une page qui intègre ce type de contenus, votre navigateur envoie aussi le cookie d’authentification nécessaire.

Que faire alors pour se protéger ? Eviter les points d’accès ouverts paraît être une mesure de choix, même si elle est contraignante et rejetée par Butler, qui estime que ce n’est pas le problème : « il n’y a pas de vulnérabilité dans le Wi-Fi, il y en a sur les sites que vous utilisez. » Lui préfère mentionner d’autres extensions Firefox, comme HTTPS-Everywhere et Force-TLS, qui sont contraignants car difficiles à maîtriser et ne pas compatibles avec tous les sites à risque. Utiliser un VPN permet en revanche d’éviter les problèmes.

En fait, pour Butler, il n’y a qu’une seule solution pour éradiquer le problème : que les sites embrassent le HTTPS ou SSL/TLS, deux protocoles de communication qui permettent de crypter les échanges de données. En attendant, gare aux réseaux Wi-Fi ouverts !

Actu précédente

La fonction de verrouillage de l'iPhone 4 victime d'une faille

Actu Suivante

Le virus Koobface s’invite sur Mac OS X et Linux

24 AVIS SUR CET ARTICLE

Avis sur «Firesheep, l'extension Firefox pour pirater des comptes en un clic»

Trier par

C'est partout pareil

de Utilisateur d'IE9 , posté le 27 octobre 2010 à 20h11

Et il n'y a qu'Internet Explorer qui est une passoire ! Y'a t'il une mise à jour de sécurité pour Firafox ?

alerter le modérateur

Pas de faille

de flaburgan , posté le 27 octobre 2010 à 23h29

Pourquoi y aurait-il besoin de mise à jour ? Il n'y a aucune faille ! Le site créer un cookie, le donne au navigateur, et quand le navigateur revient sur le site, il s'identifie grâce au cookie (c'est l'option "ne pas m'oublier" que l'on coche à la connexion). Le problème, c'est que si le mot de passe est chiffré, ce n'est pas le cas du cookie, donc quand on l'envoi, il est lisible. Et si on utilise le sans fil, on l'envoi partout, on peut donc intercepter le cookie, le lire, et l'utiliser pour s'identifier. Pas de faille côté navigateur ici, mais plutôt des site web qui ne chiffre pas assez...

alerter le modérateur

rien compris

de applepie77 , posté le 29 octobre 2010 à 11h23

ta rien compris!
le problème c'estpas le navigateur...
ce sont les sites!

alerter le modérateur

bonsoir

de aya el , posté le 14 mai 2013 à 12h49

uniquement sur les acces wifi non sécurisé..et encore d'apres certain pro on tester c'est pas aussi sur que cela qu'on pirate les comptes..etc...
Beaucoup vont encore entrer dans la parano.. pour pas grand chose. il veulent ce faire juste de la pub gratos

alerter le modérateur

???

de patrick 54gf , posté le 27 octobre 2010 à 20h15

Et bien pas la peine d'en faire un fromage avec ce truc. encore une fois sa fonctionne uniquement sur les acces wifi non sécurisé..et encore d'apres certain pro on tester c'est pas aussi sur que cela qu'on pirate les comptes..etc...
Beaucoup vont encore entrer dans la parano.. pour pas grand chose. il veulent ce faire juste de la pub gratos..

alerter le modérateur

pfff

de cobra32 , posté le 28 octobre 2010 à 00h53

Et bien c'est avec des comme toi que les pirates se font un max de blés......
De plus il serait trop long de t'expliquer tout ce que tu ne sait pas , mais sache que tu es très loint du compte.

alerter le modérateur

WIFI sécurisé

de phil666777 , posté le 28 octobre 2010 à 03h53

Un Wifi WEP 128 bits semble sécurisé. l'accès est protégé par un code. Cependant une fois entré sur la borne, tout est en clair. FireSheep intercepte tout!

alerter le modérateur

Bien dit

de **hr08** , posté le 20 mars 2011 à 18h38

et il est pas le seul :S

alerter le modérateur

Et bien bravo !

de La Grosse Pustule Béante , posté le 27 octobre 2010 à 20h17

Et dire qu'il y a quelque temps Mozilla s'est vanté (ici même dans les colonnes de 01net comme ailleurs) de protégé les utilisateurs grâce à leur contrôle des plugins aussi bien instables que dangereux.
Une question me viens alors : Que fait la police, heu ... Mozilla ?
En conclusion : voici une publicité mal venue pour le Panda/Renard roux !!!

alerter le modérateur

Tu sais lire?

de Adrien124578 , posté le 27 octobre 2010 à 21h32

Je pense qu'il faut apprendre à lire les articles en entier, cela évite de répondre/raconter de grosses conneries!

alerter le modérateur

rien compris 2

de applepie77 , posté le 29 octobre 2010 à 11h29

encore un qui n'a rien compris!!!

alerter le modérateur

c'est quoi le rapport avec la sécurité de Firefox ?

de Arkhee , posté le 27 octobre 2010 à 20h26

... là je ne vois pas trop, cette extension ne profite pas d'une faille de Firefox mais utilise simplement Firefox comme plateforme pour fonctionner (et se faire connaître).
Cela aurait aussi bien pu être un programme indépendant !
En fait la faille exploitée par Firesheep concerne tous les navigateurs, car la faute en revient aux sites webs, qui ne restent pas en fonctionnement sécurisé après authentification

alerter le modérateur

pas tout a fait

de cobra32 , posté le 28 octobre 2010 à 00h57

C'est a la connexion par l'envoie de ton cookis que ce n'est pas crypté...le reste ensuite lui est sécurisé mais hélas trop tard car la récupération de ton cooki qui est en clair tes information de connexion a ton compte sont visible.

alerter le modérateur

bonjours

de hindo rajawiya , posté le 14 mai 2013 à 12h52

alerter le modérateur

Trier par

24 AVIS SUR CET ARTICLE