En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

Firesheep, l'extension Firefox pour pirater des comptes en un clic

C’est une extension Firefox qui fait beaucoup parler d’elle depuis quelques jours. Elle permet de voler l’accès à des services en ligne à un utilisateur qui vient de s’y connecter en Wi-Fi.

laisser un avis
Attention à ne pas vous faire voler vos identifiants sur Facebook, Twitter, Windows Live et bien d’autres services en ligne depuis un point d’accès Wi-Fi ouvert. Voilà, en résumé, le message que tient à faire passer Eric Butler, qui a développé une petite extension Firefox déjà célèbre. Elle a été téléchargée plus de 130 000 fois en quelques heures, à tel point que le mot clé « firesheep » s’est retrouvé à la dixième place des recherches les plus souvent effectuées sur Google Etats-Unis hier.
agrandir la photo
Firesheep, présenté par Butler lors d’une conférence de « hacking » à San Diego, s’affiche dans un volet de Firefox. Le programme permet de capturer à la volée les cookies de connexion d’autres utilisateurs connectés au même point d’accès ouvert. L’outil peut récupérer, sans aucune intervention du pirate, des identifiants issus d’une trentaine de sites différents, d’Amazon à Google, en passant par Gowalla, Windows Live, Facebook et Twitter. Ils apparaissent simplement dans le volet. Il suffit alors de cliquer dessus pour se retrouver connecté sur le compte de la victime.

La faille : les cookies d'authentification

Comment cela fonctionne-t-il ? Eric Butler l’explique sur son blog :
« Quand vous vous “loguez” à un site vous commencez par soumettre votre nom d’utilisateur et votre mot de passe. Le serveur vérifie alors si un compte correspondant à cette information existe et, le cas échéant, vous répond avec un “cookie” qui est utilisé par votre navigateur pour toutes les requêtes suivantes. Les sites protègent très fréquemment votre mot de passe en cryptant votre identification initiale, mais il est rare, fait surprenant, que les sites cryptent le reste. Cela laisse le cookie (et l’utilisateur) vulnérable. Le détournement de session HTTP, que l’on appelle parfois “sidejacking”, intervient lorsqu’un attaquant s’empare du cookie de l’utilisateur, ce qui lui permet de faire tout ce que l’utilisateur peut faire sur un site particulier. Or, sur un réseau sans fil, les cookies sont comme “criés” en l’air, ce qui rend ces attaques extrêmement simples ».
C’est précisément pour dénoncer ce manque de sécurité côté sites Web que Butler a conçu son angoissant programme : « C’est un problème largement connu dont on a parlé jusqu’à plus soif, et pourtant les sites continuent de faillir à protéger leurs utilisateurs », explique-t-il.

Quelles solutions pour se prémunir contre Firesheep ?

Si c’est bien l’un des moyens les plus simples pour effectuer la manœuvre, Firesheep n’est pas le premier programme permettant de « pirater » des sessions HTTP, en théorie protégées par mot de passe, de cette manière. De nombreux logiciels, qui existent pour certains depuis bien des années, permettent le même genre d’attaques : « Très peu de choses ont changé après que chacun de ces logiciels ont été lancés. Ils ont eu leur succès médiatique à l’époque, et les gens ont oublié ou n’y ont pas fait attention. Et la plupart de ces outils ont seulement été utilisés par des gens passionnés de technologie, des hackers et des geeks. » A noter qu’il existe également des outils plus complexes permettant de faire de même… Sur des réseaux protégés par mot de passe.
En fournissant un outil de hacking « en un clic » Butler espère donc que Firesheep ira au-delà du simple phénomène médiatique et poussera les sites à parfaire leur sécurité afin d’éviter que leurs utilisateurs se fassent « voler » leur compte en quelques secondes. Pas sur qu’il y parvienne…
Malheureusement, il n’existe pas de solution miracle afin d’éviter ce genre de mésaventures. Toujours d’après Butler, « vous ne pouvez vous contenter d’éviter les sites attaqués par Firesheep. Il y a beaucoup de contenus mélangés sur le Web aujourd’hui, comme les boutons “j’aime” de Facebook, les widgets Twitter, et même les images intégrées hébergées sur Flickr et d’autres sites de partage de photos. A chaque fois que vous accédez à une page qui intègre ce type de contenus, votre navigateur envoie aussi le cookie d’authentification nécessaire.
Que faire alors pour se protéger ? Eviter les points d’accès ouverts paraît être une mesure de choix, même si elle est contraignante et rejetée par Butler, qui estime que ce n’est pas le problème : « il n’y a pas de vulnérabilité dans le Wi-Fi, il y en a sur les sites que vous utilisez. » Lui préfère mentionner d’autres extensions Firefox, comme HTTPS-Everywhere et Force-TLS, qui sont contraignants car difficiles à maîtriser et ne pas compatibles avec tous les sites à risque. Utiliser un VPN permet en revanche d’éviter les problèmes.
En fait, pour Butler, il n’y a qu’une seule solution pour éradiquer le problème : que les sites embrassent le HTTPS ou SSL/TLS, deux protocoles de communication qui permettent de crypter les échanges de données. En attendant, gare aux réseaux Wi-Fi ouverts !
envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Des photos de Jennifer Lawrence à la protection de l’entreprise, quelles réactions avoir ?
Consolidation dans la sécurité : Morpho rachète Dictao
Le big data et la sécurité : plus de données... plus de problèmes
Les drones, le nouveau cauchemar des départements informatiques ?
Test Sony CMT-X7CD : une mini-chaîne compacte et connectée (vidéo)
Quel est votre vecteur d’attaque préféré : PDF, Word ou ZIP ?
Lookout lève 150 millions de dollars pour s’attaquer aux grandes entreprises
Gowex, chronique d'un nouveau dérapage de la communauté financière
L’essentiel du Patch Tuesday de juillet 2014
Ceintures de sécurité et crash-test : des modèles pour la sécurité de l’information ?
Les nouveaux types de failles (et comment essayer de les contrer)
Ingenico se prépare à racheter GlobalCollect pour 820 millions d'euros
Les agences gouvernementales de sécurité, nécessairement schizophrènes ?
L’entreprise, invitée surprise de la conférence Google I/O
Test du Seagate Wireless Plus 2 To : un disque dur Wi-Fi pour smartphone et tablette (vidéo)
Test de la HP Photosmart 5525 : un multifonction Wi-Fi pas cher et de bonne qualité (Vidéo)
L’antivirus : 25 ans déjà
iOS 8 : Apple met la sécurité au cœur de ses annonces
Quand la sécurité devient éco-responsable
Piratage : Ebay, Orange, Target... A qui le tour ? (vidéo du jour)