Firefox : une extension de piratage téléchargée 100 000 fois
Pose le problème des cookies non chiffrés

Le , par Idelways, Expert éminent sénior
Mise à jour du 09/11/2010

Si « Firesheep », l'extension polémique pour Firefox, a réussi le pari de sensibiliser les internautes et certains sites au besoin impérieux de sécuriser les authentifications, elle n'en reste pas moins, concrètement, un outil redoutable de piratage très (trop ?) « user friendly ».

Cette extension qui permet de récupérer des cookies sur les réseaux Wi-Fi ouverts et d'accéder ainsi à de nombreux services en se jouant des étapes d'identification (lire ci-avant), a valu de nombreuses inimitiés à son créateur, Eric Butler.

Plusieurs développeurs, assez choqués que leur navigateur préféré puisse mettre le piratage à la portée de tous, ont donc décidé de créer la parade. Plusieurs solutions anti-Firesheep ont ainsi vu le jour, comme BlackSheep.

BlackSheep est aussi une extension pour Firefox. Elle utilise même une bonne partie du code de Firesheep.

BlackSheep détecte si une instance de Firesheep balaye le réseau pour usurper les sessions en répandant dans le réseau de faux cookies d'identification.

Bien qu'elle ne puisse empêcher Firesheep de collecter les vraies cookies, elle essaye de l'induire en erreur, affiche l'adresse IP de l'utilisateur indiscret et recommande à la victime potentielle de fermer sa session.

Une bonne prévention. Et surtout une illustration de la vitesse de réaction des développeurs.

Une rapidité qui fait défaut, diront certains, aux sites populaires qui ont du mal à se décider à passer à l'authentification sécurisée.

BlackSheep est disponible en téléchargement gratuit sur le site de son éditeur

Source : Zscaler

Et vous ?

Allez-vous installer BlackSheep ?
Pensez-vous que les sites devraient tous rapidement passer à l'authentification sécurisée ?

En collaboration avec Gordon Fowler

Firefox : une extension de piratage téléchargée 100 000 fois
« Firesheep » pose le problème de la sécurité des cookies, des Wi-Fi et des sites non sécurisés

Une extension du navigateur Firefox, baptisée Firesheep, est en fait un usurpateur de cookies. Elle a été téléchargée 104 000 fois en 24 heures entre curieux et... malintentionnés.

L'extension permet à n'importe qui de récupérer des identifiants (puis de les utiliser pour se connecter) aux comptes des utilisateurs connectés via un réseau Wi-Fi non-sécurisé à un site qui n'utilise pas de connexions HTTPS sécurisées. Parmi ceux-ci on compte de nombreux sites populaires, dont Facebook et Twitter

Firesheep a été développée par Eric Butler pour attirer l'attention des acteurs majeurs du web, social notamment, sur un laxisme latent en terme d'identification sécurisée.

Et cela a marché. Trop même, ce développeur américain indépendant déclare sur son blog qu'il ne s'attendait pas à ce que « Firesheep » arrive dans le Top 10 des requêtes Google les plus recherchées aux États-Unis.

Butler explique que sur un réseau wifi non sécurisé, les cookies ne sont pas forcément chiffrés et sont donc faciles à intercepter. Il est donc aisé de les copier sur son navigateur et de se faire passer pour quelqu'un d'autre.

Un procédé que son extension automatise et rend très facile.

Si elle ne permet pas directement d'avoir le mot de passe de l'utilisateur, elle ouvre néanmoins la porte au vol d'une foultitude d'informations, voir d'effectuer des transactions bancaires.

Cette vidéo explique en image le fonctionnement de cet exploit :



Mais Eric Butler ne s'est pas expliqué sur les questions d'éthiques.

Faire le buzz autour d'un problème de sécurité justifie-t-il de mettre entre les mains de 100 000 pirates potentiels une arme aussi redoutable ?

Facebook, le premier réseau mondial et par conséquent le plus exposé, a vite réagit et affirme qu'un mécanisme d'identification sécurisé est en cours de test.

Il était temps ?

Source : blog d'Eric Butler

Et vous ?

Que pensez-vous de la démarche d'Eric Butler ?

En collaboration avec Gordon Fowler


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Arpheus Arpheus - Membre du Club https://www.developpez.com
le 26/10/2010 à 14:16
Que pensez-vous de la démarche d'Eric Butler ?

Efficace, mais extrème.
Transformer une pseudo menace en réelle menace à la portée de tous était en effet le meilleur moyen d'obtenir une réaction rapide et efficace de ces sites internet.
En revanche, m'est avis qu'il n'est pas à l'abris de poursuites juridiques quelconques
Avatar de Marco46 Marco46 - Expert éminent https://www.developpez.com
le 26/10/2010 à 14:27
Butler explique que sur un réseau wifi non sécurisé, les cookies ne sont pas forcément cryptés et sont donc faciles à intercepter. Il est donc aisé de les copier sur son navigateur et de se faire passer pour quelqu'un d'autre.

[MODE_MAITRE_CAPELLO]
On chiffre un message avec une clef publique (asymétrique) ou de session (symétrique).
On déchiffre un message chiffré avec la clef privée correspondante ou la clef de session utilisée.
Et quand on a pas la clef privée ou de session, l'opération consistant à chercher à obtenir le message en clair est appelée décryptage.

Crypter n'existe pas et fait perdre du sens aux mots.
[/MODE_MAITRE_CAPELLO]
Avatar de Neko Neko - Membre chevronné https://www.developpez.com
le 26/10/2010 à 14:38
Citation Envoyé par Marco46  Voir le message
[MODE_MAITRE_CAPELLO]
Crypter n'existe pas et fait perdre du sens aux mots.
[/MODE_MAITRE_CAPELLO]

Mettre dans une crypte ?
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior https://www.developpez.com
le 26/10/2010 à 14:41
@Marco46

Tout à fait.

Merci pour ce rappel, c'est corrigé

Cordialement,

Gordon
Avatar de Flaburgan Flaburgan - Modérateur https://www.developpez.com
le 26/10/2010 à 15:01
Il a créé l'extension, mais il n'a pas fait de tuto sur comment l'utiliser non ? Donc il n'y a pas de réel PoC...
Avatar de Julien Bodin Julien Bodin - Membre éclairé https://www.developpez.com
le 26/10/2010 à 15:13
Citation Envoyé par Marco46  Voir le message
[MODE_MAITRE_CAPELLO] [...]
[/MODE_MAITRE_CAPELLO]

La dernière fois que j'ai rappelé ça je me suis fait incendier
Avatar de Hellwing Hellwing - Membre chevronné https://www.developpez.com
le 26/10/2010 à 15:13
Citation Envoyé par Flaburgan  Voir le message
Il a créé l'extension, mais il n'a pas fait de tuto sur comment l'utiliser non ? Donc il n'y a pas de réel PoC...

C'est en fait pire qu'un PoC : Non seulement il expose la faille au grand jour, mais en plus il propose un outil pratique à la portée de tout le monde pour l'exploiter. Même pas besoin de lire une doc technique pour savoir comment expoiter la faille, l'extension Firefox a mâché tout le travail.
Avatar de dams78 dams78 - Membre chevronné https://www.developpez.com
le 26/10/2010 à 15:16
Ya plus simpe il me semble : un coup de wireshark une fois connecté au wifi.
Avatar de Marco46 Marco46 - Expert éminent https://www.developpez.com
le 26/10/2010 à 15:19
Citation Envoyé par julien.1486  Voir le message
La dernière fois que j'ai rappelé ça je me suis fait incendier

Je me fais régulièrement traiter de facho avec cette remarque mais comme je suis très très têtu ...
Avatar de spawntux spawntux - Membre confirmé https://www.developpez.com
le 26/10/2010 à 16:42
Bonjour,

Ce n'est en rien une faille, ni un PoC d'ailleurs c'est juste un soft add on firefox permettant de récupérer le trafic et d'envoyer une requête.

Aucun réel exploit la dedans sauf la facilité. Wireshark fait de même, tcpdump et j'en passe.

En gros ce n'est en rien un exploit c'est juste un outil, en même temps aller sur son site bancaire depuis un wifi publique (sans tunnel ssh ni rien) faut être idiot non ? Il n'y a que moi qui le pense ?

Ensuite nombreux ici sont les gens qui utilise des mots sans connaitre leurs réel portée donc il serait intéressant de s'abstenir.

Bien cordialement
Offres d'emploi IT
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Architecte sécurité des systèmes d'information embarqués H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil