Firefox : une extension de piratage téléchargée 100 000 fois
Pose le problème des cookies non chiffrés
Le 2010-10-26 13:49:45, par Idelways, Expert éminent sénior
Mise à jour du 09/11/2010
Si « Firesheep », l'extension polémique pour Firefox, a réussi le pari de sensibiliser les internautes et certains sites au besoin impérieux de sécuriser les authentifications, elle n'en reste pas moins, concrètement, un outil redoutable de piratage très (trop ?) « user friendly ».
Cette extension qui permet de récupérer des cookies sur les réseaux Wi-Fi ouverts et d'accéder ainsi à de nombreux services en se jouant des étapes d'identification (lire ci-avant), a valu de nombreuses inimitiés à son créateur, Eric Butler.
Plusieurs développeurs, assez choqués que leur navigateur préféré puisse mettre le piratage à la portée de tous, ont donc décidé de créer la parade. Plusieurs solutions anti-Firesheep ont ainsi vu le jour, comme BlackSheep.
BlackSheep est aussi une extension pour Firefox. Elle utilise même une bonne partie du code de Firesheep.
BlackSheep détecte si une instance de Firesheep balaye le réseau pour usurper les sessions en répandant dans le réseau de faux cookies d'identification.
Bien qu'elle ne puisse empêcher Firesheep de collecter les vraies cookies, elle essaye de l'induire en erreur, affiche l'adresse IP de l'utilisateur indiscret et recommande à la victime potentielle de fermer sa session.
Une bonne prévention. Et surtout une illustration de la vitesse de réaction des développeurs.
Une rapidité qui fait défaut, diront certains, aux sites populaires qui ont du mal à se décider à passer à l'authentification sécurisée.
Source : Zscaler
Et vous ?
En collaboration avec Gordon Fowler
Firefox : une extension de piratage téléchargée 100 000 fois
« Firesheep » pose le problème de la sécurité des cookies, des Wi-Fi et des sites non sécurisés
Une extension du navigateur Firefox, baptisée Firesheep, est en fait un usurpateur de cookies. Elle a été téléchargée 104 000 fois en 24 heures entre curieux et... malintentionnés.
L'extension permet à n'importe qui de récupérer des identifiants (puis de les utiliser pour se connecter) aux comptes des utilisateurs connectés via un réseau Wi-Fi non-sécurisé à un site qui n'utilise pas de connexions HTTPS sécurisées. Parmi ceux-ci on compte de nombreux sites populaires, dont Facebook et Twitter
Firesheep a été développée par Eric Butler pour attirer l'attention des acteurs majeurs du web, social notamment, sur un laxisme latent en terme d'identification sécurisée.
Et cela a marché. Trop même, ce développeur américain indépendant déclare sur son blog qu'il ne s'attendait pas à ce que « Firesheep » arrive dans le Top 10 des requêtes Google les plus recherchées aux États-Unis.
Butler explique que sur un réseau wifi non sécurisé, les cookies ne sont pas forcément chiffrés et sont donc faciles à intercepter. Il est donc aisé de les copier sur son navigateur et de se faire passer pour quelqu'un d'autre.
Un procédé que son extension automatise et rend très facile.
Si elle ne permet pas directement d'avoir le mot de passe de l'utilisateur, elle ouvre néanmoins la porte au vol d'une foultitude d'informations, voir d'effectuer des transactions bancaires.
Cette vidéo explique en image le fonctionnement de cet exploit :
Mais Eric Butler ne s'est pas expliqué sur les questions d'éthiques.
Faire le buzz autour d'un problème de sécurité justifie-t-il de mettre entre les mains de 100 000 pirates potentiels une arme aussi redoutable ?
Facebook, le premier réseau mondial et par conséquent le plus exposé, a vite réagit et affirme qu'un mécanisme d'identification sécurisé est en cours de test.
Il était temps ?
Source : blog d'Eric Butler
Et vous ?
En collaboration avec Gordon Fowler
Si « Firesheep », l'extension polémique pour Firefox, a réussi le pari de sensibiliser les internautes et certains sites au besoin impérieux de sécuriser les authentifications, elle n'en reste pas moins, concrètement, un outil redoutable de piratage très (trop ?) « user friendly ».
Cette extension qui permet de récupérer des cookies sur les réseaux Wi-Fi ouverts et d'accéder ainsi à de nombreux services en se jouant des étapes d'identification (lire ci-avant), a valu de nombreuses inimitiés à son créateur, Eric Butler.
Plusieurs développeurs, assez choqués que leur navigateur préféré puisse mettre le piratage à la portée de tous, ont donc décidé de créer la parade. Plusieurs solutions anti-Firesheep ont ainsi vu le jour, comme BlackSheep.
BlackSheep est aussi une extension pour Firefox. Elle utilise même une bonne partie du code de Firesheep.
BlackSheep détecte si une instance de Firesheep balaye le réseau pour usurper les sessions en répandant dans le réseau de faux cookies d'identification.
Bien qu'elle ne puisse empêcher Firesheep de collecter les vraies cookies, elle essaye de l'induire en erreur, affiche l'adresse IP de l'utilisateur indiscret et recommande à la victime potentielle de fermer sa session.
Une bonne prévention. Et surtout une illustration de la vitesse de réaction des développeurs.
Une rapidité qui fait défaut, diront certains, aux sites populaires qui ont du mal à se décider à passer à l'authentification sécurisée.
Source : Zscaler
Et vous ?
En collaboration avec Gordon Fowler
Firefox : une extension de piratage téléchargée 100 000 fois
« Firesheep » pose le problème de la sécurité des cookies, des Wi-Fi et des sites non sécurisés
Une extension du navigateur Firefox, baptisée Firesheep, est en fait un usurpateur de cookies. Elle a été téléchargée 104 000 fois en 24 heures entre curieux et... malintentionnés.
L'extension permet à n'importe qui de récupérer des identifiants (puis de les utiliser pour se connecter) aux comptes des utilisateurs connectés via un réseau Wi-Fi non-sécurisé à un site qui n'utilise pas de connexions HTTPS sécurisées. Parmi ceux-ci on compte de nombreux sites populaires, dont Facebook et Twitter
Firesheep a été développée par Eric Butler pour attirer l'attention des acteurs majeurs du web, social notamment, sur un laxisme latent en terme d'identification sécurisée.
Et cela a marché. Trop même, ce développeur américain indépendant déclare sur son blog qu'il ne s'attendait pas à ce que « Firesheep » arrive dans le Top 10 des requêtes Google les plus recherchées aux États-Unis.
Butler explique que sur un réseau wifi non sécurisé, les cookies ne sont pas forcément chiffrés et sont donc faciles à intercepter. Il est donc aisé de les copier sur son navigateur et de se faire passer pour quelqu'un d'autre.
Un procédé que son extension automatise et rend très facile.
Si elle ne permet pas directement d'avoir le mot de passe de l'utilisateur, elle ouvre néanmoins la porte au vol d'une foultitude d'informations, voir d'effectuer des transactions bancaires.
Cette vidéo explique en image le fonctionnement de cet exploit :
Mais Eric Butler ne s'est pas expliqué sur les questions d'éthiques.
Faire le buzz autour d'un problème de sécurité justifie-t-il de mettre entre les mains de 100 000 pirates potentiels une arme aussi redoutable ?
Facebook, le premier réseau mondial et par conséquent le plus exposé, a vite réagit et affirme qu'un mécanisme d'identification sécurisé est en cours de test.
Il était temps ?
Source : blog d'Eric Butler
Et vous ?
En collaboration avec Gordon Fowler
-
Marco46Expert éminent sénior[MODE_MAITRE_CAPELLO]Butler explique que sur un réseau wifi non sécurisé, les cookies ne sont pas forcément cryptés et sont donc faciles à intercepter. Il est donc aisé de les copier sur son navigateur et de se faire passer pour quelqu'un d'autre.
On chiffre un message avec une clef publique (asymétrique) ou de session (symétrique).
On déchiffre un message chiffré avec la clef privée correspondante ou la clef de session utilisée.
Et quand on a pas la clef privée ou de session, l'opération consistant à chercher à obtenir le message en clair est appelée décryptage.
Crypter n'existe pas et fait perdre du sens aux mots.
[/MODE_MAITRE_CAPELLO]le 26/10/2010 à 14:27 -
NekoMembre chevronnéle 26/10/2010 à 14:38
-
ArpheusMembre du ClubEfficace, mais extrème.Que pensez-vous de la démarche d'Eric Butler ?
Transformer une pseudo menace en réelle menace à la portée de tous était en effet le meilleur moyen d'obtenir une réaction rapide et efficace de ces sites internet.
En revanche, m'est avis qu'il n'est pas à l'abris de poursuites juridiques quelconquesle 26/10/2010 à 14:16 -
Gordon FowlerExpert éminent sénior@Marco46
Tout à fait.
Merci pour ce rappel, c'est corrigé
Cordialement,
Gordonle 26/10/2010 à 14:41 -
spawntuxMembre confirméJe ne vois pas en quoi le fait que ca sois une extension change quelque chose a la donne et surtout en quoi le fait de contrôlé des extensions rendrais la choses plus secure ? ca servirait juste a cacher.
Envoyé par smoufid
Plus ou moins faux c'est a dire que cela dépend de l'entreprise, généralement le proxy est un proxy authentifié qui se sert du ldap en place de l'entreprise ou des comptes du domaines en l'occurence ca risque des laisser des traces dans les logs du proxy.
Ce genre controle ne pas forcement pas etre mis en place sur hotspot public bien qu'il doit y avoir moyen d'identifier la personne via ca session au hotspot sfr par exemple mais faudrait il encore qu'un admin ai acces aux logs.Tout reseau est vulnerable sur ce point wifi ou pas (meme si beaucoup de gens vont utiliser la dite extension seulement en wifi ou reseau hub car aucune autre attaque a mettre en oeuvre).En d'autres termes, comment pourrait-on empêcher l'exploitation des cookies sur un wi-fi filtré ? Est-ce que tout réseau wi-fi même à accès restreint est vulnérable sur ce point ?
La premiere solution reste la sensibilisation des utilisateurs pas aller sur des sites contenant des datas a risque (webmail ? facebook ?) c'est comme ci tu roulais a 230 km/h sur une route dont tu ne connais rien, ni l'etat du bitume ni la topographie.
Seconde solution ca revient a ce que j'ai mis plus haut une politique de sécurité plus ou moins sévère.Les cookies transitent sur wireshark hein apres tu as juste a formé ton cookie (c'est 3 lignes de python). Encore une fois rien n'est problématique ici
Sinon, wireshark permet bien l'écoute du réseau, mais il ne met pas à disposition les cookies, sauf s'il s'agit de l'envoi d'information d'authentification en clair (http), effectivement comme pour tout snifer c'est problématique
je vois vraiment pas ou est le souci les données arrives, elles circulent dont on peut les lires apres chiffré ou pas c'est une autre histoire et c'est a toi plus ou moins de faire attention, il n'y a pas de solution miracle mais la sensibilisation des personnes en leurs expliquant vraiment ce qu'il en est semble la meilleur solution, j'insiste sur le vraiment les reportages divers qui font naitres la peur chez les gens c'est nul et ca fait pas avancer les mentalites ca permet juste de creer des moutons.le 28/10/2010 à 13:43 -
Julien BodinMembre éclairéC'est juste, mais la plupart des gens préfèrent qu'on leur dise quoi penser.
Peut-on leur en vouloir ? Tout le monde n'est pas professionnel de l'informatique et préfère se fier à un avis qui semble argumenté parce qu'ils ont autre chose à réfléchir.
Je pense que si on transposait la problématique dans un contexte autre que l'informatique c'est peut-être nous qui réagirions comme des "moutons" alors que des spécialistes dans le domaine en question seraient en train de dire ce qui vient d'être dit.
Le cerveau humain fonctionne à l'économie d'énergie, dans le sens où quand il peut il évite de réfléchir trop violemment. Ca peut sembler débile mais je pense qu'on serait peut-être pas là pour en discuter s'il en avait été autrement.le 01/11/2010 à 16:53 -
Julien BodinMembre éclairéle 26/10/2010 à 15:13
-
dams78Membre expertYa plus simpe il me semble : un coup de wireshark une fois connecté au wifi.le 26/10/2010 à 15:16
-
Marco46Expert éminent séniorJe me fais régulièrement traiter de facho avec cette remarque mais comme je suis très très têtu ...le 26/10/2010 à 15:19
-
alband85Membre éclairéJe t'offre tout mon soutien : la précision est importante.
Mais on me traite régulièrement de facho aussi (pas ici). le 01/11/2010 à 16:34