Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

Mise à jour de HTTPS Everywhere
Pour protéger contre les attaques du plug-in polémique Firesheep pour Firefox

Le , par Hinault Romaric, Responsable .NET
Une mise à jour de du plug-in HTTPS Everywhere permet une protection contre les attaques avec Firesheep.

HTTPS Everywhere est une extension pour Firefox produit suite à une collaboration entre le projet Tor et l’Electronic Frontier Foundation. Il a pour but de chiffrer les communications sur un certain nombre de sites importants (Facebook, Twitter, Google…) et a été publié en juin par l’EFF et les membres du projet Tor.

Le plug-in a déjà été téléchargé 500 000 fois.

Firesheep quant à lui est une extension Firefox, téléchargée plus de 100.000 fois, qui permet à des pirates de récupérer les cookies d’identification qui transitent sur un wifi public lors de sessions http non chiffrées. Ces cookies « volés » permettent ensuite d’accéder directement aux comptes Facebook, Twittern Flickr et autre en se loguant automatiquement.

Cette mise à jour de HTTPS permet donc de protéger les utilsiateurs contre les attaques avec Firesheep et répond ainsi aux préoccupations croissantes concernant la vulnérabilité des sites webs.

« Ces nouvelles améliorations rendent HTTPS Everywhere beaucoup plus efficace pour contrecarrer une attaque de Firesheep ou d’un outil similaire » déclaré Peter Eckersley, Responsable à l'EFF. « Il va jouer un grand rôle dans la protection de vos comptes Facebook, Twitter ou Hotmail, ainsi que les payements par PayPal ».

Firesheep, un Proof of Concept polémique, fonctionne parce que de nombreux sites Web ne parviennent pas à utiliser correctement le protocole HTTPS.

Les précédentes parades avaient été stigmatisées par le créateur du PoC qui les comparait à une personne qui essayerait de crier plus fort qu'un ivrogne hurlant son numéro de carte de crédit dans un bar pour le protéger.

On attend donc avec intérêt sa réaction à cette mise à jour.

Le plug-in HTTPS Everywhere est à télécharger sur cette page

Source : Site d'Electronic Frontier Foundation

Et vous ?

Avez-vous déjà utilisé ce plug-in? Que pensez-vous de son utilisation ?
N'est-ce pas plutôt aux sites de sécuriser l'accès à leurs contenus ?

En collaboration avec Gordon Fowler


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de jimb2k jimb2k - Membre habitué https://www.developpez.com
le 24/11/2010 à 17:29
avec tous ces plugins , le piratage de firefox va être un peu facile
Avatar de elias551 elias551 - Membre du Club https://www.developpez.com
le 24/11/2010 à 20:41
Citation Envoyé par jimb2k  Voir le message
avec tous ces plugins , le piratage de firefox va être un peu facile

C'est quoi le rapport avec Firefox ?

La faille vient pas du navigateur, c'est un simple vol de cookie, après si les développeurs sont pas capables de faire des extensions sécurisées, c'est une autre histoire
Avatar de minus92 minus92 - Membre à l'essai https://www.developpez.com
le 25/11/2010 à 1:20
Citation Envoyé par elias551  Voir le message
C'est quoi le rapport avec Firefox ?

La faille vient pas du navigateur, c'est un simple vol de cookie, après si les développeurs sont pas capables de faire des extensions sécurisées, c'est une autre histoire

Ah que, dans le Mille elias551!
Avatar de Flaburgan Flaburgan - Modérateur https://www.developpez.com
le 25/11/2010 à 9:53
Euh, pour utiliser le HTTPS, il faut que le site sur lequel on surfe détienne un certificat... Je vois pas comment une extension du navigateur pourrait forcer à crypter les transmissions...
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 25/11/2010 à 11:02
Citation Envoyé par jimb2k  Voir le message
avec tous ces plugins , le piratage de firefox va être un peu facile

Rien a voir avec Firefox. Avec firesheep a été concu sous la forme d'une extension firefox, mais il aurait très bien pu être une programme indépendant(l'auteur a juste choisi de faire une extension firefox car ca lui permettait de faire plus parler)
E comme le problème n'est pas liée au navigateur mais aux sites, il peut voler les cookies de tous les navigateur.

Citation Envoyé par Flaburgan  Voir le message
Euh, pour utiliser le HTTPS, il faut que le site sur lequel on surfe détienne un certificat... Je vois pas comment une extension du navigateur pourrait forcer à crypter les transmissions...

En effet, mais certains sites qui ont un certificat ne l'utilisent pas par défaut. Cette extension force l'utilisation du certificat si c'est possible.
Offres d'emploi IT
Assistant(e) chef de projets cartes printemps & crm h/f
Printemps - Ile de France - Paris (75000)
Analyste fonctionnel web h/f
GROUPE SMA - Ile de France - Paris (75000)
ASSISTANTE COMMERCIALE (H/F)
AGENCE SUPPLAY - Basse Normandie - Lisieux (14100)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil