Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mise à jour de HTTPS Everywhere
Pour protéger contre les attaques du plug-in polémique Firesheep pour Firefox

Le , par Hinault Romaric

0PARTAGES

2  0 
Une mise à jour de du plug-in HTTPS Everywhere permet une protection contre les attaques avec Firesheep.

HTTPS Everywhere est une extension pour Firefox produit suite à une collaboration entre le projet Tor et l’Electronic Frontier Foundation. Il a pour but de chiffrer les communications sur un certain nombre de sites importants (Facebook, Twitter, Google…) et a été publié en juin par l’EFF et les membres du projet Tor.

Le plug-in a déjà été téléchargé 500 000 fois.

Firesheep quant à lui est une extension Firefox, téléchargée plus de 100.000 fois, qui permet à des pirates de récupérer les cookies d’identification qui transitent sur un wifi public lors de sessions http non chiffrées. Ces cookies « volés » permettent ensuite d’accéder directement aux comptes Facebook, Twittern Flickr et autre en se loguant automatiquement.

Cette mise à jour de HTTPS permet donc de protéger les utilsiateurs contre les attaques avec Firesheep et répond ainsi aux préoccupations croissantes concernant la vulnérabilité des sites webs.

« Ces nouvelles améliorations rendent HTTPS Everywhere beaucoup plus efficace pour contrecarrer une attaque de Firesheep ou d’un outil similaire » déclaré Peter Eckersley, Responsable à l'EFF. « Il va jouer un grand rôle dans la protection de vos comptes Facebook, Twitter ou Hotmail, ainsi que les payements par PayPal ».

Firesheep, un Proof of Concept polémique, fonctionne parce que de nombreux sites Web ne parviennent pas à utiliser correctement le protocole HTTPS.

Les précédentes parades avaient été stigmatisées par le créateur du PoC qui les comparait à une personne qui essayerait de crier plus fort qu'un ivrogne hurlant son numéro de carte de crédit dans un bar pour le protéger.

On attend donc avec intérêt sa réaction à cette mise à jour.

Le plug-in HTTPS Everywhere est à télécharger sur cette page

Source : Site d'Electronic Frontier Foundation

Et vous ?

Avez-vous déjà utilisé ce plug-in? Que pensez-vous de son utilisation ?
N'est-ce pas plutôt aux sites de sécuriser l'accès à leurs contenus ?

En collaboration avec Gordon Fowler

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de elias551
Membre du Club https://www.developpez.com
Le 24/11/2010 à 20:41
Citation Envoyé par jimb2k Voir le message
avec tous ces plugins , le piratage de firefox va être un peu facile
C'est quoi le rapport avec Firefox ?

La faille vient pas du navigateur, c'est un simple vol de cookie, après si les développeurs sont pas capables de faire des extensions sécurisées, c'est une autre histoire
1  1 
Avatar de minus92
Membre à l'essai https://www.developpez.com
Le 25/11/2010 à 1:20
Citation Envoyé par elias551 Voir le message
C'est quoi le rapport avec Firefox ?

La faille vient pas du navigateur, c'est un simple vol de cookie, après si les développeurs sont pas capables de faire des extensions sécurisées, c'est une autre histoire
Ah que, dans le Mille elias551!
0  0 
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 25/11/2010 à 9:53
Euh, pour utiliser le HTTPS, il faut que le site sur lequel on surfe détienne un certificat... Je vois pas comment une extension du navigateur pourrait forcer à crypter les transmissions...
0  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 25/11/2010 à 11:02
Citation Envoyé par jimb2k Voir le message
avec tous ces plugins , le piratage de firefox va être un peu facile
Rien a voir avec Firefox. Avec firesheep a été concu sous la forme d'une extension firefox, mais il aurait très bien pu être une programme indépendant(l'auteur a juste choisi de faire une extension firefox car ca lui permettait de faire plus parler)
E comme le problème n'est pas liée au navigateur mais aux sites, il peut voler les cookies de tous les navigateur.

Citation Envoyé par Flaburgan Voir le message
Euh, pour utiliser le HTTPS, il faut que le site sur lequel on surfe détienne un certificat... Je vois pas comment une extension du navigateur pourrait forcer à crypter les transmissions...
En effet, mais certains sites qui ont un certificat ne l'utilisent pas par défaut. Cette extension force l'utilisation du certificat si c'est possible.
0  0 
Avatar de jimb2k
Membre habitué https://www.developpez.com
Le 24/11/2010 à 17:29
avec tous ces plugins , le piratage de firefox va être un peu facile
1  2