Mise à jour de HTTPS Everywhere
Pour protéger contre les attaques du plug-in polémique Firesheep pour Firefox
Le 2010-11-24 17:19:19, par Hinault Romaric, Responsable .NET
Une mise à jour de du plug-in HTTPS Everywhere permet une protection contre les attaques avec Firesheep.
HTTPS Everywhere est une extension pour Firefox produit suite à une collaboration entre le projet Tor et l’Electronic Frontier Foundation. Il a pour but de chiffrer les communications sur un certain nombre de sites importants (Facebook, Twitter, Google…) et a été publié en juin par l’EFF et les membres du projet Tor.
Le plug-in a déjà été téléchargé 500 000 fois.
Firesheep quant à lui est une extension Firefox, téléchargée plus de 100.000 fois, qui permet à des pirates de récupérer les cookies d’identification qui transitent sur un wifi public lors de sessions http non chiffrées. Ces cookies « volés » permettent ensuite d’accéder directement aux comptes Facebook, Twittern Flickr et autre en se loguant automatiquement.
Cette mise à jour de HTTPS permet donc de protéger les utilsiateurs contre les attaques avec Firesheep et répond ainsi aux préoccupations croissantes concernant la vulnérabilité des sites webs.
« Ces nouvelles améliorations rendent HTTPS Everywhere beaucoup plus efficace pour contrecarrer une attaque de Firesheep ou d’un outil similaire » déclaré Peter Eckersley, Responsable à l'EFF. « Il va jouer un grand rôle dans la protection de vos comptes Facebook, Twitter ou Hotmail, ainsi que les payements par PayPal ».
Firesheep, un Proof of Concept polémique, fonctionne parce que de nombreux sites Web ne parviennent pas à utiliser correctement le protocole HTTPS.
Les précédentes parades avaient été stigmatisées par le créateur du PoC qui les comparait à une personne qui essayerait de crier plus fort qu'un ivrogne hurlant son numéro de carte de crédit dans un bar pour le protéger.
On attend donc avec intérêt sa réaction à cette mise à jour.
Le plug-in HTTPS Everywhere est à télécharger sur cette page
Source : Site d'Electronic Frontier Foundation
Et vous ?
Avez-vous déjà utilisé ce plug-in? Que pensez-vous de son utilisation ?
N'est-ce pas plutôt aux sites de sécuriser l'accès à leurs contenus ?
En collaboration avec Gordon Fowler
HTTPS Everywhere est une extension pour Firefox produit suite à une collaboration entre le projet Tor et l’Electronic Frontier Foundation. Il a pour but de chiffrer les communications sur un certain nombre de sites importants (Facebook, Twitter, Google…) et a été publié en juin par l’EFF et les membres du projet Tor.
Le plug-in a déjà été téléchargé 500 000 fois.
Firesheep quant à lui est une extension Firefox, téléchargée plus de 100.000 fois, qui permet à des pirates de récupérer les cookies d’identification qui transitent sur un wifi public lors de sessions http non chiffrées. Ces cookies « volés » permettent ensuite d’accéder directement aux comptes Facebook, Twittern Flickr et autre en se loguant automatiquement.
Cette mise à jour de HTTPS permet donc de protéger les utilsiateurs contre les attaques avec Firesheep et répond ainsi aux préoccupations croissantes concernant la vulnérabilité des sites webs.
« Ces nouvelles améliorations rendent HTTPS Everywhere beaucoup plus efficace pour contrecarrer une attaque de Firesheep ou d’un outil similaire » déclaré Peter Eckersley, Responsable à l'EFF. « Il va jouer un grand rôle dans la protection de vos comptes Facebook, Twitter ou Hotmail, ainsi que les payements par PayPal ».
Firesheep, un Proof of Concept polémique, fonctionne parce que de nombreux sites Web ne parviennent pas à utiliser correctement le protocole HTTPS.
Les précédentes parades avaient été stigmatisées par le créateur du PoC qui les comparait à une personne qui essayerait de crier plus fort qu'un ivrogne hurlant son numéro de carte de crédit dans un bar pour le protéger.
On attend donc avec intérêt sa réaction à cette mise à jour.
Source : Site d'Electronic Frontier Foundation
Et vous ?
En collaboration avec Gordon Fowler
-
elias551Membre du ClubC'est quoi le rapport avec Firefox ?
La faille vient pas du navigateur, c'est un simple vol de cookie, après si les développeurs sont pas capables de faire des extensions sécurisées, c'est une autre histoirele 24/11/2010 à 20:41 -
minus92Membre à l'essaile 25/11/2010 à 1:20
-
FlaburganModérateurEuh, pour utiliser le HTTPS, il faut que le site sur lequel on surfe détienne un certificat... Je vois pas comment une extension du navigateur pourrait forcer à crypter les transmissions...le 25/11/2010 à 9:53
-
UtherExpert éminent séniorRien a voir avec Firefox. Avec firesheep a été concu sous la forme d'une extension firefox, mais il aurait très bien pu être une programme indépendant(l'auteur a juste choisi de faire une extension firefox car ca lui permettait de faire plus parler)
E comme le problème n'est pas liée au navigateur mais aux sites, il peut voler les cookies de tous les navigateur.
En effet, mais certains sites qui ont un certificat ne l'utilisent pas par défaut. Cette extension force l'utilisation du certificat si c'est possible.le 25/11/2010 à 11:02 -
jimb2kMembre habituéavec tous ces plugins , le piratage de firefox va être un peu facilele 24/11/2010 à 17:29