GRATUIT

Vos offres d'emploi informatique

Développeurs, chefs de projets, ingénieurs, informaticiens
Postez gratuitement vos offres d'emploi ici visibles par 4 000 000 de visiteurs uniques par mois

emploi.developpez.com

FaceNiff : une application Android détourne les sessions d'identification
Et relance le débat sur la nécessité du "tout-SSL"

Le , par Idelways, Expert éminent sénior
Un développeur vient de lancer une application Android capable d'intercepter et voler les sessions Facebook, Twitter et d'autres services sur les réseaux sans fil, et relance le débat sur la nécessité de forcer l'utilisation des connexions sécurisées amorcé par l'affaire Firesheep.

À l'image de cette extension Firefox, l'application Android baptisée FaceNiff peut-être utilisée pour voler les sessions d'authentification non chiffrées avec une interface très simplifiée et « user friendly ».

Cette application permet aux pirates en herbe de voler des informations confidentielles sensibles, même sur les réseaux Wi-Fi protégés par les mécanismes de sécurisation WPA et WPA2.
FaceNiff utilise pour ce faire, la technique bien connue d'ARP spoofing afin de transiter le trafic du réseau local sur l'appareil du pirate, pour peu que ce dernier ait accès au réseau via la clé de sécurité.

[ame="http://www.youtube.com/watch?v=3bgwVM7t_s4"]Démonstration[/ame]

En soi, cette application n'a rien d'exceptionnel dans la mesure où elle utilise, d'une manière plutôt perfectible, des techniques connues depuis des années.

Son réel danger réside dans le fait qu'elle offre ses services à des utilisateurs lambda sans compétences techniques particulières en piratage.

Par ailleurs, si Firesheep a été conçue pour créer le buzz autour de l'absolue nécessité des authentifications SSL, le concepteur de FaceNiff semble avoir des intentions moins chevaleresques, puisqu'il anime un forum de support pour son application.

Les grands acteurs du Web se sont attelés à rattraper leur retard en terme de connexions sécurisées, mais les implémentations actuelles peuvent être détournées du moment que ces services ne forcent pas l'utilisation du SSL comme seul et unique moyen de connexion.

Source : forum de FaceNiff, son site officiel

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Mercenary Developer Mercenary Developer - Membre habitué https://www.developpez.com
le 07/06/2011 à 9:55
Bonjour,

Oui pourquoi les sites qui on les moyens de se payer une authentification auprès de VériSign ne redirige pas directement les appels en http vers du https ? Bon attention car si https://www.facebook.com/ fonctionne, ce n'est pas le cas de https://www.facebook.fr/ qui n'a pas de signature authentifié et donc on a droit au message .

Il faudrait trouver aussi un deuxième système de cryptage libre, pour éviter le message d'avertissement qui disuade beaucoup (le "Je comprends les risques") pour tout ceux qui n'ont pas les moyen de payer VériSign.

Cordialement.
Avatar de Grimly_old Grimly_old - Membre averti https://www.developpez.com
le 07/06/2011 à 11:08
Citation Envoyé par Lovmy  Voir le message
Bonjour,

Oui pourquoi les sites qui on les moyens de se payer une authentification auprès de VériSign ne redirige pas directement les appels en http vers du https ? Bon attention car si https://www.facebook.com/ fonctionne, ce n'est pas le cas de https://www.facebook.fr/ qui n'a pas de signature authentifié et donc on a droit au message .

Il faudrait trouver aussi un deuxième système de cryptage libre, pour éviter le message d'avertissement qui disuade beaucoup (le "Je comprends les risques") pour tout ceux qui n'ont pas les moyen de payer VériSign.

Cordialement.

Bonjour,

Je crois que tu as mal compris l'attaque. Il utilise la technique du "man in the middle" pour intercepter ta communication réseau. Du coup même tes messages d'erreur ou le SSL n'y peux rien. Une fois qu'il a intercepté la clé qui l'intéresse, il te donne l'accès au compte pour que tu puisse en faire ce que tu veux (ici rajouter un message sur son mur).

Après c'est juste pour faire peur aux paranos. A part dans un lycée ou une université entre potes pour s'amuser (ou créer de fausses rumeurs) ou une attaque à l'image de certains VIP qui ne sont pas vigilants, je vois très mal l'utilisation d'un tel procédé.
Avatar de Refuznik Refuznik - Membre régulier https://www.developpez.com
le 07/06/2011 à 13:22
@Grimly, tu peux aussi l'utiliser sur tout les hotspots en libre accès, non ?
Avatar de Grimly_old Grimly_old - Membre averti https://www.developpez.com
le 07/06/2011 à 13:48
Citation Envoyé par Refuznik  Voir le message
@Grimly, tu peux aussi l'utiliser sur tout les hotspots en libre accès, non ?

Oui mais ça reste très local car il faut se placer, comme le nom de l'attaque l'indique (man in the middle), au milieu d'une communication, c'est à dire attaquer sur le réseau de la même borne wifi.

Après dans l'application réelle de l'attaque. Monsieur tout le monde sur son banc qui est simple utilisateur de la borne d'à coté n'intéresse personne. Ce n'est pas fait pour la collecte et manipulation d'informations en masse car les jetons d'identification de facebook ont une durée limité.
Dans un établissement scolaire, c'est très facile d'imaginer des lycéens se faire ce genre de conneries. Un pirate peux aussi suivre un VIP tel un paparazzi et voler son identité un moment. Mais ça s'arrête là.
Avatar de Mercenary Developer Mercenary Developer - Membre habitué https://www.developpez.com
le 07/06/2011 à 14:25
Re,

OK j'avais pas saisie, donc en fait on capte l'échange de clef publique pour ensuite décoder et réencoder les données entre les deux parties (le serveur web https et le navigateur de l'utilisateur).

Petite question, existe-t-il un plug'in pour Firefox lui permettant de chercher la clef publique sur une carte à puce et peut-on configurer Apache (par exemple) pour qu'il ne fasse pas d'échange de clefs publiques en https ?

Cordialement.
Offres d'emploi IT
Consultant sap finance/controlling H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Architecte électronique de puissance expérimenté H/F
Safran - Ile de France - Villaroche - Réau
Ingénieur développement fpga (traitement vidéo) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil