Attention à ne pas vous faire voler vos identifiants sur Facebook, Twitter, Windows Live et bien d’autres services en ligne depuis un point d’accès Wi-Fi ouvert. Voilà, en résumé, le message que tient à faire passer Eric Butler, qui a développé une petite extension Firefox déjà célèbre. Elle a été téléchargée plus de 130 000 fois en quelques heures, à tel point que le mot clé « firesheep » s’est retrouvé à la dixième place des recherches les plus souvent effectuées sur Google Etats-Unis hier.
Firesheep, présenté par Butler lors d’une conférence de « hacking » à San Diego, s’affiche dans un volet de Firefox. Le programme permet de capturer à la volée les cookies de connexion d’autres utilisateurs connectés au même point d’accès ouvert. L’outil peut récupérer, sans aucune intervention du pirate, des identifiants issus d’une trentaine de sites différents, d’Amazon à Google, en passant par Gowalla, Windows Live, Facebook et Twitter. Ils apparaissent simplement dans le volet. Il suffit alors de cliquer dessus pour se retrouver connecté sur le compte de la victime.
La faille : les cookies d’authentification
Comment cela fonctionne-t-il ? Eric Butler l’explique sur son blog :
« Quand vous vous “loguez” à un site vous commencez par soumettre votre nom d’utilisateur et votre mot de passe. Le serveur vérifie alors si un compte correspondant à cette information existe et, le cas échéant, vous répond avec un “cookie” qui est utilisé par votre navigateur pour toutes les requêtes suivantes. Les sites protègent très fréquemment votre mot de passe en cryptant votre identification initiale, mais il est rare, fait surprenant, que les sites cryptent le reste. Cela laisse le cookie (et l’utilisateur) vulnérable. Le détournement de session HTTP, que l’on appelle parfois “sidejacking”, intervient lorsqu’un attaquant s’empare du cookie de l’utilisateur, ce qui lui permet de faire tout ce que l’utilisateur peut faire sur un site particulier. Or, sur un réseau sans fil, les cookies sont comme “criés” en l’air, ce qui rend ces attaques extrêmement simples ».
C’est précisément pour dénoncer ce manque de sécurité côté sites Web que Butler a conçu son angoissant programme : « C’est un problème largement connu dont on a parlé jusqu’à plus soif, et pourtant les sites continuent de faillir à protéger leurs utilisateurs », explique-t-il.
Quelles solutions pour se prémunir contre Firesheep ?
Si c’est bien l’un des moyens les plus simples pour effectuer la manœuvre, Firesheep n’est pas le premier programme permettant de « pirater » des sessions HTTP, en théorie protégées par mot de passe, de cette manière. De nombreux logiciels, qui existent pour certains depuis bien des années, permettent le même genre d’attaques : « Très peu de choses ont changé après que chacun de ces logiciels ont été lancés. Ils ont eu leur succès médiatique à l’époque, et les gens ont oublié ou n’y ont pas fait attention. Et la plupart de ces outils ont seulement été utilisés par des gens passionnés de technologie, des hackers et des geeks. » A noter qu’il existe également des outils plus complexes permettant de faire de même… Sur des réseaux protégés par mot de passe.
En fournissant un outil de hacking « en un clic » Butler espère donc que Firesheep ira au-delà du simple phénomène médiatique et poussera les sites à parfaire leur sécurité afin d’éviter que leurs utilisateurs se fassent « voler » leur compte en quelques secondes. Pas sur qu’il y parvienne…
Malheureusement, il n’existe pas de solution miracle afin d’éviter ce genre de mésaventures. Toujours d’après Butler, « vous ne pouvez vous contenter d’éviter les sites attaqués par Firesheep. Il y a beaucoup de contenus mélangés sur le Web aujourd’hui, comme les boutons “j’aime” de Facebook, les widgets Twitter, et même les images intégrées hébergées sur Flickr et d’autres sites de partage de photos. A chaque fois que vous accédez à une page qui intègre ce type de contenus, votre navigateur envoie aussi le cookie d’authentification nécessaire.
Que faire alors pour se protéger ? Eviter les points d’accès ouverts paraît être une mesure de choix, même si elle est contraignante et rejetée par Butler, qui estime que ce n’est pas le problème : « il n’y a pas de vulnérabilité dans le Wi-Fi, il y en a sur les sites que vous utilisez. » Lui préfère mentionner d’autres extensions Firefox, comme HTTPS-Everywhere et Force-TLS, qui sont contraignants car difficiles à maîtriser et ne pas compatibles avec tous les sites à risque. Utiliser un VPN permet en revanche d’éviter les problèmes.
En fait, pour Butler, il n’y a qu’une seule solution pour éradiquer le problème : que les sites embrassent le HTTPS ou SSL/TLS, deux protocoles de communication qui permettent de crypter les échanges de données. En attendant, gare aux réseaux Wi-Fi ouverts !
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.