FireSheep : peur sur les réseaux Wifi

par François Arias

tags : Mozilla , twitter , facebook

DR

Une fois connecté à son réseau social préféré, est-on en sécurité, à l’abri des petits malins qui en veulent au sacrosaint couple login/mot de passe ? Eric Butler, un développeur indépendant de Seattle a prouvé le contraire grâce à une extension Firefox nommée FireSheep.

Cette extension permet de se connecter sur les comptes (Facebook, Google, Twitter, ... rayez les mentions inutiles) utilisés par des personnes présentes sur le même réseau WiFi ouvert. En bref pour peu qu’on se connecte, n’importe qui utilisant Firesheep peut aussi se connecter. La quantité d’informations potentiellement accessibles dans un réseau public (café, bibliothèque, mairie ...) est donc extrêmement importante. Les sites pris en charge sont nombreux : Amazon.com, Basecamp, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost, tumblr, Twitter, WordPress, Yahoo et Yelp. Et il est même possible d’en ajouter d’autres avec quelques connaissances techniques.

Eric Butler n’a pas créé cette application pour faciliter les activités répréhensibles (comme le détournement de compte Twitter ou Facebook, véritable fléau du monde du travail), mais pour mettre sous le feu des projecteurs les graves lacunes de sécurité qui touchent de nombreux sites.

Le cœur du problème repose dans le fait que seul l’envoi de l’identifiant et du mot de passe est sécurisé. Les communications entre le site et l’utilisateur se font ensuite « en clair ». Il suffit donc à FireSheep de récupérer le cookie correspondant au site pour s’y connecter. La technique est loin d’être nouvelle mais la facilité d’utilisation du plugin la rend redoutable.

N’écoutant que notre courage, nous avons été essayer FireSheep dans un Startrucks et un Mc Gronald (les noms ont été habilement modifiés). Et vous pouvez continuer à boire votre Triple Crapucinno en toute tranquillité. En effet ces deux enseignes ayant un réseau crypté, il est impossible de pomper des informations. Par contre, sur un réseau non protégé (mis en place pour l’occasion) FireSheep tient toutes ses promesses. On peut effectivement se connecter facilement à un compte Facebook, Twitter. Il conviendra donc de faire attention sur ce que l’on fait sur un réseau public.

Pour le moment les seules solutions pour colmater cette énorme brèche sont soit d’éviter les accès WiFi ouverts, soit de forcer les sites à utiliser le SSL (connexion sécurisée). Cette dernière solution consiste en l’installation d’un plugin pour Firefox (plus de détails par là). Mais selon Butler, ce n’est pas tant aux internautes de faire des efforts qu’aux sites concernés : « Les sites ont la responsabilité de protèger les gens qui dépendent de leurs services. » Facebook a réagi en affirmant qu’il travaillait sur une connexion SSL optionnelle qui devrait être proposée dans quelques mois.

Il y a 10 réactions à cet article.

Lire les réactions.
Réagir à cet article.

Partager cet article

Partager Tweet