Outsourcing Contact
7Oct
2011

Une extension Firefox pour pirater les mots de passe


Si vous êtes connectés à un accès Wifi partagé par d’autres utilisateurs vous devriez vous méfier car ces derniers sont en mesure de s’approprier l’intégralité de vos identifiants et mots de passes Facebook, Twitter, Msn etc. Comment ? Tout simplement en téléchargeant une extension Firefox (Firesheep).

En a peine quelques heures, ce programme a été téléchargé plus de 130000 fois. Son créateur, Eric Butler explique que ce logiciel utilise la technique des cookies émis par les sites pour pouvoir hacker sa victime «Quand vous vous “loguez” à un site vous commencez par soumettre votre nom d’utilisateur et votre mot de passe. Le serveur vérifie alors si un compte correspondant à cette information existe et, le cas échéant, vous répond avec un “cookie” qui est utilisé par votre navigateur pour toutes les requêtes suivantes. Les sites protègent très fréquemment votre mot de passe en cryptant votre identification initiale, mais il est rare, fait surprenant, que les sites cryptent le reste. Cela laisse le cookie (et l’utilisateur) vulnérable. Le détournement de session HTTP, que l’on appelle parfois “sidejacking”, intervient lorsqu’un attaquant s’empare du cookie de l’utilisateur, ce qui lui permet de faire tout ce que l’utilisateur peut faire sur un site particulier. Or, sur un réseau sans fil, les cookies sont comme “criés” en l’air, ce qui rend ces attaques extrêmement simples».

C’est précisément pour dénoncer ce manque de sécurité côté sites Web que Butler a conçu ce programme qui selon lui, représente à peine une goute par rapport à d’autres programmes similaires utilisés fréquemment par des pirates.

Heureusement qu’iI existe quelques moyens de s’en protéger (mais pas à 100%) : primo, éviter de se connecter aux réseaux WIFI ouverts, secundo, télécharger d’autres extensions Firefox anti-extension à l’instar de HTTPS-Everywhere et Force-TLS. Tertio, ajouter un S au protocole (http = https) afin de renvoyer ses données cryptées !


Commentaires

Laisser un commentaire