FireSheep, ou le piratage facile pour les nuls

A qui n’est-ce jamais arrivé de se connecter dans un réseau public, ouvert et non sécurisé? Vous êtes au McDo, ou à la gare, vous attendez un ami ou vous mangez tout simplement votre repas de midi… Vous vous dites que vous allez faire une pause Facebook ou Twitter. Vous vous connectez alors sur le réseau du restaurant et allez sur votre compte. Vous avez remarqué la barre d’adresse, le petit « http » sans son copain le petit « s »? Ça veut dire que quelqu’un est probablement déjà en train d’accéder à votre compte grâce à l’extension Firefox FireSheep.

Ô scandale, une faille de sécurité FireFox! Que nenni, il s’agit d’une faille de sécurité des sites web qui pourtant colportent des informations sensibles à caractère privé comme Facebook ou Twitter.

En effet, le fait d’être en [W:https] signifie que les données circulant entre votre navigateur et le serveur hébergeant le site internet sont chiffrée, codée en somme. Il n’est pas possible de les déchiffrer. Or, si vous n’est pas en [W:https] mais en http-tout-court, cela signifie que vous données comme les [W:cookies] circulent en clair sur le réseau. Dès lors, libre à n’importe qui sur ce réseau d’écouter les données à l’aide d’un [W:sniffer]. Jusque là, on se dit « tout de même, faut connaître la chose pour faire ça…

C’était vrai jusqu’à la sortie récemment de FireSheep. Cette extension permet en littéralement trois cliques de souris d’accéder au compte Facebook de quiconque y est connecté sur le même réseau.

Je vais insister sur un point : ce n’est pas une faille de FireFox. Il s’agit juste d’une extension facilitant l’exploitation d’une faille de sites web qui se moquent bien de la protection de la vie privée. Google par exemple, a estimé que chiffrer ses échanges lui coûterait 1% de puissance CPU en plus sur son infrastructure, et l’a mis en place.

>>> Plus d’explications

>>> Se protéger de FireSheep, par Korben

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *