Firesheep est une extension Firefox qui va en faire trembler plus d’un. Elle permet simplement de voler les sessions PHP transmis sur le réseau sur...
Aujourd’hui la majorité des budgets marketing et commercial se tourne vers Google et sa régie AdWords ou encore plus récemment Facebook, d’autant...
Sony Ericsson délaisse Symbian pour se concentrer sur sa gamme Android et confirme la sortie d'un smartphone Windows Phone 7 pour 2011. En effet, le...
Microsoft vient d’annoncer l’ouverture prochaine d’un MarketPlace consacré aux jeux vidéo. Il devrait ouvrir ses portes le 15 novembre...
Voici une nouvelle infographie qui reprend l’histoire des moteurs de recherche. Cette image n’est pas la première sur le sujet mais reprend de...
Drupal 7 beta 2 vient de sortir ce samedi 23 octobre. La version Release Candidate s'annonce... bientôt Drupal 7 en version finale ?
Gingerbread, càd Android 2.3, est en approche : un bonhomme en pain d'épices géant vient d'arriver sur la pelouse devant le Googleplex.
Nous attendions la sortie de Google Shopping depuis quelques mois et nous en avions déjà parlé sur WebActus : Google Shopping arrivera-t-il en...
Facebook est en train de travailler sur une nouvelle fonctionnalité, qu’il teste avec certains utilisateurs du réseau social, qui vous permet de...
Vous envisagez de changer de fournisseur d’accès à internet (FAI) ou de vous abonner pour la première fois à une offre internet haut débit/téléphone fixe...
Firesheep est une extension Firefox qui va en faire trembler plus d’un. Elle permet simplement de voler les sessions PHP transmis sur le réseau sur lequel se trouve votre...
Firesheep est une extension Firefox qui va en faire trembler plus d’un. Elle permet simplement de voler les sessions PHP transmis sur le réseau sur lequel se trouve votre ordinateur. L’extension va simplement sniffer le réseau via l’interface qui permet la connexion et récupérer les sessions/cookies de bons nombres de services web qui sont entre autre : Twitter/Facebook/Tumblr/Wordpress/Google pour ne citer qu’eux… Flippant, non ?
L’extension fonctionne très bien. Il faudra cependant s’assurer que la carte connectée utilisée est en mode monitor (ou promiscuous) ce qui lui permettra d’écouter toute les trames même celles dont il n’est pas le destinataire. Je l’ai essayé avec deux ordinateurs. Le premier est un firefox vierge sans aucune configuration si ce n’est l’extension. Il scanne le réseau. Le deuxième se connecte sur différents sites. Résultats ? En un clic et quelques instants plus tard, le premier Firefox a trouvé tous mes comptes, preuve que mon réseau local n’est pas sécurisé. En effet, cela vient du fait que la plupart des services n’utilise les connexions sécurisées que lors de l’identification. Le reste du surf sur le site se fait généralement en clair et via la transmission de cookie (qui contient tout ce dont on a besoin).
Cette extension rend donc le piratage de sessions très simple et on peut vite voir les dégât qu’il peut causer sur un réseau public type CyberCafé, Mcdo ou autre. En quelques instants, une personne mal intentionnée pourra rapidement récupérer vos identifiants. Seule protection possible contre cette piraterie, utiliser à outrance des services VPN pour crypter vos communications ou proxy SSH (comme ça devrait déjà être le cas lorsque vous êtes à l’extérieur). Je vous conseille aussi vivement d’installer l’application Firefox Force-TLS qui vous permet de forcer automatiquement votre navigateur à passer par les services SSL proposés par certains sites.
En tout cas, je trouve ça très fort que ce genre d’extension puisse exister et fonctionner aussi simplement (basé il me semble sur l’outil wireshark ou équivalent). Bien évidemment elle n’est pas disponible sur le « repository » officiel de Firefox qui recense toutes les applications disponibles. Elle n’aurait jamais pu rester puisque Mozilla n’encourage pas ce genre de bidouillage. Je ne saurais que trop vous encourager à faire le test et vous rendre compte par vous même des dangers que cela peut représenter. N’ayez pas peur d’installer Force-TLS et d’investir quelques € dans un service VPN, c’est toujours mieux de prévenir que de guérir, et puis pour le coup le système VPN vous (ré)autorisera de nouvelles pratiques…
Source : RWW
Abonnez-vous pour recevoir notre sélection des meilleurs articles directement dans votre boîte mail.
Nous ne partagerons pas votre adresse e-mail.