[ad_1]

« Firesheep », un nouvel add-on pour Firefox qui facilite le détournement des comptes de messagerie et de réseaux sociaux d’autres personnes qui se trouvent sur le même réseau filaire ou sans fil, a fait l’objet d’une couverture plutôt haletante par les médias, dont certains ont qualifié cela de nouvelle menace. En réalité, cet outil est plutôt un rappel bienvenu de certaines mesures élémentaires mais efficaces que les internautes doivent suivre pour protéger leurs informations personnelles lorsqu’ils utilisent les réseaux publics.

La plupart des services en ligne utilisent couche de sockets sécurisée Cryptage (SSL) pour brouiller la connexion initiale – comme indiqué par la présence de « https:// » au lieu de « http:// » dans le champ d’adresse lorsque l’utilisateur soumet son nom d’utilisateur et son mot de passe. Mais avec de nombreux sites comme Twitter et Facebookles échanges de données ultérieurs entre l’utilisateur et le site sont envoyés non cryptés et en texte brut, exposant potentiellement ces informations à toute autre personne sur le réseau qui exécute un simple programme d’espionnage du trafic Web.

Pourquoi devrions-nous nous soucier du fait que les données post-connexion sont envoyées en texte brut non crypté ? La plupart des services Web utilisent des « témoins », généralement de petits fichiers texte placés sur l’ordinateur de l’utilisateur, pour signifier que l’utilisateur s’est connecté avec succès et qu’il ne sera pas invité à se reconnecter pendant une période déterminée de temps, généralement de quelques jours à quelques semaines (bien que certains cookies puissent être valides indéfiniment).

Le problème est que le contenu de ces cookies est fréquemment envoyé en clair vers et depuis l’ordinateur de l’utilisateur. après la connexion de l’utilisateur. Cela signifie qu’un attaquant reniflant le trafic Web sur le réseau local peut intercepter ces cookies et les réutiliser dans son propre navigateur Web pour publier des Tweets ou des entrées Facebook non autorisés au nom de cet utilisateur, par exemple. Cette attaque pourrait également être utilisée pour accéder à la boîte de réception de courrier électronique de quelqu’un.

Entrer Firesheepun module complémentaire Firefox publié le week-end dernier au Toorcón conférence hacker à San Diego. Éric Butlerle chercheur en sécurité co-auteur de l’outil, explique une partie de l’histoire et pourquoi lui et un collègue chercheur ont décidé de le publier :

« Il s’agit d’un problème largement connu dont on a parlé jusqu’à la mort, mais des sites Web très populaires continuent de ne pas protéger leurs utilisateurs. La seule solution efficace à ce problème est le chiffrement complet de bout en bout, connu sur le Web sous le nom de HTTPS ou SSL. Facebook déploie constamment de nouvelles fonctionnalités de « vie privée » dans une tentative sans fin pour étouffer les cris des utilisateurs mécontents, mais à quoi ça sert quand quelqu’un peut simplement prendre le contrôle d’un compte entièrement ? »

Dans son article de blog À propos de Firesheep, je pense que Butler exagère quelque peu la menace posée par cet add-on lorsqu’il dit : « Après avoir installé l’extension, vous verrez une nouvelle barre latérale. Connectez-vous à n’importe quel réseau Wi-Fi ouvert et cliquez sur le gros bouton « Démarrer la capture ». Puis attendre. »

Il semble cependant que ce module ne capture les cookies d’autres utilisateurs sur un réseau sans fil que dans les cas où l’attaquant a déjà compromis la sécurité de l’ensemble du réseau lui-même. Pourtant, un certain nombre d’outils gratuits et open source sont disponibles pour accomplir cette tâche et pourraient être utilisés en combinaison avec Firesheep pour collecter une tonne de connexions d’utilisateurs sur un réseau sans fil occupé. Par exemple, Ettercap est un programme extrêmement utile qui vous permet de tromper les autres ordinateurs du réseau local en leur faisant croire que votre ordinateur est le routeur filaire ou sans fil, acheminant efficacement tout le trafic entrant et sortant sur le réseau local via votre ordinateur. Ettercap est un composant standard de nombreux CD en direct installations de Linux qui permettent aux utilisateurs de démarrer dans une distribution Linux entièrement utilisable à partir d’un CD ou d’un périphérique USB.

J’ai envoyé un ping à Butler pour une interview sur son add-on, mais je n’ai pas encore eu de nouvelles de lui. Si cela change, je mettrai à jour ce post.

J’ai testé Firesheep sur un réseau sans fil standard sans exécuter Ettercap et, bien sûr, la seule fois où Firesheep a enregistré des connexions, c’est lorsque je me suis connecté à partir du même ordinateur qui exécutait Firesheep : il n’a pas capturé de cookies lorsque je me suis connecté aux mêmes comptes. d’autres machines sur mon réseau sans fil. J’ai testé cela en utilisant deux routeurs sans fil distincts, couramment vendus – avec et sans cryptage WEP/WPA activé – avec les mêmes résultats.

Combinez Firesheep avec quelque chose comme Ettercap, cependant, et vous disposez d’une méthode pointer-cliquer très puissante pour détourner les réseaux sociaux et les comptes de messagerie appartenant à d’autres utilisateurs sur le réseau local. C’est exactement ce que le directeur de la recherche de McAfee David Marcus trouvé et expliqué assez bien dans son avis sur cet outil plus tôt cette semaine. Marcus a également constaté que le module complémentaire ne collecte pas les cookies d’autres ordinateurs sur un réseau local à l’aide d’outils comme Ettercap.

« Ce que j’aime chez Firesheep, c’est que c’est une façon très graphique de montrer un problème aux gens », a déclaré Marcus. « Cela dit, il n’apporte rien de nouveau. Les gens parlent de session et de détournement de cookies depuis au moins 2003. [Butler] vient de sortir une extension astucieuse pour vous montrer l’étendue de cette menace graphiquement et de manière unique.

Le module complémentaire « https-everywhere » de l’EFF

En tout cas, Firesheep était censé sensibiliser à ce problème, et il semble y avoir réussi. Alors que peux-tu faire pour te protéger? Il existe au moins deux modules complémentaires Firefox qui peuvent considérablement augmenter la sécurité et la confidentialité de votre navigation Web sur les réseaux publics, et qui corrigent directement la faiblesse exploitée par Firesheep. Ces add-ons forcent tout site Web que vous spécifiez à chiffrer tout le trafic (c’est-à-dire, utilisez toujours une connexion https://), pas seulement des connexions.

le Fondation de la frontière électroniqueest un module complémentaire, Https-Partout, est sympa car il est livré avec une vingtaine de sites présélectionnés, dont Facebook et Twitter. Mais certains utilisateurs peuvent trouver ses instructions pour ajouter d’autres sites un peu complexes.

Le module complémentaire ForceTLS

Un autre plug-in qui facilite l’ajout de nouveaux sites est Force-TLSbien qu’il n’inclue aucun site par défaut.

Une dernière remarque : l’aspect vraiment effrayant de ces types d’attaques au niveau du réseau est qu’elles fonctionnent contre tous les utilisateurs d’ordinateurs, quel que soit le type de système d’exploitation. En ce qui concerne le module complémentaire d’assistance, Firesheep est disponible pour Systèmes Windows et OS Xet les auteurs disent qu’ils travaillent sur une version pour Linux.

Mise à jour, 16 h 06 HE : Quelques lecteurs ont souligné un article de blog à partir de Robert Graham à ErrataSec, qui note que le module complémentaire ForceTLS peut ne pas réussir à forcer https sur tous les sites. Il propose également quelques raisons pour lesquelles je n’ai peut-être pas vu le module complémentaire Firesheep fonctionner pour capturer les cookies sur le réseau. Graham écrit : « FireSheep fonctionne aussi bien que la capture de paquets sous-jacente. Sur un Macintosh, l’adaptateur peut être totalement discret, capturant le trafic de tout le monde sur le point d’accès local. Sous Windows, certains adaptateurs (comme Broadcom) verront tout le trafic, d’autres (comme Intel) ne verront que votre propre trafic (utile pour voir lequel de vos propres sites Web peut être détourné, mais pas utile pour détourner les autres).

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *