AccueilAccueil  PortailPortail  CalendrierCalendrier  FAQFAQ  RechercherRechercher  MembresMembres  GroupesGroupes  S'enregistrerS'enregistrer  ConnexionConnexion  
Rechercher
 
 

Résultats par :
 
Rechercher Recherche avancée
Derniers sujets
» rediriger son reseau vers wifi
par (admin)P@pY Otaku Jeu 10 Mar - 10:37

» supprimer express find
par Poreu Mer 8 Avr - 8:27

» 30 ans de jeux vidéo à travers les manettes des consoles !
par (admin)P@pY Otaku Dim 27 Juil - 5:25

» Mais où sont les extraterrestres ?
par (admin)P@pY Otaku Dim 27 Juil - 5:17

» Bon, et sinon, c’est quoi un NAS au juste ?
par (admin)P@pY Otaku Dim 27 Juil - 5:10

» SFR indemnisera 4 millions de clients suite à une nouvelle panne de son réseau
par (admin)P@pY Otaku Dim 27 Juil - 4:48

» cDiscount xD
par (admin)P@pY Otaku Dim 27 Juil - 4:30

» S'approprier un répertoire à partir de l'Invite de commandes
par (admin)P@pY Otaku Mar 21 Mai - 16:36

» Recom Instrument VS google glass
par (admin)P@pY Otaku Ven 17 Mai - 12:15

» Régler le contraste et la luminosité de votre moniteur
par (admin)P@pY Otaku Mer 8 Mai - 11:16

» Windows 7 Starter - Impossible de changer le fond d'écran(résolu)
par (admin)P@pY Otaku Sam 4 Mai - 20:40

» Leap Motion : 2 mois de retard pour les modules précommandés
par (admin)P@pY Otaku Jeu 2 Mai - 0:24

Qui est en ligne ?
Il y a en tout 3 utilisateurs en ligne :: 0 Enregistré, 0 Invisible et 3 Invités

Aucun

Le record du nombre d'utilisateurs en ligne est de 46 le Lun 28 Nov - 9:52

Partagez | 
 

 Firesheep.......

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
(admin)P@pY Otaku
Admin
avatar

Messages : 543
Date d'inscription : 05/10/2010
Localisation : Par la

MessageSujet: Firesheep.......   Mar 30 Aoû - 11:36

Firesheep, l'extension Firefox pour pirater des comptes en un clic
C’est une extension Firefox qui fait beaucoup parler d’elle depuis quelques jours. Elle permet de voler l’accès à des services en ligne à un utilisateur qui vient de s’y connecter en Wi-Fi.

Attention à ne pas vous faire voler vos identifiants sur Facebook, Twitter, Windows Live et bien d’autres services en ligne depuis un point d’accès Wi-Fi ouvert. Voilà, en résumé, le message que tient à faire passer Eric Butler, qui a développé une petite extension Firefox déjà célèbre. Elle a été téléchargée plus de 130 000 fois en quelques heures, à tel point que le mot clé « firesheep » s’est retrouvé à la dixième place des recherches les plus souvent effectuées sur Google Etats-Unis hier.



Firesheep, présenté par Butler lors d’une conférence de « hacking » à San Diego, s’affiche dans un volet de Firefox. Le programme permet de capturer à la volée les cookies de connexion d’autres utilisateurs connectés au même point d’accès ouvert. L’outil peut récupérer, sans aucune intervention du pirate, des identifiants issus d’une trentaine de sites différents, d’Amazon à Google, en passant par Gowalla, Windows Live, Facebook et Twitter. Ils apparaissent simplement dans le volet. Il suffit alors de cliquer dessus pour se retrouver connecté sur le compte de la victime.

La faille : les cookies d'authentification
Comment cela fonctionne-t-il ? Eric Butler l’explique sur son blog :
« Quand vous vous “loguez” à un site vous commencez par soumettre votre nom d’utilisateur et votre mot de passe. Le serveur vérifie alors si un compte correspondant à cette information existe et, le cas échéant, vous répond avec un “cookie” qui est utilisé par votre navigateur pour toutes les requêtes suivantes. Les sites protègent très fréquemment votre mot de passe en cryptant votre identification initiale, mais il est rare, fait surprenant, que les sites cryptent le reste. Cela laisse le cookie (et l’utilisateur) vulnérable. Le détournement de session HTTP, que l’on appelle parfois “sidejacking”, intervient lorsqu’un attaquant s’empare du cookie de l’utilisateur, ce qui lui permet de faire tout ce que l’utilisateur peut faire sur un site particulier. Or, sur un réseau sans fil, les cookies sont comme “criés” en l’air, ce qui rend ces attaques extrêmement simples ».
C’est précisément pour dénoncer ce manque de sécurité côté sites Web que Butler a conçu son angoissant programme : « C’est un problème largement connu dont on a parlé jusqu’à plus soif, et pourtant les sites continuent de faillir à protéger leurs utilisateurs », explique-t-il.
Quelles solutions pour se prémunir contre Firesheep ?
Si c’est bien l’un des moyens les plus simples pour effectuer la manœuvre, Firesheep n’est pas le premier programme permettant de « pirater » des sessions HTTP, en théorie protégées par mot de passe, de cette manière. De nombreux logiciels, qui existent pour certains depuis bien des années, permettent le même genre d’attaques : « Très peu de choses ont changé après que chacun de ces logiciels ont été lancés. Ils ont eu leur succès médiatique à l’époque, et les gens ont oublié ou n’y ont pas fait attention. Et la plupart de ces outils ont seulement été utilisés par des gens passionnés de technologie, des hackers et des geeks. » A noter qu’il existe également des outils plus complexes permettant de faire de même… Sur des réseaux protégés par mot de passe.
En fournissant un outil de hacking « en un clic » Butler espère donc que Firesheep ira au-delà du simple phénomène médiatique et poussera les sites à parfaire leur sécurité afin d’éviter que leurs utilisateurs se fassent « voler » leur compte en quelques secondes. Pas sur qu’il y parvienne…
Malheureusement, il n’existe pas de solution miracle afin d’éviter ce genre de mésaventures. Toujours d’après Butler, « vous ne pouvez vous contenter d’éviter les sites attaqués par Firesheep. Il y a beaucoup de contenus mélangés sur le Web aujourd’hui, comme les boutons “j’aime” de Facebook, les widgets Twitter, et même les images intégrées hébergées sur Flickr et d’autres sites de partage de photos. A chaque fois que vous accédez à une page qui intègre ce type de contenus, votre navigateur envoie aussi le cookie d’authentification nécessaire.
Que faire alors pour se protéger ? Eviter les points d’accès ouverts paraît être une mesure de choix, même si elle est contraignante et rejetée par Butler, qui estime que ce n’est pas le problème : « il n’y a pas de vulnérabilité dans le Wi-Fi, il y en a sur les sites que vous utilisez. » Lui préfère mentionner d’autres extensions Firefox, comme HTTPS-Everywhere et Force-TLS, qui sont contraignants car difficiles à maîtriser et ne pas compatibles avec tous les sites à risque. Utiliser un VPN permet en revanche d’éviter les problèmes.
En fait, pour Butler, il n’y a qu’une seule solution pour éradiquer le problème : que les sites embrassent le HTTPS ou SSL/TLS, deux protocoles de communication qui permettent de crypter les échanges de données. En attendant, gare aux réseaux Wi-Fi ouverts !
















01.net
Revenir en haut Aller en bas
http://otaku.forum-log.com
 
Firesheep.......
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Forum d'entraide et d'actu du web :: Les actus et bon plans du moments-
Sauter vers: