Navigation

Toutes les catégories

Filtrer par auteur

Voir les derniers articles

Firesheep vous permet de voler les sessions PHP Twitter/Facebook…

Firesheep est une extension Firefox qui va en faire trembler plus d’un. Elle permet simplement de voler les sessions PHP transmis sur le réseau sur lequel se trouve votre...

Firesheep - Extention de vol de sessions sous Firefox

Firesheep est une extension Firefox qui va en faire trembler plus d’un. Elle permet simplement de voler les sessions PHP transmis sur le réseau sur lequel se trouve votre ordinateur. L’extension va simplement sniffer le réseau via l’interface qui permet la connexion et récupérer les sessions/cookies de bons nombres de services web qui sont entre autre : Twitter/Facebook/Tumblr/Wordpress/Google pour ne citer qu’eux… Flippant, non ?

L’extension fonctionne très bien. Il faudra cependant s’assurer que la carte connectée utilisée est en mode moni­tor (ou pro­mis­cuous) ce qui lui permettra d’écouter toute les trames même celles dont il n’est pas le destinataire. Je l’ai essayé avec deux ordinateurs. Le premier est un firefox vierge sans  aucune configuration si ce n’est l’extension. Il scanne le réseau. Le deuxième se connecte sur différents sites. Résultats ? En un clic et quelques instants plus tard, le premier Firefox a trouvé tous mes comptes, preuve que mon réseau local n’est pas sécurisé. En effet, cela vient du fait que la plupart des services n’utilise les connexions sécurisées que lors de l’identification. Le reste du surf sur le site se fait généralement en clair et via la transmission de cookie (qui contient tout ce dont on a besoin).

Cette extension rend donc le piratage de sessions très simple et on peut vite voir les dégât qu’il peut causer sur un réseau public type CyberCafé, Mcdo ou autre. En quelques instants, une personne mal intentionnée pourra rapidement récupérer vos identifiants. Seule protection possible contre cette piraterie, utiliser à outrance des services VPN pour crypter vos communications ou proxy SSH (comme ça devrait déjà être le cas lorsque vous êtes à l’extérieur).  Je vous conseille aussi vivement d’installer l’application Firefox Force-TLS qui vous permet de forcer automatiquement votre navigateur à passer par les services SSL proposés par certains sites.

En tout cas, je trouve ça très fort que ce genre d’extension puisse exister et fonctionner aussi simplement (basé il me semble sur l’outil wireshark ou équivalent). Bien évidemment elle n’est pas disponible sur le « repository » officiel de Firefox qui recense toutes les applications disponibles. Elle n’aurait jamais pu rester puisque Mozilla n’encourage pas ce genre de bidouillage. Je ne saurais que trop vous encourager à faire le test et vous rendre compte par vous même des dangers que cela peut représenter. N’ayez pas peur d’installer Force-TLS et d’investir quelques € dans un service VPN, c’est toujours mieux de prévenir que de guérir, et puis pour le coup le système VPN vous (ré)autorisera de nouvelles pratiques…

Source : RWW

Newsletter WebActus

Abonnez-vous pour recevoir notre sélection des meilleurs articles directement dans votre boîte mail.

Nous ne partagerons pas votre adresse e-mail.

Articles similaires

Webmarketing

Google se lance dans un réseau social de partage de photos

Google ne s’arrête plus de lancer secrètement des services sociaux comme Prizes ou encore Google Plus (qui fait pas mal de bruit). Aujourd’hui, je vous présente...

Publié le par Team WebActus
Webmarketing

iPhone : iOS 15.4 est enfin disponible, voici la liste des nouveautés

Vous pouvez télécharger dès maintenant la dernière mise à jour d’Apple pour profiter des nouvelles fonctionnalités sur votre smartphone.

Publié le par Alexandra Patard