Firesheep, pirater n’a jamais été aussi simple
Eric Butler vient de publier une extension Firefox qui permet de récupérer les cookies des utilisateurs d’un réseau Wi-Fi non protégé.
Les réseaux Wi-Fi ouverts ne sont pas surs
On ne le répètera jamais assez, mais les réseaux Wi-Fi ouverts à tous, comme on en trouve dans les lieux publics, sont des nids à problèmes de sécurité et Firesheep porte le débat à un niveau supérieur. Le programme est extrêmement simple d’utilisation. Il suffit d’installer l’extension, se connecter à un réseau ouvert et attendre que des utilisateurs se connectent à leur compte Facebook, leur client webmail, etc.
Se connecter au Facebook de son voisin sans grand problème
Le programme est intéressant, car il met aussi en exergue un second problème de sécurité qui est complètement indépendant des utilisateurs. Cette manoeuvre est possible parce que les sites web en question chiffrent uniquement la procédure d’enregistrement initiale au site, mais envoie ensuite un cookie non crypté à l’ordinateur client. Bref, le reste du site n’est pas chiffré, malgré les informations sensibles qu’il peut contenir.
Les tests que nous avons effectués ont tout de même montré que le système ne fonctionne pas à tous les coups. La configuration du réseau ou de la machine cliente peut bloquer l’extension. Néanmoins, c’est généralement le public le moins averti qui a les machines les moins bien réglées et qui accède à des données privées dans des lieux publics. Ce sont donc les plus vulnérables qui sont à la merci de pirates peu scrupuleux.
Le développeur explique qu’il a écrit cette extension pour inciter les propriétaires des sites web dénoncés (Facebook, Google, Yahoo, Twitter et Amazon pour n’en citer que quelques-uns) à mieux sécuriser les sessions de leurs clients.
- NVIDIA publie ses pilotes GeForce 260.99
- Akasa Raptor : sobre et sans fioritures
- Des graveurs BDXL chez Buffalo
- LG vise 2013 pour lancer ses TV OLED
- AMD : les Catalyst 10.10 déjà « hotfixés »
- Thermalright dévoile son ventirad Archon
- Une GTX 475 dans les cartons de NVIDIA
- NVIDIA confirme la GTX 580 par accident
- L’UEFI : futur succès ou flop ?
- Windows 7 SP1 RC en fuite sur Internet
- TDJ : Lian Li PC-T1
- Pioneer grave aussi les BDXL
- Nec SpectraView 231 : un 23’’ professionnel
- 32 Go et seulement 2 grammes chez Verbatim
- Avant la GTX 580 voici la Geforce GTX 460 X2
- Patriot : du JMicron pour son SSD Torqx TRB
- Le Pantheon pour un boîtier Xigmatek
- Lantic : une GTS 450 à la vitesse de l'éclair
Hier déjà le boîtier wifi pirate, aujourd'hui cette news incitative, vous êtes en phase avec la déontologie là?
Le deuxième point de vue dira que c'est pour sensibiliser les "sheep", mais franchement, il y a d'autres moyens de le faire je pense...
Sinon bravo pour l'effort d'orthographe et grammaire globalement depuis quelques mois!
oops à la relecture:
- Les réseaux Wi-Fi ouverts ne sont pas sûrs
-(...)initiale au site, mais envoient ensuite un cookie (...)
- malgré les informations sensibles qu’ils peut contenir.
^^
"La configuration du réseau ou de la machine cliente peut bloquer l’extension"
bon, donc, dans la pratique, d'après vos tests, c'est quoi le geste simple pour Mr tout le monde pour bloquer l'extension?
Arrêter de surfer sur les réseaux débiles sociaux?
![[:vendredi]](http://img.infos-du-net.com/forum/images/perso/vendredi.gif)
Sinon bravo pour l'effort d'orthographe et grammaire globalement depuis quelques mois!
Je sais pas si c'est ironique, mais ces gars écrivent foncièrement mal... Le fond est bien mais la forme laisse à désirer.
Vous n'allez pas raller, vous avez des actues gratuites (heureusement) interressantes, vous n'allez pas en plus critiquer la façon dont c'est écrit ...
Plutôt que de récupérer les cookies, suffit déjà de récupérer les images
Quand je les montre à leur propriétaires, ils sont nettement plus réceptifs quand je leur parle de sécurité et de vie privée 
+1. Les cookies c'est une chose, leur coller une trouille bleue avec des photos "gênantes" c'en est une autre. Sans compter que ces failles récurrentes ont le mérite d'assurer à HADOPI un succès certain, avec du "Fermez vos lignes, vos voisins sont des méchants hackerz/pédophiles qui vont vous espionner, vous piquer votre connexion, et qui enverront vos photos de famille aux chinois du FBI"
Encore un pirate qui essaie de se cacher derrière une pseudo excuse bidon pour justifier son gros add-on de hacker !
Vous n'allez pas raller, vous avez des actues gratuites (heureusement) interressantes, vous n'allez pas en plus critiquer la façon dont c'est écrit ...
Cette notion - au passage erronée - de gratuité n'a strictement rien à voir, arrêtez de ressasser cette idée. Nous sommes sur un site de journalisme, donc avec une éthique forte - on est pas sur Skyblog - qui se doit de respecter la langue de Molière.
Merci de continuer vos effort les gars, la qualité revient chez Tom et c'est une bonne chose.
merci firefox ! Il serait temprs que la société qui gèrent firefox, chrome et bientôt opera mettent en place un contrôle des extensions qui y sont proposés puisque toute ont ou veulent des extensions. Pas au même niveau que certains, mais une procédure de vérification des "intentions" de l'extension serait une bonne initiative
merci firefox ! Il serait temprs que la société qui gèrent firefox, chrome et bientôt opera mettent en place un contrôle des extensions qui y sont proposés puisque toute ont ou veulent des extensions. Pas au même niveau que certains, mais une procédure de vérification des "intentions" de l'extension serait une bonne initiative
Même le contrôle des extensions, et même des SOURCES (pour linux) peut mener à des soucis assez délicats.
mykhi>Tu crois vraiment qu'il aurait attendu que la loi Hadopi soit en application depuis 1 mois pour la créer
shooby>Faire un procés d'intension pour chaques extensions ???
Nom de Zeus, et moi qui pensait qu'il n'y avait que Steve et ses fans qui en révait.
magellan : rien ne pourra supprimer un risque, mais au moins le limiter
fitfat : je pense plutôt a un système du genre android où il est dit quel processus, quel élément est utilisé lors de l'utilisation de l'appli
Et comment classerais-tu des extensions comme IE Tab ?
Et comment classerais-tu des extensions comme IE Tab ?
Comme un danger public, ce qui n'est pas loin de la vérité.
Sinon votre liste d'extensions certifiées, elle existe déjà : https://addons.mozilla.org/en-US/firefox/ Alors pas besoin de réinventer la roue ...
Et comment classerais-tu des extensions comme IE Tab ?
qui est ?
batchy>
shooby>La possibilité de switcher entre le moteur d'IE et Firefox.
merci firefox ! Il serait temps que la société qui gèrent firefox, chrome et bientôt opera mettent en place un contrôle des extensions qui y sont proposés puisque toute ont ou veulent des extensions. Pas au même niveau que certains, mais une procédure de vérification des "intentions" de l'extension serait une bonne initiative
Oui c'est cela tu a peut être oublier le principe du logiciel libre en l'occurrence je vois mal comment on peut espérer bloquer une extension pour un logiciel libre, et pour les autre navigateurs si c'était si facile de demander et que ça soit fait ben ça fait longtemps que on se trainerait plus des sites avec un code CSS massacrer par IE...
+1 partiel.
Le véritable problème est inhérent au concept même du libre qui tient en une phrase élémentaire "toute personne peut modifier le code, le distribuer, et ainsi ajouter sa brique à l'édifice".
Seulement, qui dit ajout/modifications de briques dit, dans notre monde virtuel, capacité à saboter le code (IE voir la JVM pondue par MS), voire même coller du malveillant dans les briques supposées saines.
De là: qui fait l'arbitre? Difficile d'arbitrer sur des produits tiers (une extension EST un composant tiers, ce n'est donc pas Firefox qui est à mettre en doute), c'est surtout à la communauté de réagir rapidement et d'informer efficacement.
Ensuite: comment y voir clair? S'il n'y a donc pas un arbitrage, il faut un dispositif capable d'informer le grand public, à travers les dépôts par exemple. Système de vote? Susceptible d'être fraudé par du vote par bot. Système de notation après usage? Même combat. Système de vérification par une équipe "experte"? Encore une fois, on revient vers le principe de contrôle centralisé, aussi délicat à mettre en oeuvre (le qui), qu'à faire accepter (le pourquoi d'un refus potentiel).
Là où je suis moins strict que psyko, c'est qu'il y a des travers dans tous les navigateurs: non fiabilité de certaines fonctionnalités, implémentation parfois douteuse, nul navigateur n'est épargné.... Ce qui est dommageable certes, mais hélas logique.
Donc finalement j'ai bien fait de débuter ce débat, il a permis de poser des questions pertinentes sur le fond du sujet plutôt que sur la forme
"Je sais pas si c'est ironique, mais ces gars écrivent foncièrement mal... Le fond est bien mais la forme laisse à désirer."
J'aimerais que vous m'indiquiez où cet article est foncièrement mal écrit, car en le relisant je n'y trouve pas de fautes flagrantes. Quelques tournures maladroites peut-être, mais rien d'affolant.
J'ai vu bien pire sur de nombreux sites de "journalisme".
Vous n'allez pas raller, vous avez des actues gratuites (heureusement) interressantes, vous n'allez pas en plus critiquer la façon dont c'est écrit ...
Vu la façon dont tu écris on comprend pourquoi tu es sensible au sujet.
Bref, passons là-dessus pour venir à plus intéressant.
Certains, les plus indigents intellectuellement parlant, ne perçoivent la critique que comme une attaque ad hominem (si tu ne comprends pas, ouvre un dictionnaire).
D'autres, ceux qui ont un cerveau développé, reçoivent les critiques (lorsqu'elles sont argumentées) comme une occasion de s'interroger sur eux-mêmes et, potentiellement, de s'améliorer. David en a largement fait la preuve.
Tu peux continuer à souffrir ou essayer de changer de catégorie, à toi de voir.
Pour finir, les auteurs des news sont bien assez intelligents et tout à fait capables de répondre si les critiques leur semblent injustifiées, ils n'ont certes pas besoin d'avocats de ton calibre.
Arrêter de surfer sur les réseaux débiles sociaux?
![[:vendredi]](http://img.infos-du-net.com/forum/images/perso/vendredi.gif)
ouais ben ça, c'est pas près d'arriver, imho.
Si Firesheep s’avère redoutable lorsque vous utilisez un réseau Wifi non
sécurisé, j’ai découvert,en me connectant à mon réseau crypté en WPA sur
mon MacBook Pro,que Hotmail présentait une faille non moins délicate.
Grâce à Firesheep vous pouvez rouvrir n’importe quelle session Windows
Live même une fois que vous vous êtes délogué et ceci en étant connecté
sur un réseau privé sécurisé.
Ce qui est très sensible ici est que cette faille permet à votre proche
entourage ou personnes ayant un accès direct à votre ordinateur
d’accéder à volonté à n’importe quelle session Hotmail qui auraient été
lancée auparavant depuis votre poste.
J’ai fait le même test sur Facebook, Yahoo Mail ou Twitter et là ça ne
marchait pas par contre.
Pensez donc à ne pas égarer votre ordinateur portable ou vous vous
exposerez à la lecture de vos mails Hotmail à votre insu.
J’avais déjà laissé une note à ce sujet sur le blog d’Eric Butler plus tôt:
http://codebutler.com/firesheep-a-day-later