Sécurité : une extension Firefox facilite le vol de données privées
Un expert en sécurité informatique a créé et publié une extension Firefox baptisée Firesheep, permettant d’intercepter les sessions utilisateurs et de les détourner lors d’une connexion depuis un accès Wi-Fi ouvert.
Les outils permettant de réaliser des actions malveillantes se démocratisent. Ils deviennent même de plus en plus simples.
Dernière illustration en date : Firesheep, une extension pour le navigateur Firefox. Lors de la conférence « Toorcon » qui a eu lieu du 22 au 24 octobre à San Diego, Eric Butler, un développeur Web de Seattle, en a fait la démonstration.
En pratique, cet outil permet d’intercepter des données qui transitent sur un réseau Wi-Fi ouvert.
Les cookies servant à identifier un utilisateur sur des sites tels que Facebook, Google, Yahoo ou encore Twitter sont ainsi vulnérables car, une fois interceptés, ils peuvent servir à l’attaquant pour se connecter illégalement aux comptes d’internautes qui se sont identifiés auparavant à partir du même réseau.
Avec cette méthode, les mécanismes d’authentification des sites pensent reconnaître un cookie de connexion valide alors qu’il n’en est rien.
Eric Butler a précisé qu’il avait créé Firesheep pour montrer le danger de l’accès « en clair » à partir de points d’accès Wi-Fi accessibles sans authentification (ouverts).
Dans une contribution diffusée sur son blog personnel, l’expert milite pour un chiffrement des connexions (HTTPS), à l’instar des sites de banques, ce qui permettrait d’éviter l’interception de sessions. Cela reste toutefois à mettre en place sur de nombreux sites.
A noter que depuis la mise en ligne de l’extension Firefox Firesheep, celle-ci a été téléchargée près de 50 000 fois…