Les outils permettant de réaliser des actions malveillantes se démocratisent. Ils deviennent même de plus en plus simples.
Dernière illustration en date : Firesheep, une extension pour le navigateur Firefox. Lors de la conférence « Toorcon » qui a eu lieu du 22 au 24 octobre à San Diego, Eric Butler, un développeur Web de Seattle, en a fait la démonstration.
En pratique, cet outil permet d’intercepter des données qui transitent sur un réseau Wi-Fi ouvert.
Les cookies servant à identifier un utilisateur sur des sites tels que Facebook, Google, Yahoo ou encore Twitter sont ainsi vulnérables car, une fois interceptés, ils peuvent servir à l’attaquant pour se connecter illégalement aux comptes d’internautes qui se sont identifiés auparavant à partir du même réseau.
Avec cette méthode, les mécanismes d’authentification des sites pensent reconnaître un cookie de connexion valide alors qu’il n’en est rien.
Eric Butler a précisé qu’il avait créé Firesheep pour montrer le danger de l’accès « en clair » à partir de points d’accès Wi-Fi accessibles sans authentification (ouverts).
Dans une contribution diffusée sur son blog personnel, l’expert milite pour un chiffrement des connexions (HTTPS), à l’instar des sites de banques, ce qui permettrait d’éviter l’interception de sessions. Cela reste toutefois à mettre en place sur de nombreux sites.
A noter que depuis la mise en ligne de l’extension Firefox Firesheep, celle-ci a été téléchargée près de 50 000 fois…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…