Ce qu’il y a de bien avec le web, c’est la rapidité des processus de vulgarisation, qui transforment inéluctablement les techniques les plus pointues en applications pour le grand public. Et ça marche même pour le piratage et l’usurpation d’identité.

En voici un dernier exemple. Selon le côté où vous vous placez et votre état d’esprit, l’extension Firesheep pour Firefox pourrait devenir votre terrain de jeu favori ou votre pire cauchemar.

Firesheep ? Une extension imaginée, développée, et diffusée gratuitement, qui permet tout simplement de pénétrer dans l’ordinateur d’une personne connectée à un réseau WiFi non sécurisé auquel vous êtes vous-même branché. Le fonctionnement paraît relativement simple, ou en tout cas facile à expliquer : quand vous vous connectez sur un site comme par exemple Facebook, vous saisissez vos identifiants, constitués de votre login (adresse email) et de votre mot de passe. Vous avez certainement remarqué que si vous quittez le site en fermant votre navigateur sans avoir cliqué auparavant sur « Déconnexion », lorsque vous revenez la fois suivante, vous n’avez pas à saisir de nouveau vos identifiants.

C’est ce que l’on appelle une session, dont les données de connexion privées sont stockées dans un cookie. L’extension Firesheep se charge simplement de procéder à l’intrusion dans votre PC pour récupérer les données contenues dans les cookies et permettre à l’utilisateur malveillant de se connecter sur votre compte avec vos identifiants, à votre insu. C’est incroyable ce que l’on peut faire avec un WiFi mal protégé, qui se transforme en véritable boulevard d’entrée dans le cœur de vote ordinateur.

Récapitulons : vous êtes dans une salle d’attente à l’aéroport, en train de surfer sur le web grâce à une connexion WiFi ouverte et non sécurisée que votre PC portable a repérée. Je suis dans la même salle d’attente, connecté moi aussi au même réseau WiFi que vous, et j’ai installé l’extension gratuite Firesheep sur mon netbook. Je n’ai plus qu’à cliquer sur « Start capturing », et hop votre nom accompagné de votre photo apparaissent sur mon écran dans le navigateur. Il me suffit alors de cliquer dessus et je suis connecté en temps que VOUS sur VOTRE compte Facebook. Trop facile.

Tout cela sans débourser un centime et en installant juste une extension Firefox. Mais quelles sont les motivations qui poussent un développeur à mettre au point un script aussi dangereux que simple à utiliser ? La réponse du créateur de Firesheep, Eric Butler, un développeur indépendant basé à Seattle, Washington, USA :  « Les sites web ont la responsabilité de protéger les personnes qui dépendent de leurs services. Ils ont ignoré cette responsabilité pendant trop longtemps, et il est temps pour chacun d’exiger un web plus sûr. Mon souhait est que Firesheep aidera les utilisateurs à gagner. »

Pure philanthropie ? C’est plausible, pour deux raisons : l’application est gratuite et open source (alors que son créateur aurait pu au moins tenter de la vendre sous le manteau et ne pas en divulguer le code). Une extension pour prévenir plutôt que pour être utilisée à des fins malveillantes, mais qui pourrait bien causer quelques dégâts collatéraux si l’on imagine que ceux qui vont l’installer ne sont pas tous bardés des intentions louables de son créateur. Et aux dernières nouvelles ils seraient déjà plus de cent mille…

Bien sûr la portée potentielle de l’extension est relativement limitée puisqu’elle ne fonctionne que sur des réseaux WiFi ouverts et non sécurisés, ce qui est de plus en plus rare (vous en trouvez encore, vous, à part ceux de quelques particuliers ?) mais selon les commentaires vus chez TechCrunch, elle pourrait également fonctionner entre postes sur un réseau LAN (par câble ethernet) fermé. Ce qui va tout de suite vous faire moins rire. Surveillez les mouvements suspects de votre voisin de bureau à partir de maintenant. J’ai en revanche testé sur mon réseau Freebox à domicile et cela ne semble pas fonctionner : la tentative de capture ne donne rien et l’application ne détecte pas les autres postes connectés. Mais mes compétences limitées en gestion et sécurisation de réseau ne me permettent pas d’en tirer des conclusions définitives.

Alors, faut-il s’inquiéter de l’arrivée de ce type d’extension ? Certainement. Surtout quand vous saurez que Firesheep ne se limite pas à Facebook mais fonctionne avec la plupart des grands sites web que vous utilisez au quotidien, comme Amazon.com, Basecamp, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost, tumblr, Twitter, WordPress, Yahoo, et Yelp.

Mais aussi pour les raisons évoquées en préambule : devenir pirate d’un jour (ou du dimanche) n’est plus réservé à une poignée de nerds ou de surdoués de l’informatique. Si même madame Michu peut s’introduire dans le Facebook de sa voisine ou hacker son blog, il va y avoir du sport.

(source)

Articles sur le même sujet :

Article original écrit par Eric et publié sur Presse-Citron, le 26/10/2010. | Lien direct vers cet article | © Presse-citron.net - 2010
NOUVEAU : Trouvez gratuitement un développeur / graphiste / référenceur freelance avec Codeur.com

Authors: Eric

pour en savoir plus...