Mardi 26 octobre

Réseaux sociaux - 26 octobre 2010 :: 09:21 :: Par Eric

Avec Firesheep, piratage et usurpation d’identité sur Facebook deviennent un jeu d’enfant

Ce qu'il y a de bien avec le web, c'est la rapidité des processus de vulgarisation, qui transforment inéluctablement les techniques les plus pointues en applications pour le grand public. Et ça marche même pour le piratage et l'usurpation d'identité.

Supprimer la timeline Facebook ? Rien de plus facile !
Cette extension aussi magique de complètement gratuite permet tout simplement de supprimer la timeline Facebook et de revenir à la(...)

Mozilla va supprimer le favicon de la barre d’adresse de Firefox
Le favicon sur Firefox n’en n’a plus que pour quelques semaines. C’est en tout cas ce qu’annonce Jard Wein, un(...)

Vos emails seront toujours à l’heure avec RightInbox
Quelle que soit la façon dont vous gérez votre messagerie électronique, vous aurez peut-être un jour besoin de programmer automatiquement(...)

USA : une enseignante virée pour avoir refusé l’accès à son compte Facebook à sa direction
Les histoires relatives à la protection des comptes Facebook des salariés vis-à-vis de la pression de leur hiérarchie sont à(...)

Internet Explorer 7 et la Timeline Facebook incompatibles !
La nouvelle version du profil Facebook, bien que déployée auprès du grand public, semble cependant ne pas fonctionner avec tous(...)

En voici un dernier exemple. Selon le côté où vous vous placez et votre état d'esprit, l'extension Firesheep pour Firefox pourrait devenir votre terrain de jeu favori ou votre pire cauchemar. Firesheep ? Une extension imaginée, développée, et diffusée gratuitement, qui permet tout simplement de pénétrer dans l'ordinateur d'une personne connectée à un réseau WiFi non sécurisé auquel vous êtes vous-même branché. Le fonctionnement paraît relativement simple, ou en tout cas facile à expliquer : quand vous vous connectez sur un site comme par exemple Facebook, vous saisissez vos identifiants, constitués de votre login (adresse email) et de votre mot de passe. Vous avez certainement remarqué que si vous quittez le site en fermant votre navigateur sans avoir cliqué auparavant sur "Déconnexion", lorsque vous revenez la fois suivante, vous n'avez pas à saisir de nouveau vos identifiants. C'est ce que l'on appelle une session, dont les données de connexion privées sont stockées dans un cookie. L'extension Firesheep se charge simplement de procéder à l'intrusion dans votre PC pour récupérer les données contenues dans les cookies et permettre à l'utilisateur malveillant de se connecter sur votre compte avec vos identifiants, à votre insu. C'est incroyable ce que l'on peut faire avec un WiFi mal protégé, qui se transforme en véritable boulevard d'entrée dans le cœur de vote ordinateur.

Récapitulons : vous êtes dans une salle d'attente à l'aéroport, en train de surfer sur le web grâce à une connexion WiFi ouverte et non sécurisée que votre PC portable a repérée. Je suis dans la même salle d'attente, connecté moi aussi au même réseau WiFi que vous, et j'ai installé l'extension gratuite Firesheep sur mon netbook. Je n'ai plus qu'à cliquer sur "Start capturing", et hop votre nom accompagné de votre photo apparaissent sur mon écran dans le navigateur. Il me suffit alors de cliquer dessus et je suis connecté en temps que VOUS sur VOTRE compte Facebook. Trop facile. Tout cela sans débourser un centime et en installant juste une extension Firefox. Mais quelles sont les motivations qui poussent un développeur à mettre au point un script aussi dangereux que simple à utiliser ? La réponse du créateur de Firesheep, Eric Butler, un développeur indépendant basé à Seattle, Washington, USA : "Les sites web ont la responsabilité de protéger les personnes qui dépendent de leurs services. Ils ont ignoré cette responsabilité pendant trop longtemps, et il est temps pour chacun d'exiger un web plus sûr. Mon souhait est que Firesheep aidera les utilisateurs à gagner." Pure philanthropie ? C'est plausible, pour deux raisons : l'application est gratuite et open source (alors que son créateur aurait pu au moins tenter de la vendre sous le manteau et ne pas en divulguer le code). Une extension pour prévenir plutôt que pour être utilisée à des fins malveillantes, mais qui pourrait bien causer quelques dégâts collatéraux si l'on imagine que ceux qui vont l'installer ne sont pas tous bardés des intentions louables de son créateur. Et aux dernières nouvelles ils seraient déjà plus de cent mille...

Bien sûr la portée potentielle de l'extension est relativement limitée puisqu'elle ne fonctionne que sur des réseaux WiFi ouverts et non sécurisés, ce qui est de plus en plus rare (vous en trouvez encore, vous, à part ceux de quelques particuliers ?) mais selon les commentaires vus chez TechCrunch, elle pourrait également fonctionner entre postes sur un réseau LAN (par câble ethernet) fermé. Ce qui va tout de suite vous faire moins rire. Surveillez les mouvements suspects de votre voisin de bureau à partir de maintenant. J'ai en revanche testé sur mon réseau Freebox à domicile et cela ne semble pas fonctionner : la tentative de capture ne donne rien et l'application ne détecte pas les autres postes connectés. Mais mes compétences limitées en gestion et sécurisation de réseau ne me permettent pas d'en tirer des conclusions définitives. Alors, faut-il s'inquiéter de l'arrivée de ce type d'extension ? Certainement. Surtout quand vous saurez que Firesheep ne se limite pas à Facebook mais fonctionne avec la plupart des grands sites web que vous utilisez au quotidien, comme Amazon.com, Basecamp, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost, tumblr, Twitter, WordPress, Yahoo, et Yelp. Mais aussi pour les raisons évoquées en préambule : devenir pirate d'un jour (ou du dimanche) n'est plus réservé à une poignée de nerds ou de surdoués de l'informatique. Si même madame Michu peut s'introduire dans le Facebook de sa voisine ou hacker son blog, il va y avoir du sport. (source)

Tags: extension, Facebook, firesheep, hackers, piratage, sécurité

48 commentaires pour "Avec Firesheep, piratage et usurpation d’identité sur Facebook deviennent un jeu d’enfant"

1

Bulldoseo le 26 octobre 2010 à 09:29

Ouch aider les utilisateurs à gagner?
Quelque part les utilisateurs lambda n’ont rien à y gagner mais tout à perdre…
Seul les geek mal intentionnés pourront s’amuser à détériorer des comptes d’utilisateurs ce qui me semblent mesquin…
2

Linley le 26 octobre 2010 à 09:32

Bonjour,

Vous précisez PC portable mais si on surfe avec un PDA c’est pareil, non ?

Merci pour votre article, très intéressant. Mais que va-t-on faire dans les salles d’attente ?? Lire un livre ? o_O……..

))
3

vintz72 le 26 octobre 2010 à 09:33

S’il peut le faire avec une extension Firefox, quelque de malveillant (et compétant) pouvant déjà le faire en bidouillant. Il prouve ainsi à Facebook que leur site, c’est de la merde niveau sécurité. J’espère pour Facebook qu’ils vont réagir très vite parce que ça pourrait leur faire très mal au niveau réputation !
Donc, bravo au développeur de forcer un site qui engrange des milliards à se sortir les doigts du c… pour bosser à autre chose qu’à récolter des dollars !
4

Benoît le 26 octobre 2010 à 09:33

Il est peu probable que l’extension fonctionne sur un LAN moderne car les postes sont probablement reliés par un switch (ou une box avec une fonction switch) et ne reçoivent pas les paquets IP des autres postes (le switch effectue une sorte de filtrage), contrairement au Wifi qui est un réseau de diffusion (broadcast). Certains vieux LAN (avec des hubs) sont vulnérables, et il existe des techniques plus complexes pour les LAN modernes.
5

Critidos le 26 octobre 2010 à 09:34

Je me demande si ça pourrait fonctionner sous Dolphin.
En tout cas, je vais vite voir ce qu’il en est au boulot.

ça devrait pas tournée si on utilise une machine virtuelle part contre. A tester ^^
6

Ghusse le 26 octobre 2010 à 09:44

En LAN, c’est possible sur un réseau non switché : c’est-à-dire qui utilise des hubs (des répéteurs). Dans ce cas, tout le traffic réseau est renvoyé sur tous les ports.
Il est vraissemblable que la freebox intègre un switch, ce qui explique que la capture ne fonctionne pas.
7

Nico le 26 octobre 2010 à 09:48

hmm… je ne crois pas qu’il s’introduise dans le pc, il scan simplement le flux du reseau, comme sur n’importe quel reseau sur lequel il pourrait se connecter (wifi ou non). S’introduire dans une machine n’est pas aussi simple que ça, il faut y avoir été autorisé ! (a son insu (cheval de troie) ou non…).
8

Fabu le 26 octobre 2010 à 09:54

Je ne suis pas certain pour « pénétrer dans l’ordinateur d’une personne connectée à un réseau WiFi non sécurisé »…Disons plutôt que le cookie est contenu dans la requête du client vers le serveur!
9

Glop75 le 26 octobre 2010 à 09:55

@eric: a propos de « elle ne fonctionne que sur des réseaux WiFi ouverts et non sécurisés, ce qui est de plus en plus rare (vous en trouvez encore, vous, à part ceux de quelques particuliers ? ». Bah oui, l’absolue totalité des hotspots publics, qu’ils soient gratuits ou payants (aéroports, MacDo, bars, etc…).

Seule soluce pour se protéger, quand on est sur un hotspot wifi, ne naviguer que sur des sites en HTTPS (en l’occurrence, https://www.facebook.com). Je viens d’ailleurs de changer mon bookmark vers FB, je ne savais pas qu’ils avaient une version sécurisée.
10

photographie produit le 26 octobre 2010 à 10:02

Bonjour,super cette outil,je connais des amis qui vont l’adorer.
11

JUL le 26 octobre 2010 à 10:13

Comme dit par Glop75 il suffit de naviguer en HTTPS comme peut le faire sur Facebook depuis des lustres !
12

Abaya le 26 octobre 2010 à 10:49

Jul +1. Facebook devrait imiter Gmail et passer en full HTTPS par défaut et pas uniquement sur le login. C’est bien de protéger les échanges de mot de passe mais c’est tout aussi important pour les identifiants de sessions. Le coût st peut-être plus important en terme de perfos.
13

Floby le 26 octobre 2010 à 10:53

Bonjour, tout d’abord je suis un lecteur assidu bien que je ne commente que peu souvent. Mais je n’ai pu m’empêcher de remarquer quelques inexactitudes techniques.

En effet, le plugin ne s’insinue dans aucun ordinateur. Il scanne juste les paquets du réseau qui sont :
1) des requêtes HTTP
2) vers Facebook
3) qui envoie un cookie de session.

Le principe est de capturer ce cookie de session et de se l’approprier. Comme ce cookie est le seul que facebook utilise une fois que vous êtes loggés, il ne peut pas faire la différence entre deux ordinateurs utilisant le même wifi ouvert. En effet, tous les ordinateurs partagent la même adresse IP sur l’internet.

Pour résumer : Le plugin ne fonctionne que sur les wifi ouvert (et vraisemblablement faisable sur WEP). Il ne peut pas obtenir vos identifiants de connexion (qui eux sont transmis en HTTPS, faut pas déconner). Une fois volé, votre identifiant de connexion ne peut être utilisé depuis un autre accès sans que vous en soyez prévenus par Facebook.

Accessoirement, il est tout aussi aisé de créer un plugin capable de détecter l’utilisation de firesheep, d’obtenir l’adresse MAC du pirate et surtout obtenir un autre identifiant de connexion (rendant obsolète celui précédemment utilisé).

Voilà voilà, c’est finalement pas bien méchant. Pas la peine de faire peur à Mme Michu sur les méchant hackers qui rentre dans l’ordinateur à la JP Pernault.

Merci de corriger =)
14

Floby le 26 octobre 2010 à 10:57

Je me relis un peu tard.
Dans la phrase « Une fois volé, votre identifiant de connexion ne peut être utilisé [...] » il faut lire « session » et non « connexion »
De plus, l’utilisation de ce plugin sur des réseau Ethernet n’est possible que sur des réseaux vieux de plus de 30 ans. personne n’utilise un seul cable Ethernet pour toute son installation et l’utilisation de switchs est très commune. Les hubs sont dangereux.
15

Phollow le 26 octobre 2010 à 10:58

Dire que ça fonctionne que sur des réseaux wifis non protégés est faux.
Premièrement ça fonctionne sur des réseaux filaires, et deuxièmement le cryptage du wifi n’a rien à voir avec la faculté ou non de pouvoir sniffer.

La seule contrainte est d’être dans le même réseau que la victime. Donc un hotspot crypté marcherait aussi, tant que vous avez la clef
(hotspot d’hotel, de McDo, Gare, ou si le voisin vous a prêté la clef de sa livebox..)

J’ai testé sur 2 ordis connecté en WPA et ça fonctionne.
16

Eric le 26 octobre 2010 à 11:00

@Phollow : merci pour ces précisions, je vais corriger. Cela étant sur le test que j’ai fait sur les 3 PC connectés à la même Freeebox chez moi avec chacun un compte Facebook différent (deux sous Windows 7 et un sous XP) ça n’a pas marché, Firesheep ne sniffe rien
17

produit packshots le 26 octobre 2010 à 11:15

C’est pas cool sa! Est-ce que c’est un interface legal?
18

Dam le 26 octobre 2010 à 11:22

Le meilleur moyen reste toujours de s’acheter un *vrai* routeur/vpn chez soit (la freebox et autres box sont des vraies m*rde sur ce plan là), et d’utiliser la connexion vpn dès qu’on quitte son réseau (même si le réseau n’est pas ouvert mais protéger en wpa2 il y a moyen de faire ce que fait cette extension firefox).
19

Phollow le 26 octobre 2010 à 13:04

@Eric Ta carte réseau doit être en mode monitor ou promiscuous. Toutes les cartes ne le gèrent pas
20

Erwan18 le 26 octobre 2010 à 13:14

Pas très utile le https://www.facebook.com/ : au premier clic on revient au lien non sécurisé http://www.facebook.com/
21

Critidos le 26 octobre 2010 à 13:57

« tourner » * (autocorrection de mon commentaire… m’apprendra à pas vérifier ce qu’écrit swype :/)

Merci à la précision de Phollow.
22

rom4in le 26 octobre 2010 à 17:54

« Premièrement ça fonctionne sur des réseaux filaires. »
petite précision, celà ne fonctionnera que sur les réseaux filaires dont les machines sont connectées entre elles par un hub et non par un switch qui fera que les paquets ne seront pas répétés à tous les membres du réseau mais ne transiteront qu’entre la machine et le switch. Par contre celà fonctionne en wifi, avec n’importe quel cryptage, tant que l’on est sur le réseau et que la carte wifi peut être passée en mode monitor.

De plus, il est tout à fait possible d’aller plus loin que cette extension, à savoir récupérer le mot de passe qui, je le rappelle, est transmis en clair via http. La seule solution reste une authentification https.
23

Simon le 26 octobre 2010 à 19:27

C’est là que vivre et travailler à 3 kilomètres de toute civilisation prend tout son intérêt
24

Tester des produits le 26 octobre 2010 à 21:33

Ca fait flipper ! Mais qu’appelez-vous réseau sans fil non sécurisé ? Ce sont les réseaux ouverts, comme au mac do ?
25

Dam le 27 octobre 2010 à 00:09

@Tester des produits: Oui !

Mais si tu veux encore plus flipper, sache que même sur des réseaux « sécurisés » (avec ou sans fil), il est facilement possible de détourner le trafic pour l’analyser, et donc voir tout ce qui se passe en clair, et même rediriger le trafic sécurisé sur un trafic « en clair » (cf. sslstrip). Donc gare à ceux qui ne font pas attention (c-a-d tout le grand public, sauf quand ça concerne leur CB, et encore…) !
26

Wismeryl le 27 octobre 2010 à 01:19

Ça fonctionne très bien chez moi sur un réseau Freebox depuis mon MacBook. Je n’ai pas essayé depuis mon PC sous Windows7 par contre, ça fonctionne aussi à Mc Donald’s.
27

ereOn le 27 octobre 2010 à 08:49

ça fonctionne aussi bien en WiFi qu’en cablé. Simplement, la plupart des réseaux cablés sont basés sur des commutateurs qui ne diffusent les paquets qu’aux hôtes concernés.

Par contre, un attaquant peut très simplement saturer la table de routage ethernet du commutateur ce qui le fait se comporter comme un hub (qui diffuse tout à tous les postes du réseau).

Une variante, plus ciblée, à base de requêtes ARP forgées malicieuses peut permettre d’arriver au même résultat.

En clair, dès que vous êtes en réseau local, il faut pour l’heure considérer que vos sessions FaceBook & cie. sont compromises.
28

Floby le 27 octobre 2010 à 16:11

The Next Web vient de publier un article sur des solutions possibles.
http://thenextweb.com/ca/2010/.....-fleecing/

dont la plus efficace est décrite ici : http://lifehacker.com/237227/g.....ocks-proxy

Les deux liens sont en anglais en revanche.
29

h-without-j le 27 octobre 2010 à 17:33

J’aime bien l’explication d’Eric des concepts techniques, un peu à la Jamy et Fred de France 3 ils sont lyonnais d’ailleurs non ?
30

ReSink le 27 octobre 2010 à 21:36

Petite précision: ça marche avec n’importe quel site, pas uniquement avec Facebook. Mais bon, c’est à la mode de dénigrer Facebook.

La seule façon de contourner est d’avoir un protocole https qui sécurise toutes les requêtes (vive GMail qui est en https depuis un bon moment).
Ca n’est pas de la faute des sites mais de la structure même du protocole http.
31

krg le 27 octobre 2010 à 22:20

Alors pour tout de meme préciser, le plugin a l’air de « juste » sniffer les requetes http
perso j’ai la derniere version de ff et je n’ai pas le menu sur la gauche.
Bref, wep wap2 ou ce que vous voulez, un man in the middle avec arp poising et cous chopez tout ce que vous voulez, routeur ou switch c’est pareil
Faut bien voir que ce plugin ne sert QUE a simplifier la méthode, moi je fait ca avec de l’arp et cela marche pareil… et pour finir pour ceux qui pense etre couvert sous un https devrait mieux chercher sur google les fakes cert fonctionne pas mal
32

Kossi Yetongnon le 28 octobre 2010 à 06:54

@Floby:

Si Firesheep s’avère redoutable lorsque vous utilisez un réseau Wifi non
sécurisé, j’ai découvert,en me connectant à mon réseau crypté en WPA sur
mon MacBook Pro,que Hotmail présentait une faille non moins délicate.
Grâce à Firesheep vous pouvez rouvrir n’importe quelle session Windows
Live même une fois que vous vous êtes délogué et ceci en étant connecté
sur un réseau privé sécurisé.
Ce qui est très sensible ici est que cette faille permet à votre proche
entourage ou personnes ayant un accès direct à votre ordinateur
d’accéder à volonté à n’importe quelle session Hotmail qui auraient été
lancée auparavant depuis votre poste.
J’ai fait le même test sur Facebook, Yahoo Mail ou Twitter et là ça ne
marchait pas par contre.

Pensez donc à ne pas égarer votre ordinateur portable ou vous vous
exposerez à la lecture de vos mails Hotmail à votre insu.

J’avais déjà laissé une note à ce sujet sur le blog d’Eric Butler plus tôt:
http://codebutler.com/firesheep-a-day-later
33

Sardacile le 29 octobre 2010 à 01:15

Quelqu’un pourrait m’expliquer en quoi c’est différent d’un sniffer genre WireShark ?
34

waize le 1 novembre 2010 à 19:56

Moi quand je teste sur des réseaux sécurisé ou pas il ne trouve absolument rien :/
bidon….
35

Zealyn le 8 novembre 2010 à 19:59

J’ai essayé. C’est tout simplement effrayant et déconcertant de facilité.

Quelques remarques toutefois concernant toute la littérature que l’on a pu lire sur firesheep ces derniers jours :
- Firesheep ne donne pas les logins et mots de passe de connexion de la personne.
- Firesheep demeure connecté au compte de l’utilisateur tant que celui-ci y est connecté.
36

Centelm le 9 novembre 2010 à 12:05

Blacksheep est arrivé http://techno.branchez-vous.co.....rivee.html
37

Jn le 17 novembre 2010 à 16:22

Salut qqn peut m aider
Je viens d installer firesheep mais ne recoit aucun donné et en cliquant sur les préférences ca dit error Cc is not definite…
Comment résoudre ce problem?
merci
38

clipper le 20 février 2011 à 22:09

..Soit ! et maintenant que le diagnostic est établi, que faire pour se proteger concrétement, lorsqu’on voyage et qu’on est obligé de se connecter depuis un hotel ou un lieu public, sur ses comptes en banque, ses comptes mails, etc… ????
39

Quentin le 27 juillet 2011 à 21:27

@waize C’est pas bidon il faut que tu te place en MITM en la victime et la passerelle
Pour te donner plus de détaille: http://quentinzone.fr/2011/07/.....-ettercap/

Ajouter un commentaire

Cliquer ici pour annuler la réponse.

Du bon usage des commentaires et des discussions sur Presse-citron :

- L'anonymat n'est pas incompatible avec la courtoisie et le respect de chacun.

- Les messages injurieux, agressifs, les critiques gratuites et non argumentées et les attaques personnelles seront supprimés et leurs auteurs bloqués.

- Les commentaires insinuant que tel article est "sponsorisé" par telle marque simplement parce-qu'il va à l'encontre de l'opinion d'untel seront également supprimés.

- Idem pour les commentaires publicitaires ou spams.

- Pour signaler une faute de frappe ou de syntaxe, contactez-nous exclusivement via cette page.

La vie en Web !
Presse-citron est un site d'information sur les tendances et les bons plans du web, les médias sociaux et les technologies mobiles.