Avec Firesheep, piratage et usurpation d’identité sur Facebook deviennent un jeu d’enfant

Ce qu’il y a de bien avec le web, c’est la rapidité des processus de vulgarisation, qui transforment inéluctablement les techniques les plus pointues en applications pour le grand public. Et ça marche même pour le piratage et l’usurpation d’identité. En voici un dernier exemple. Selon le côté où vous vous placez et votre état

Ce qu’il y a de bien avec le web, c’est la rapidité des processus de vulgarisation, qui transforment inéluctablement les techniques les plus pointues en applications pour le grand public. Et ça marche même pour le piratage et l’usurpation d’identité.

En voici un dernier exemple. Selon le côté où vous vous placez et votre état d’esprit, l’extension Firesheep pour Firefox pourrait devenir votre terrain de jeu favori ou votre pire cauchemar.

Firesheep ? Une extension imaginée, développée, et diffusée gratuitement, qui permet tout simplement de pénétrer dans l’ordinateur d’une personne connectée à un réseau WiFi non sécurisé auquel vous êtes vous-même branché. Le fonctionnement paraît relativement simple, ou en tout cas facile à expliquer : quand vous vous connectez sur un site comme par exemple Facebook, vous saisissez vos identifiants, constitués de votre login (adresse email) et de votre mot de passe. Vous avez certainement remarqué que si vous quittez le site en fermant votre navigateur sans avoir cliqué auparavant sur « Déconnexion », lorsque vous revenez la fois suivante, vous n’avez pas à saisir de nouveau vos identifiants.

C’est ce que l’on appelle une session, dont les données de connexion privées sont stockées dans un cookie. L’extension Firesheep se charge simplement de procéder à l’intrusion dans votre PC pour récupérer les données contenues dans les cookies et permettre à l’utilisateur malveillant de se connecter sur votre compte avec vos identifiants, à votre insu. C’est incroyable ce que l’on peut faire avec un WiFi mal protégé, qui se transforme en véritable boulevard d’entrée dans le cœur de vote ordinateur.

Récapitulons : vous êtes dans une salle d’attente à l’aéroport, en train de surfer sur le web grâce à une connexion WiFi ouverte et non sécurisée que votre PC portable a repérée. Je suis dans la même salle d’attente, connecté moi aussi au même réseau WiFi que vous, et j’ai installé l’extension gratuite Firesheep sur mon netbook. Je n’ai plus qu’à cliquer sur « Start capturing », et hop votre nom accompagné de votre photo apparaissent sur mon écran dans le navigateur. Il me suffit alors de cliquer dessus et je suis connecté en temps que VOUS sur VOTRE compte Facebook. Trop facile.

Tout cela sans débourser un centime et en installant juste une extension Firefox. Mais quelles sont les motivations qui poussent un développeur à mettre au point un script aussi dangereux que simple à utiliser ? La réponse du créateur de Firesheep, Eric Butler, un développeur indépendant basé à Seattle, Washington, USA :  « Les sites web ont la responsabilité de protéger les personnes qui dépendent de leurs services. Ils ont ignoré cette responsabilité pendant trop longtemps, et il est temps pour chacun d’exiger un web plus sûr. Mon souhait est que Firesheep aidera les utilisateurs à gagner. »

Pure philanthropie ? C’est plausible, pour deux raisons : l’application est gratuite et open source (alors que son créateur aurait pu au moins tenter de la vendre sous le manteau et ne pas en divulguer le code). Une extension pour prévenir plutôt que pour être utilisée à des fins malveillantes, mais qui pourrait bien causer quelques dégâts collatéraux si l’on imagine que ceux qui vont l’installer ne sont pas tous bardés des intentions louables de son créateur. Et aux dernières nouvelles ils seraient déjà plus de cent mille

Bien sûr la portée potentielle de l’extension est relativement limitée puisqu’elle ne fonctionne que sur des réseaux WiFi ouverts et non sécurisés, ce qui est de plus en plus rare (vous en trouvez encore, vous, à part ceux de quelques particuliers ?) mais selon les commentaires vus chez TechCrunch, elle pourrait également fonctionner entre postes sur un réseau LAN (par câble ethernet) fermé. Ce qui va tout de suite vous faire moins rire. Surveillez les mouvements suspects de votre voisin de bureau à partir de maintenant. J’ai en revanche testé sur mon réseau Freebox à domicile et cela ne semble pas fonctionner : la tentative de capture ne donne rien et l’application ne détecte pas les autres postes connectés. Mais mes compétences limitées en gestion et sécurisation de réseau ne me permettent pas d’en tirer des conclusions définitives.

Alors, faut-il s’inquiéter de l’arrivée de ce type d’extension ? Certainement. Surtout quand vous saurez que Firesheep ne se limite pas à Facebook mais fonctionne avec la plupart des grands sites web que vous utilisez au quotidien, comme Amazon.com, Basecamp, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost, tumblr, Twitter, WordPress, Yahoo, et Yelp.

Mais aussi pour les raisons évoquées en préambule : devenir pirate d’un jour (ou du dimanche) n’est plus réservé à une poignée de nerds ou de surdoués de l’informatique. Si même madame Michu peut s’introduire dans le Facebook de sa voisine ou hacker son blog, il va y avoir du sport.

(source)


Nos dernières vidéos

48 commentaires

  1. Ouch aider les utilisateurs à gagner?
    Quelque part les utilisateurs lambda n’ont rien à y gagner mais tout à perdre…
    Seul les geek mal intentionnés pourront s’amuser à détériorer des comptes d’utilisateurs ce qui me semblent mesquin…

  2. Bonjour,

    Vous précisez PC portable mais si on surfe avec un PDA c’est pareil, non ?

    Merci pour votre article, très intéressant. Mais que va-t-on faire dans les salles d’attente ?? Lire un livre ? o_O……..

    ;-)))

  3. S’il peut le faire avec une extension Firefox, quelque de malveillant (et compétant) pouvant déjà le faire en bidouillant. Il prouve ainsi à Facebook que leur site, c’est de la merde niveau sécurité. J’espère pour Facebook qu’ils vont réagir très vite parce que ça pourrait leur faire très mal au niveau réputation !
    Donc, bravo au développeur de forcer un site qui engrange des milliards à se sortir les doigts du c… pour bosser à autre chose qu’à récolter des dollars !

  4. Il est peu probable que l’extension fonctionne sur un LAN moderne car les postes sont probablement reliés par un switch (ou une box avec une fonction switch) et ne reçoivent pas les paquets IP des autres postes (le switch effectue une sorte de filtrage), contrairement au Wifi qui est un réseau de diffusion (broadcast). Certains vieux LAN (avec des hubs) sont vulnérables, et il existe des techniques plus complexes pour les LAN modernes.

  5. Je me demande si ça pourrait fonctionner sous Dolphin.
    En tout cas, je vais vite voir ce qu’il en est au boulot.

    ça devrait pas tournée si on utilise une machine virtuelle part contre. A tester ^^

  6. En LAN, c’est possible sur un réseau non switché : c’est-à-dire qui utilise des hubs (des répéteurs). Dans ce cas, tout le traffic réseau est renvoyé sur tous les ports.
    Il est vraissemblable que la freebox intègre un switch, ce qui explique que la capture ne fonctionne pas.

  7. hmm… je ne crois pas qu’il s’introduise dans le pc, il scan simplement le flux du reseau, comme sur n’importe quel reseau sur lequel il pourrait se connecter (wifi ou non). S’introduire dans une machine n’est pas aussi simple que ça, il faut y avoir été autorisé ! (a son insu (cheval de troie) ou non…).

  8. Je ne suis pas certain pour « pénétrer dans l’ordinateur d’une personne connectée à un réseau WiFi non sécurisé »…Disons plutôt que le cookie est contenu dans la requête du client vers le serveur!

  9. @eric: a propos de « elle ne fonctionne que sur des réseaux WiFi ouverts et non sécurisés, ce qui est de plus en plus rare (vous en trouvez encore, vous, à part ceux de quelques particuliers ? ». Bah oui, l’absolue totalité des hotspots publics, qu’ils soient gratuits ou payants (aéroports, MacDo, bars, etc…).

    Seule soluce pour se protéger, quand on est sur un hotspot wifi, ne naviguer que sur des sites en HTTPS (en l’occurrence, https://www.facebook.com). Je viens d’ailleurs de changer mon bookmark vers FB, je ne savais pas qu’ils avaient une version sécurisée.

  10. Jul +1. Facebook devrait imiter Gmail et passer en full HTTPS par défaut et pas uniquement sur le login. C’est bien de protéger les échanges de mot de passe mais c’est tout aussi important pour les identifiants de sessions. Le coût st peut-être plus important en terme de perfos.

  11. Pingback: Avec Firesheep, piratage et usurpation d’identité sur Facebook deviennent un jeu d’enfant « Veille du Net.com

  12. Bonjour, tout d’abord je suis un lecteur assidu bien que je ne commente que peu souvent. Mais je n’ai pu m’empêcher de remarquer quelques inexactitudes techniques.

    En effet, le plugin ne s’insinue dans aucun ordinateur. Il scanne juste les paquets du réseau qui sont :
    1) des requêtes HTTP
    2) vers Facebook
    3) qui envoie un cookie de session.

    Le principe est de capturer ce cookie de session et de se l’approprier. Comme ce cookie est le seul que facebook utilise une fois que vous êtes loggés, il ne peut pas faire la différence entre deux ordinateurs utilisant le même wifi ouvert. En effet, tous les ordinateurs partagent la même adresse IP sur l’internet.

    Pour résumer : Le plugin ne fonctionne que sur les wifi ouvert (et vraisemblablement faisable sur WEP). Il ne peut pas obtenir vos identifiants de connexion (qui eux sont transmis en HTTPS, faut pas déconner). Une fois volé, votre identifiant de connexion ne peut être utilisé depuis un autre accès sans que vous en soyez prévenus par Facebook.

    Accessoirement, il est tout aussi aisé de créer un plugin capable de détecter l’utilisation de firesheep, d’obtenir l’adresse MAC du pirate et surtout obtenir un autre identifiant de connexion (rendant obsolète celui précédemment utilisé).

    Voilà voilà, c’est finalement pas bien méchant. Pas la peine de faire peur à Mme Michu sur les méchant hackers qui rentre dans l’ordinateur à la JP Pernault.

    Merci de corriger =)

  13. Je me relis un peu tard.
    Dans la phrase « Une fois volé, votre identifiant de connexion ne peut être utilisé […] » il faut lire « session » et non « connexion »
    De plus, l’utilisation de ce plugin sur des réseau Ethernet n’est possible que sur des réseaux vieux de plus de 30 ans. personne n’utilise un seul cable Ethernet pour toute son installation et l’utilisation de switchs est très commune. Les hubs sont dangereux.

  14. Dire que ça fonctionne que sur des réseaux wifis non protégés est faux.
    Premièrement ça fonctionne sur des réseaux filaires, et deuxièmement le cryptage du wifi n’a rien à voir avec la faculté ou non de pouvoir sniffer.

    La seule contrainte est d’être dans le même réseau que la victime. Donc un hotspot crypté marcherait aussi, tant que vous avez la clef 🙂
    (hotspot d’hotel, de McDo, Gare, ou si le voisin vous a prêté la clef de sa livebox..)

    J’ai testé sur 2 ordis connecté en WPA et ça fonctionne.

    • Eric

      @Phollow : merci pour ces précisions, je vais corriger. Cela étant sur le test que j’ai fait sur les 3 PC connectés à la même Freeebox chez moi avec chacun un compte Facebook différent (deux sous Windows 7 et un sous XP) ça n’a pas marché, Firesheep ne sniffe rien

  15. Le meilleur moyen reste toujours de s’acheter un *vrai* routeur/vpn chez soit (la freebox et autres box sont des vraies m*rde sur ce plan là), et d’utiliser la connexion vpn dès qu’on quitte son réseau (même si le réseau n’est pas ouvert mais protéger en wpa2 il y a moyen de faire ce que fait cette extension firefox).

  16. Pingback: Avec Firesheep, même les nuls en informatique vont pouvoir pirater … « Mobiles in the City !

  17. « tourner » * (autocorrection de mon commentaire… m’apprendra à pas vérifier ce qu’écrit swype :/)

    Merci à la précision de Phollow.

  18. Pingback: Firesheep, hack has never been easier – firesheep | guideheroes.com

  19. Pingback: Ma revue du Web du jour ! (26/10/2010) | Geek & Cochonneries

  20. « Premièrement ça fonctionne sur des réseaux filaires. »
    petite précision, celà ne fonctionnera que sur les réseaux filaires dont les machines sont connectées entre elles par un hub et non par un switch qui fera que les paquets ne seront pas répétés à tous les membres du réseau mais ne transiteront qu’entre la machine et le switch. Par contre celà fonctionne en wifi, avec n’importe quel cryptage, tant que l’on est sur le réseau et que la carte wifi peut être passée en mode monitor.

    De plus, il est tout à fait possible d’aller plus loin que cette extension, à savoir récupérer le mot de passe qui, je le rappelle, est transmis en clair via http. La seule solution reste une authentification https.

  21. @Tester des produits: Oui !

    Mais si tu veux encore plus flipper, sache que même sur des réseaux « sécurisés » (avec ou sans fil), il est facilement possible de détourner le trafic pour l’analyser, et donc voir tout ce qui se passe en clair, et même rediriger le trafic sécurisé sur un trafic « en clair » (cf. sslstrip). Donc gare à ceux qui ne font pas attention (c-a-d tout le grand public, sauf quand ça concerne leur CB, et encore…) !

  22. Ça fonctionne très bien chez moi sur un réseau Freebox depuis mon MacBook. Je n’ai pas essayé depuis mon PC sous Windows7 par contre, ça fonctionne aussi à Mc Donald’s.

  23. Pingback: Eviter de se faire pirater ses comptes avec ForceTLS | Un autre regard

  24. ça fonctionne aussi bien en WiFi qu’en cablé. Simplement, la plupart des réseaux cablés sont basés sur des commutateurs qui ne diffusent les paquets qu’aux hôtes concernés.

    Par contre, un attaquant peut très simplement saturer la table de routage ethernet du commutateur ce qui le fait se comporter comme un hub (qui diffuse tout à tous les postes du réseau).

    Une variante, plus ciblée, à base de requêtes ARP forgées malicieuses peut permettre d’arriver au même résultat.

    En clair, dès que vous êtes en réseau local, il faut pour l’heure considérer que vos sessions FaceBook & cie. sont compromises.

  25. Pingback: Avec Firesheep le vol de session devient un jeu d'enfant. | Gizeek

  26. J’aime bien l’explication d’Eric des concepts techniques, un peu à la Jamy et Fred de France 3 😉 ils sont lyonnais d’ailleurs non ?

  27. Petite précision: ça marche avec n’importe quel site, pas uniquement avec Facebook. Mais bon, c’est à la mode de dénigrer Facebook.

    La seule façon de contourner est d’avoir un protocole https qui sécurise toutes les requêtes (vive GMail qui est en https depuis un bon moment).
    Ca n’est pas de la faute des sites mais de la structure même du protocole http.

  28. Alors pour tout de meme préciser, le plugin a l’air de « juste » sniffer les requetes http
    perso j’ai la derniere version de ff et je n’ai pas le menu sur la gauche.
    Bref, wep wap2 ou ce que vous voulez, un man in the middle avec arp poising et cous chopez tout ce que vous voulez, routeur ou switch c’est pareil
    Faut bien voir que ce plugin ne sert QUE a simplifier la méthode, moi je fait ca avec de l’arp et cela marche pareil… et pour finir pour ceux qui pense etre couvert sous un https devrait mieux chercher sur google les fakes cert fonctionne pas mal 🙂

  29. Kossi Yetongnon on

    @Floby:

    Si Firesheep s’avère redoutable lorsque vous utilisez un réseau Wifi non
    sécurisé, j’ai découvert,en me connectant à mon réseau crypté en WPA sur
    mon MacBook Pro,que Hotmail présentait une faille non moins délicate.
    Grâce à Firesheep vous pouvez rouvrir n’importe quelle session Windows
    Live même une fois que vous vous êtes délogué et ceci en étant connecté
    sur un réseau privé sécurisé.
    Ce qui est très sensible ici est que cette faille permet à votre proche
    entourage ou personnes ayant un accès direct à votre ordinateur
    d’accéder à volonté à n’importe quelle session Hotmail qui auraient été
    lancée auparavant depuis votre poste.
    J’ai fait le même test sur Facebook, Yahoo Mail ou Twitter et là ça ne
    marchait pas par contre.

    Pensez donc à ne pas égarer votre ordinateur portable ou vous vous
    exposerez à la lecture de vos mails Hotmail à votre insu.

    J’avais déjà laissé une note à ce sujet sur le blog d’Eric Butler plus tôt:
    http://codebutler.com/firesheep-a-day-later

  30. J’ai essayé. C’est tout simplement effrayant et déconcertant de facilité.

    Quelques remarques toutefois concernant toute la littérature que l’on a pu lire sur firesheep ces derniers jours :
    – Firesheep ne donne pas les logins et mots de passe de connexion de la personne.
    – Firesheep demeure connecté au compte de l’utilisateur tant que celui-ci y est connecté.

  31. Salut qqn peut m aider
    Je viens d installer firesheep mais ne recoit aucun donné et en cliquant sur les préférences ca dit error Cc is not definite…
    Comment résoudre ce problem?
    merci

  32. Pingback: L'extension Firefox FireSheep - Le piratage facile | Kicoe.net - Le blog

  33. ..Soit ! et maintenant que le diagnostic est établi, que faire pour se proteger concrétement, lorsqu’on voyage et qu’on est obligé de se connecter depuis un hotel ou un lieu public, sur ses comptes en banque, ses comptes mails, etc… ????

  34. Pingback: Arrêtez de vous faire pirater votre compte Facebook ! | J'déBlog !

  35. Pingback: Regardailleurs » Petites leçons d’hygiène de la sécurité

Répondre