Méfiez-vous des points d’accès Wifi non sécurisés à cause de FireSheep

FireSheep l’ extension pour le navigateur Firefox est un vrai danger pour tous les internautes qui se connectent via un réseau Wifi sans fil non sécurisé à un certain nombres de sites comme Twitter, WordPress, Yahoo, Facebook. La liste complète des sites qui permettent à cette extension de montrer sa dangerosité est longue (Amazon, Basecamp, bit.ly, Cisco, CNet, Dropbox, Enom, Evernote, FaceBook, Flickr, FourSquare, Github, Google, Gowalla, Hacker News, Harvest, Windows Live, New York Times, Pivotal Tracker, ToorCon: San Diego, Slicehost, Tumblr, Twitter, WordPress, Yahoo, Yelp).

Le danger est omniprésent: Lorsque vous vous connectez à un de ses sites à partir d’ un réseau sans fil non sécurisé alors une personne extérieure qui a installé cette extension voit exactement tout ce que vous y faîtes et peut aussi hacker, voler votre compte.

Le principe est simple: Lorsque vous ouvrez une session sur un site tel que Facebook, celui-ci émet un cookie d’autorisation. En gros, ce cookie vous permet de naviguer d’une page à l’autre sur le site sans devoir constamment réinscrire votre mot de passe. Une personne qui utilise FireSheep récupérera votre cookie Facebook et ouvrira une session active sur votre réseau social favori. Les cookies de session pour maintenir la connexion de l’utilisateur sont évidemment utiles, mais il expose les utilisateurs à des problèmes de sécurité importants pour ceux qui accèdent le Web depuis un point d’accès Wifi non sécurisé.

Le résultat est impressionnant: J’avoue avoir été un peu sceptique lors de la sortie de ce plugin FireSheep. Cette méthode de « Session hijacking« , en interceptant les cookies de connexion émis sur des réseaux wifi non protégés, existe depuis longtemps et était réservée à des patriciens du hacking. FireSheep c’est la facilité à portée de main. En le testant moi même j’ ai été bluffé.

Les motivations de l’ auteur: E. Butler veut dénoncer le manque de sécurité que propose les sites Web . Les sites négligent cet aspect en ne fournissant pas de certificat SSL. Il veut pousser les sites à parfaire leur sécurité afin d’éviter que leurs utilisateurs fassent l’ objet d’ attaques inutiles. Le règne du SSL !!! Le concepteur du plugin ne veut pas dénoncer le Wifi non sécurisé mais le manque de connexion en HTTPS.

Solutions: L’ auteur en préconise trois (HTTPS-EverywhereForce-TLS — VPN) tout en montrant les limites de chaque solution.

Pour les VPN, il en souligne deux (en Anglais dans le texte et cité intégralement):

  • While we metnioned that VPNs and SSH tunnels can be helpful just above this, we want to emphasize that it’s just pushing the problem to that VPN or SSH endpoint. Your traffic will then leave that server just as it would when it was leaving your laptop, so anyone running Firesheep or other tools could access your data in the same way. These are solutions that require at least some understanding of networking and risks at hand. A blind suggestion of “Use a VPN” doesn’t really solve the problem and may just provide a false sense of security.En fait il pose le problème, récurrent, de la confiance que nous devons avoir vis à vis de notre fournisseur de VPN. C’est pourquoi il faut privilégier les VPN bien établis et sérieux comme VyprVPN

  • Another problem with VPNs is that they don’t work all the time. Sometimes they just disconnect, and your traffic is all routed over your normal interface without any notice. The built in VPN clients on OSX, the iPhone, and iPad are particularly bad at this. C’est pourquoi il faut privilégier l’ OpenVPN plus stable, privilégier des VPN qui assurent une technique et une stabilité de connexion quasi-irréprochable. Ne pas hésiter à installer GuizmoOVPN sur son iphone, ipad.

La sécurité et nous le rejoignons sur ce point ne peut être assurée seulement par un outils, un protocole, un logiciel, …. Les VPN, sujet sur le blog qui nous passionne, sont un outils qui doivent s’ intégrer, rejoindre s’ accumuler à un ensemble. Même si cet outils seul est déjà extrêmement efficace.

Lors de nos tests les résultats anti-FireSheep sont probants avec un VPN !!! On a utilisé VpnTunnel.Se et VyprVPN. Aucun soucis, la colonne latérale est restée vide, VyprVPN et Vpntunnel sont en plus deux VPN de confiance.

5 derniers articles de Mahi

Share

9 Commentaires sur “Méfiez-vous des points d’accès Wifi non sécurisés à cause de FireSheep”

LAISSER UN COMMENTAIRE

  1. yzy-oui-fi dit :

    j’aime bine l’idée proposé par Z3t, seulement….ca ne protège pas vraiment le réseau, ca informe le client réseau sur lequel il est installé du risque. Quelqu’un a t’il idée des ports, protocoles réseau utilisé par Firesheep? juste histoire de le bloquer au niveau firewall router?

  2. Mahi dit :

    salut philippe734,

    en gratuit as-tu essayé proxpn ? => http://www.vpnblog.net/serveurs-vpn-gratuits/

    en openvpn (en passant par guizmo) les résultats sont comment ?

  3. philippe734 dit :

    Merci pour l’info. Raison de plus de se protéger sur un Wifi non sécurisé.
    J’en profite pour poser une question :
    Quel VPN gratuit peut-être utilisé sur les Hotspots Neuf/SFR ? Parce que, ni ultravpn et ni mon VPN payant de type pptp ne me le permet pas.

  4. san-claudio dit :

    Merci pour l’info .

    et j’installe BlackSheep 1.3 sur Firefox .

    http://www.zscaler.com/blacksheep.html

    http://www.zscaler.com/images/firesheep1.png

    Requirements In order to install BlackSheep, you need:

    * Windows: XP or newer. Install Winpcap first!
    * Firefox: 3.5 or newer. 32-bit only.
    * Linux  http://research.zscaler.com/2010/11/blacksheep-for-linux.html
     

  5. Zt3 dit :

    Pas trop de moyen de s’en prémunir non, comme tu le dis, cette technique existe depuis longtemps.
    Par contre, il y a un moyen de vérifier si Firesheep tourne sur le réseau sur lequel vous êtes connectés. J’en parle sur mon blog : http://systemf4ilure.blogspot.com/2010/11/debusquer-les-utilisateurs-de-firesheep.html

  6. willemijns dit :

    Ce probleme a toujours existé mais il devient public 😉

  7. khalis dit :

    wow impressionnant, cette faille!
    Merci de la news et encore une fois, heureusement que le VPN est là!

  8. […] This post was mentioned on Twitter by Contact, Clubinformatik. Clubinformatik said: Méfiez-vous des points d’accès Wifi non sécurisés à cause de FireSheep: FireSheep l’ extension pour le navigateu… http://bit.ly/9sI5Vm […]