Firesheep : le sidejacking pour les nuls
Des cookies qui se sniffent et qui s’injectent ?
Firesheep, à sa sortie, a fait l’effet d’une bombe. C’était ultra-prévisible, et pourtant ça a mis des années à être mis au point : un logiciel qui mette à la portée de tous l’écoute et l’injection de cookies qui circulent sur un réseau local. Ce concept d’attaque, qui permet assez facilement d’usurper l’identité de quelqu’un en ligne, est loin d’être nouveau, car il remonte à la création-même des cookies. Petite mise au point rapide.
Lorsque vous vous connectez à un site web en saisissant des identifiants, la plupart du temps, votre identité n’est vérifiée qu’à la connexion. Une fois cette étape franchie, un cookie est envoyé par le site vers votre ordinateur, constituant une sorte de laisser-passer valable pour une session. Cette session a une durée variable, et elle prend généralement fin lorsque vous cliquez sur “me déconnecter” ou lorsque vous cessez d’être actif plus d’un certain temps. Mais parfois beaucoup, beaucoup plus longtemps, je pense notamment à ces sites qui disposent d’une option “me maintenir connecté”. GMail, Facebook, eBay, la majorité des sites permettent cela, et c’est bien là-dessus que table le “sidejacking”.
Le sidejacking, ou plus prosaïquement “HTTP session jacking”, consiste à écouter le réseau (ou le “sniffer”, comme le disent les anglophones) et conserver tous les cookies qu’on peut y déceler, pour ensuite se les approprier et ainsi se faire passer pour la personne qui en est propriétaire, par une injection de ses cookies dans un autre navigateur. C’est un peu comme si vous achetiez un ticket pour une journée dans un club et que quelqu’un parvienne à en faire une copie parfaite sans que vous ne le sachiez. Il peut ainsi entrer en se faisant passer pour vous.
Le sidejacking n’a rien de très compliqué, l’essentiel pour le pirate étant d’avoir accès à votre réseau. Si vous êtes en réseau filaire, il doit pouvoir s’y relier, ce qui nécessite de pouvoir entrer chez vous. Si vous êtes en WiFi, il doit casser votre clé WPA. Car vous utilisez le protocole WPA pour vous protéger, bien entendu. Non ? Alors mauvaise nouvelle pour vous, vos identifiants en ligne sont faciles à “écouter”. Je ne reviendrai pas sur la problématique de sécuriser son accès WiFi, après tout même Hadopi menace de vous couper l’accès au net si vous ne vous protégez pas.
L’autre élément qui rend les sessions HTTP si faciles à analyser, c’est justement ce sigle de 4 lettres : HTTP. Vous avez probablement remarqué que certains sites sont accessibles par une adresse en “https://” au lieu de “http://” : ce tout petit “s” est la clé de tout. Car il signifie que la communication est chiffrée et ne peut donc pas être analysée par un autre utilisateur du réseau. Vos cookies continuent donc de circuler, mais sans être repérables, ni récupérables.
La triste réalité de bon nombres de sites web est là : ils ne chiffrent qu’une partie des échanges, les autres circulent en clair, à commencer par les cookies. Même si vos identifiants ne sont pas visibles directement, un utilisateur peut dupliquer les laisser-passer, surtout s’ils ont une longue durée de vie. Rassurez-vous, les sites de banque et de paiement en ligne sont passés au HTTPS depuis longtemps. Mais on ne peut pas en dire autant de tous les autres.
Voici donc, pour ceux qui ont pris peur à l’annonce de la sortie de Firesheep, quelques idées pour protéger vos précieuses données personnelles :
– Sécurisez votre réseau WiFi !! On ne le dira jamais assez, un réseau qui n’utilise pas le WPA est un réseau vulnérable en quelques minutes maximum ;
– Utilisez un webmail en HTTPS exclusivement : si quelqu’un peut se faire passer pour vous et accéder à vos emails, il a potentiellement accès à tous les sites que vous fréquentez en utilisant la fonction “mot de passe oublié” ;
– Essayez d’ajouter le fameux “s” à l’adresse de vos sites préférés, avec un peu de chance vous aurez ainsi accès au même service, mais de manière chiffrée de bout en bout. Hélas, certains sites, et pas des moins populaires, se refusent encore à offrir ce service (essentiellement à cause des ressources consommées… et de la naïveté de leurs utilisateurs) ;
– Sur le sites où des achats sont possibles, évitez absolument d’utiliser l’option “rester connecté” : privilégiez l’enregistrement des mots de passe par le navigateur. Cela reste une brèche de sécurité, mais nettement moins béante puisqu’il faut avoir accès physique à votre machine pour vous compromettre.
Pour finir, et pour reprendre les mots de l’auteur de Firesheep, ne soyez pas non plus parano en allant jusqu’à ne plus utiliser de réseaux WiFi ouverts. Le sidejacking n’est PAS une faille de réseau, mais une faille de sécurité sur les sites web. Si vous surfez sur un réseau non protégé, privilégiez systématiquement le HTTPS quand il existe, et si tel n’est pas le cas, déconnectez-vous du site dès que vous avez en avez fini avec le celui-ci.