Discussion :

[Idelways]

Une extension pour Firefox contrecarre l'extension polémique Firesheep
BlackSheep affiche l'adresse IP des pirates « en herbe »

Mise à jour du 09/11/2010


Si « Firesheep », l'extension polémique pour Firefox, a réussi le pari de sensibiliser les internautes et certains sites au besoin impérieux de sécuriser les authentifications, elle n'en reste pas moins, concrètement, un outil redoutable de piratage très (trop ?) « user friendly ».

Cette extension qui permet de récupérer des cookies sur les réseaux Wi-Fi ouverts et d'accéder ainsi à de nombreux services en se jouant des étapes d'identification (lire ci-avant), a valu de nombreuses inimitiés à son créateur, Eric Butler.

Plusieurs développeurs, assez choqués que leur navigateur préféré puisse mettre le piratage à la portée de tous, ont donc décidé de créer la parade. Plusieurs solutions anti-Firesheep ont ainsi vu le jour, comme BlackSheep.

BlackSheep est aussi une extension pour Firefox. Elle utilise même une bonne partie du code de Firesheep.

BlackSheep détecte si une instance de Firesheep balaye le réseau pour usurper les sessions en répandant dans le réseau de faux cookies d'identification.

Bien qu'elle ne puisse empêcher Firesheep de collecter les vraies cookies, elle essaye de l'induire en erreur, affiche l'adresse IP de l'utilisateur indiscret et recommande à la victime potentielle de fermer sa session.

Une bonne prévention. Et surtout une illustration de la vitesse de réaction des développeurs.

Une rapidité qui fait défaut, diront certains, aux sites populaires qui ont du mal à se décider à passer à l'authentification sécurisée.

BlackSheep est disponible en téléchargement gratuit sur le site de son éditeur


Source : Zscaler


Et vous ?

Allez-vous installer BlackSheep ?
Pensez-vous que les sites devraient tous rapidement passer à l'authentification sécurisée ?

En collaboration avec Gordon Fowler




Firefox : une extension de piratage téléchargée 100 000 fois
« Firesheep » pose le problème de la sécurité des cookies, des Wi-Fi et des sites non sécurisés


Une extension du navigateur Firefox, baptisée Firesheep, est en fait un usurpateur de cookies. Elle a été téléchargée 104 000 fois en 24 heures entre curieux et... malintentionnés.

L'extension permet à n'importe qui de récupérer des identifiants (puis de les utiliser pour se connecter) aux comptes des utilisateurs connectés via un réseau Wi-Fi non-sécurisé à un site qui n'utilise pas de connexions HTTPS sécurisées. Parmi ceux-ci on compte de nombreux sites populaires, dont Facebook et Twitter

Firesheep a été développée par Eric Butler pour attirer l'attention des acteurs majeurs du web, social notamment, sur un laxisme latent en terme d'identification sécurisée.

Et cela a marché. Trop même, ce développeur américain indépendant déclare sur son blog qu'il ne s'attendait pas à ce que « Firesheep » arrive dans le Top 10 des requêtes Google les plus recherchées aux États-Unis.

Butler explique que sur un réseau wifi non sécurisé, les cookies ne sont pas forcément chiffrés et sont donc faciles à intercepter. Il est donc aisé de les copier sur son navigateur et de se faire passer pour quelqu'un d'autre.

Un procédé que son extension automatise et rend très facile.

Si elle ne permet pas directement d'avoir le mot de passe de l'utilisateur, elle ouvre néanmoins la porte au vol d'une foultitude d'informations, voir d'effectuer des transactions bancaires.

Cette vidéo explique en image le fonctionnement de cet exploit :

Mais Eric Butler ne s'est pas expliqué sur les questions d'éthiques.

Faire le buzz autour d'un problème de sécurité justifie-t-il de mettre entre les mains de 100 000 pirates potentiels une arme aussi redoutable ?

Facebook, le premier réseau mondial et par conséquent le plus exposé, a vite réagit et affirme qu'un mécanisme d'identification sécurisé est en cours de test.

Il était temps ?


Source : blog d'Eric Butler

Et vous ?

Que pensez-vous de la démarche d'Eric Butler ?

En collaboration avec Gordon Fowler

[Arpheus]

Que pensez-vous de la démarche d'Eric Butler ?

Efficace, mais extrème.
Transformer une pseudo menace en réelle menace à la portée de tous était en effet le meilleur moyen d'obtenir une réaction rapide et efficace de ces sites internet.
En revanche, m'est avis qu'il n'est pas à l'abris de poursuites juridiques quelconques

[Marco46]

Butler explique que sur un réseau wifi non sécurisé, les cookies ne sont pas forcément cryptés et sont donc faciles à intercepter. Il est donc aisé de les copier sur son navigateur et de se faire passer pour quelqu'un d'autre.

[MODE_MAITRE_CAPELLO]
On chiffre un message avec une clef publique (asymétrique) ou de session (symétrique).
On déchiffre un message chiffré avec la clef privée correspondante ou la clef de session utilisée.
Et quand on a pas la clef privée ou de session, l'opération consistant à chercher à obtenir le message en clair est appelée décryptage.

Crypter n'existe pas et fait perdre du sens aux mots.
[/MODE_MAITRE_CAPELLO]

[Neko]

[MODE_MAITRE_CAPELLO]
Crypter n'existe pas et fait perdre du sens aux mots.
[/MODE_MAITRE_CAPELLO]

Mettre dans une crypte ?

[Gordon Fowler]

@Marco46

Tout à fait.

Merci pour ce rappel, c'est corrigé

Cordialement,

Gordon

[Flaburgan]

Il a créé l'extension, mais il n'a pas fait de tuto sur comment l'utiliser non ? Donc il n'y a pas de réel PoC...

[Julien Bodin]

[MODE_MAITRE_CAPELLO] [...]
[/MODE_MAITRE_CAPELLO]

La dernière fois que j'ai rappelé ça je me suis fait incendier

[Hellwing]

Il a créé l'extension, mais il n'a pas fait de tuto sur comment l'utiliser non ? Donc il n'y a pas de réel PoC...

C'est en fait pire qu'un PoC : Non seulement il expose la faille au grand jour, mais en plus il propose un outil pratique à la portée de tout le monde pour l'exploiter. Même pas besoin de lire une doc technique pour savoir comment expoiter la faille, l'extension Firefox a mâché tout le travail.

[dams78]

Ya plus simpe il me semble : un coup de wireshark une fois connecté au wifi.

[Marco46]

La dernière fois que j'ai rappelé ça je me suis fait incendier

Je me fais régulièrement traiter de facho avec cette remarque mais comme je suis très très têtu ...

[spawntux]

Bonjour,

Ce n'est en rien une faille, ni un PoC d'ailleurs c'est juste un soft add on firefox permettant de récupérer le trafic et d'envoyer une requête.

Aucun réel exploit la dedans sauf la facilité. Wireshark fait de même, tcpdump et j'en passe.

En gros ce n'est en rien un exploit c'est juste un outil, en même temps aller sur son site bancaire depuis un wifi publique (sans tunnel ssh ni rien) faut être idiot non ? Il n'y a que moi qui le pense ?

Ensuite nombreux ici sont les gens qui utilise des mots sans connaitre leurs réel portée donc il serait intéressant de s'abstenir.

Bien cordialement

[dams78]

Ca existe des sites bancaires qui n'utilise pas l'https?

[elias551]

Le vol de cookie permet de voler la session ok mais la surface d'attaque est pas énorme... En admettant que soit:
on se connecte à une borne wifi non sécurisée,
on se branche à un hub,
ou qu'on vole les cookies directement sur la machine (et la ca va plus vite sans l'extension!)...

Ça reste quand même des cas rares pour pirater un compte

[Hellwing]

Bonjour,

Ce n'est en rien une faille, ni un PoC d'ailleur c'est juste un soft add on firefox permettant de récupérer le trafic et d'envoyer une requête.

Aucun reel exploit la dedans sauf la facilité. Wireshark fait de meme, tcpdump et j'en passe.

En gros ce n'est en rien un exploit c'est juste un outil, en meme temps aller sur son site bancaire depuis un wifi publique (sans tunnel ssh ni rien) faut etre idiot non ? il n'y a que moi qui le pense ?

Ensuite nombreux ici sont les gens qui utilise des mots sans connaitre leurs reel portée donc il serait interessant de s'abstenir.

Bien cordialement

Au temps pour moi. Tu as tout à fait raison sur ce point, je n'aurai pas dû utiliser le terme PoC.

Cependant, et cela n'engage que moi, j'estime que fournir une telle fonctionnalité relève de la malveillance (même si elle est fortement limitée, c'est plutôt sur le principe que je réagis). Pour moi, le vol de cookie relève d'une faille, pas d'une fonctionnalité. Donc toute extension qui en profite, est à mon sens une exploitation de cette faille.

[kimz]

la question que je me pose : est-ce qu'en ayant une connexion wi-fi partagé en entreprise (avec filtrage sur adresses mac), est-ce que ça donnerait à un utilisateur la possibilité d'exploiter cette faille (si on peut appeler ça une faille) ?
Personnellement j'ai testé mais le plugin bugue chez moi, donc je n'ai pas pu voir s'il y avait ou pas de résultats, et c'est important que je sache si c'est exploitable à mon niveau

[homeostasie]

Bonjour,

Pour moi, le vol de cookie relève d'une faille, pas d'une fonctionnalité.

Le vol de cookie n'est pas une faille mais un acte de malveillance d'une personne.

La récupération de cookie peut se faire de différentes manières comme en fait part elias551:
- Dans un lieu public voire directement sur son pc perso. Notamment quelqu'un qui oublie de se dés-authentifier avant de fermer son navigateur, sa session restera donc valide pour un certain temps. On pourrait parler de faille humaine.
- Via l'exploitation d'une faille WEB
- Sur un réseau local non switché ou sur un réseau Wifi public, HTTP n'étant pas chiffré (ceci n'est pas une faille), il est possible d'écouter en clair ce qu'il se passe sur le réseau.

L'outil en question se base sur le dernier cas et n'exploite aucune faille pour récupérer le cookie.
Même si des outils existent déjà à un public averti, il est vrai que créer ce genre d'extension facilitera le vol de cookies pour un large public ignorant le principe de fonctionnement sous-jacent.

est-ce qu'en ayant une connexion wi-fi partagé en entreprise (avec filtrage sur adresses mac), est-ce que ça donnerait à un utilisateur la possibilité d'exploiter cette faille (si on peut appeler ça une faille) ?

Je ne reviens pas sur l'histoire de la faille mais la réponse est oui.

et c'est important que je sache si c'est exploitable à mon niveau

De quel niveau parles tu?

[smoufid]

bonjour,
je crois que le domaine des extension doit etre controlé durement.

[kimz]

Bonjour,
La récupération de cookie peut se faire de différentes manières comme en fait part elias551:
(...)
- Sur un réseau local non switché ou sur un réseau Wifi public, (...)

que veux-tu dire par LAN non switché ?

est-ce que ça donnerait à un utilisateur la possibilité d'exploiter cette faille (si on peut appeler ça une faille) ?

Je ne reviens pas sur l'histoire de la faille mais la réponse est oui.

Du moment que le problème se poserait y compris entre des utilisateurs légitimes d'un réseau wi-fi filtré, pourquoi mettre l'accent sur les réseau publics, que l'interception se fasse par collègue dans uhn réseau wi-fi de l'entreprise ou un inconnu au McDo, le résultat est le même, et on ne peut remonter à l'origine de l'écoute (l'usurpateur) ..

et c'est important que je sache si c'est exploitable à mon niveau

De quel niveau parles tu?

Au niveau de l'entreprise qui met à disposition de ses employés et collaborateurs un réseau wi-fi, même s'il est filtré par adresse mac.

En d'autres termes, comment pourrait-on empêcher l'exploitation des cookies sur un wi-fi filtré ? Est-ce que tout réseau wi-fi même à accès restreint est vulnérable sur ce point ?

Sinon, wireshark permet bien l'écoute du réseau, mais il ne met pas à disposition les cookies, sauf s'il s'agit de l'envoi d'information d'authentification en clair (http), effectivement comme pour tout snifer c'est problématique

[Julien Bodin]

que veux-tu dire par LAN non switché ?

Un LAN où tous les postes reçoivent les paquets qui transitent (Hub)

[spawntux]

bonjour,
je crois que le domaine des extension doit etre controlé durement.

Je ne vois pas en quoi le fait que ca sois une extension change quelque chose a la donne et surtout en quoi le fait de contrôlé des extensions rendrais la choses plus secure ? ca servirait juste a cacher.

que veux-tu dire par LAN non switché ?
Du moment que le problème se poserait y compris entre des utilisateurs légitimes d'un réseau wi-fi filtré, pourquoi mettre l'accent sur les réseau publics, que l'interception se fasse par collègue dans uhn réseau wi-fi de l'entreprise ou un inconnu au McDo, le résultat est le même, et on ne peut remonter à l'origine de l'écoute (l'usurpateur) ..
Au niveau de l'entreprise qui met à disposition de ses employés et collaborateurs un réseau wi-fi, même s'il est filtré par adresse mac.

Plus ou moins faux c'est a dire que cela dépend de l'entreprise, généralement le proxy est un proxy authentifié qui se sert du ldap en place de l'entreprise ou des comptes du domaines en l'occurence ca risque des laisser des traces dans les logs du proxy.
Ce genre controle ne pas forcement pas etre mis en place sur hotspot public bien qu'il doit y avoir moyen d'identifier la personne via ca session au hotspot sfr par exemple mais faudrait il encore qu'un admin ai acces aux logs.

En d'autres termes, comment pourrait-on empêcher l'exploitation des cookies sur un wi-fi filtré ? Est-ce que tout réseau wi-fi même à accès restreint est vulnérable sur ce point ?

Tout reseau est vulnerable sur ce point wifi ou pas (meme si beaucoup de gens vont utiliser la dite extension seulement en wifi ou reseau hub car aucune autre attaque a mettre en oeuvre).
La premiere solution reste la sensibilisation des utilisateurs pas aller sur des sites contenant des datas a risque (webmail ? facebook ?) c'est comme ci tu roulais a 230 km/h sur une route dont tu ne connais rien, ni l'etat du bitume ni la topographie.
Seconde solution ca revient a ce que j'ai mis plus haut une politique de sécurité plus ou moins sévère.

Sinon, wireshark permet bien l'écoute du réseau, mais il ne met pas à disposition les cookies, sauf s'il s'agit de l'envoi d'information d'authentification en clair (http), effectivement comme pour tout snifer c'est problématique

Les cookies transitent sur wireshark hein apres tu as juste a formé ton cookie (c'est 3 lignes de python). Encore une fois rien n'est problématique ici
je vois vraiment pas ou est le souci les données arrives, elles circulent dont on peut les lires apres chiffré ou pas c'est une autre histoire et c'est a toi plus ou moins de faire attention, il n'y a pas de solution miracle mais la sensibilisation des personnes en leurs expliquant vraiment ce qu'il en est semble la meilleur solution, j'insiste sur le vraiment les reportages divers qui font naitres la peur chez les gens c'est nul et ca fait pas avancer les mentalites ca permet juste de creer des moutons.