En créant Firesheep, un développeur a dévoilé les lacunes des sites et des services web en matière de sécurité et de confidentialité. En l’installant sur votre ordinateur, ce plug-in peut mettre la main sur les données de connexion requises pour pirater les sessions web d’autres internautes sur des réseaux Wi-Fi non sécurisés.
Firesheep donne ainsi accès aux sessions non chiffrées du protocole http permettant aux utilisateurs de ce segment de réseaux d’avoir un accès aux réseaux sociaux, aux services en ligne et à tout autre site web exigeant un identifiant. Les sites concernés sont Facebook, Twitter, Flickr, Google, Amazon, Yahoo, WordPress, etc.
«Aussitôt qu’une personne sur le réseau visite un site web non sécurisé connu de Firesheep, son nom et ses photos seront affichés», explique Eric Butler, le développeur à l’origine de l’extension. Une personne malveillante n’a qu’à double cliquer sur l’identifiant d’un internaute pour s’approprier son identité sur plusieurs sites web. «Lorsqu’on parle de la sécurité informatique des usagers, SSL est l’éléphant dans un magasin de verre», poursuit-il.
L’extension se présente sous forme de panneau latéral dans Firefox, affiche l’avatar et le nom des gens qui se font « attraper ». En double cliquant sur cet avatar, vous êtes alors automatiquement loggé sur le compte de la personne, et vous pouvez accéder à ses informations personnelles. Rien de vraiment nouveau dans cette technique de sniffing, si ce n’est que maintenant c’est à la portée de n’importe qui.
En concevant cette extension, son développeur souhaitait pousser à la sécurisation d’Internet, en démontrant ainsi que la protection des internautes utilisant des sites non sécurisés n’était pas assurée par ces derniers.
Firesheep a été téléchargé plus de 30 000 fois, mais ce chiffre augmente très vite. L’extension est compatible avec Windows, Mac OS X et une version pour Linux est en développement. En attendant que tous ces sites corrigent cette faille, il est possible de télécharger l’extension Firefox Force-TLS, qui force l’utilisation du protocole HTTPS.
Nordnet se réserve le droit de publier ou de ne pas publier le commentaire. Le champ du commentaire n’est pas destiné à recevoir une question liée à de l’aide ou de l’assistance. Si vous avez besoin d’aide, vous pouvez consulter la page d’assistance disponible sur le site de Nordnet.com à l’adresse : https://assistance.nordnet.com/ ou contacter le service clients (appel non surtaxé) au 3420.
Ces informations sont nécessaires au traitement de votre commentaire à moins qu’elles ne soient indiquées comme étant facultatives. Elles font l’objet d’un traitement informatisé, sous la responsabilité du PDG de Nordnet chargés de l’exécution de votre demande et de toute suite qui pourraient en résulter. Conformément aux dispositions légales et réglementaires applicables, vous disposez notamment d’un droit d’accès, de rectification, d’opposition, pour des motifs légitimes, au traitement de ces informations, à la transmission à des tiers des informations vous concernant, ou à la réception d’informations commerciales. Pour exercer vos droits, veuillez adresser un courrier à Nordnet Pôle Clients – 20 rue Denis Papin – CS 20458 – 59664 Villeneuve d’Ascq Cedex, ou un courriel à l’adresse : coordonnees@nordnet.com en justifiant de votre identité et en précisant le cas échéant les coordonnées, le média et le contrat concernés (seules les demandes portant sur les données personnelles recevront une réponse). Sans préjudice des obligations de conservation, ces informations ne sont conservées, en base active, sous une forme permettant l’identification que pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. En complément de ce qui précède, consultez notre politique de traitement des données à caractère personnel de Nordnet.