Dans la catégorie: on vous avait prévenu...

Ça fait quoi si je clique là?

Modérateur: Creak

Dans la catégorie: on vous avait prévenu...

Messagepar Creak » 29 Nov 2010, 01:24

Je voudrais Firesheep!
http://codebutler.com/firesheep

Firesheep est une extension pour Firefox qui permet de simplement chopper les identifiants des comptes des grands sites web (Google, Facebook, Twitter, Flickr, ...).

Comment ça marche?
C'est assez simple, c'est d'ailleurs une faille connue depuis que les navigateurs existent. Rien de difficile à comprendre en fait, et Foolstep aura aussi cette faille tant qu'on n'aura pas de connexion SSL (mais ça coute un peu plus cher :/).
Quand on se connecte à un site en rentrant un login et un mot de passe. Ces informations sont envoyé au serveur (Google, Facebook, Twitter, Flickr, ...) qui regarde si elles sont bonnes et qui renvoie la page correspondante. Le problème est que ces informations sont envoyées en clair sur le Réseau*. Du coup, la moindre personne qui écoute à ce moment là pourra avoir ces informations. Seul contrainte, il faut que cette personne utilise le même réseau que vous (bah oui, Internet c'est pas de la magie :)). Mais avec tous les réseau d'entreprise (au boulot) ou encore les réseau WiFi (chez vous ou au McDo par exemple...), la contrainte n'est pas si contraignante que ça finalement!

Moralité, poussez les gros sites à utiliser du cryptage SSL pour les connexions à leur serveurs. C'est très simple de savoir si votre connexions est correctement sécurisées, il faut que l'adresse commence par "https".

* Pour ceux qui ont peur que Foolstep, ou d'autres sites, stockent en clair leur mot de passe, souvent le même d'un site à l'autre, il y a une différence entre une connexion sécurisé et des données cryptées. Par exemple pour Foolstep (comme pour n'importe quel site responsable), on ne stocke pas les mots de passe en clair, on les crypte de manière irréversible avant de les rentrer dans la base. Quand quelqu'un se logue, on crypte le mot de passe qu'il a donné et on le compare à la version cryptée stockée dans le serveur. Mais même malgré cela, le problème reste entier! Car si quelqu'un récupère ces données cryptées, il peut les réutiliser pour se faire passer pour vous.
« Le problème avec les citations sur internet: on ne peut jamais vraiment savoir si elles sont authentiques » -- Abraham Lincoln
Avatar de l’utilisateur
Creak
Foolanthrope
 
Messages: 2841
Inscription: 26 Jan 2005, 01:30
Localisation: Montréal, Québec

Retourner vers Informatique

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

cron
Fatal: Not able to open ./cache/data_global.php