Mauvais mélange: Facebook et wifi gratuit

Firesheep est un plugiciel (plugin) pour Firefox qui sert de preuve de concept pour démontrer comment facilement on peut renifler les témoins (cookies) de session des applications vulnérables. Ceci permet de court-circuiter l’authentification par détournement de session (session hijacking). Ce plugiciel permet l’opération en 2 clicks seulement, sans exagération! Wikipedia contient une description de ce plugiciel et du problème fondamental qu’il essaie de démontrer.

La lesson à retenir est que lorsqu’on utilise des applications web vulnérables qui n’utilisent pas https et qui utilisent des témoins de session (Facebook, Twitter…), on se doit d’utiliser les précautions suivantes:

1. Utiliser l’alternative HTTPS lorsque possible (ex: https://www.amazon.ca, https://www.facebook.com)
2. Bien quitter sa session en utilisant la fonction sign-out (pour rendre désuet le témoin de session)
3. Éviter d’utiliser une connexion wi-fi sans chiffrage lorsqu’on accède à ces services

J’ai pris quelques minutes pour essayer ce plugiciel (avec deux systèmes séparés) et je peux vous confirmer que ça fonctionne très bien au moins avec Facebook et le site de Cisco…

Firesheep is a POC firefox plugin that makes sniffing session cookies of vulnerable apps (way too) easy. This basically lets anybody bypass authentication to your account through session hijacking. Here’s a description on Wikipedia.

The lesson here is for these potentially vulnerable apps that don’t encrypt the whole session (via https) and use session cookies (Facebook, Twitter…), people should:

1. Try using the HTTPS alternative when possible (eg: https://www.amazon.ca, https://www.facebook.com)
2. Sign-out when done with a web service (to obsolete the session cookie)
3. Avoid using unencrypted wifi when accessing unencrypted web services

I took a few minutes to try this plugin out (in a VM) and I can tell you that it works well with at least the Facebook and Cisco sites.