Black Hat : vol de cookies de session sur WiFi

Alexandre Laurent
Publié le 03 août 2007 à 09h51
00FA000000528003-photo-logo-draft-2-0-802-11n-wifi-alliance.jpg
En ouverture de la Black Hat de Las Vegas, Robert Graham de la firme Errata Security a fait la démonstration d'un outil de son crû permettant de récupérer les cookies de services populaires tels que Gmail, Facebook ou MySpace au vol à travers un réseau WiFi, puis de les injecter dans son propre navigateur de façon à usurper l'identité des personnes connectées. Le chercheur en sécurité s'est dit surpris que des sites revendiquant un trafic aussi important semblent ne jamais s'être inquiété de ce type d'attaque alors que le vol de cookies de session n'a rien de particulièrement neuf.

Graham a fait la démonstration de son outil sur un réseau WiFi ouvert, proposé aux personnes présentes à la conférence. Tandis qu'un journaliste de l'assistance se connectait à un compte Gmail créé pour l'occasion, il a pu intercepter les données transitant par le port HTTP via un simple aspirateur de paquets, isoler le cookie de session généré par le service de messagerie de Google, puis utiliser ce dernier pour s'y connecter à son tour. Ni mot de passe, ni nom d'utilisateur n'est nécessaire, dans la mesure où le cookie volé se charge de l'identification. Dès lors, il n'y a plus qu'à lire les messages ou... en envoyer. La seule opération impossible serait le changement de mot de passe.

Bien d'autres services seraient vulnérables, dans la mesure où ils utilisent également les cookies de session. Les cookies sont de petits fichiers, stockés sur le disque dur de la machine d'un internaute, utilisés par de nombreux sites Web pour garder en mémoire des informations sur le profil de l'internaute. Ce sont par exemple ces fichiers qui vous évitent de ne pas avoir à retaper votre nom d'utilisateur et votre mot de passe lorsque vous vous connectez à votre messagerie Web. Les cookies ont en général une durée de vie limitée - on parle par exemple de cookies de session pour des cookies qui disparaissent à la fermeture du navigateur - mais certains sont programmés pour durer des années. Une fois en possession de ce type de fichiers, un pirate pourrait donc se connecter à votre compte bien après avoir volé ces informations.

Ouverts à tous les vents, les réseaux WiFi publics présentent donc un danger particulièrement important : il est techniquement possible à une personne malintentionnée d'aspirer toutes les informations transitant sur le réseau à l'insu des utilisateurs. A l'heure actuelle, la seule solution pour se prémunir de ce type de menaces reste l'utilisation de protocoles sécurisés tels que le https, le ssh, ou le passage par un réseau privé virtuel (VPN) ; mais le commun des internautes n'a guère conscience du risque que représentent les WiFi ouverts et les utilise sans méfiance.

Certains services, comme Gmail, proposent aux utilisateurs une interface de type https (accessible via https://gmail.google.com pour Gmail), mais la plupart des services dits web 2.0 n'offrent pas cette protection. Le système tout entier serait-il vulnérable ?
Alexandre Laurent
Par Alexandre Laurent

Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech, que ça concerne le grand public, l'entreprise, l'informatique ou Internet. Milite pour la réhabilitation de Après que + indicatif à l'écrit comme à l'oral, grand amateur de loutres devant l'éternel, littéraire pour cause de vocation scientifique contrariée, fan de RTS qui le lui rendent bien mal.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles