WiFi: démonstration d'usurpation d'identité grâce aux cookies
Lors de la convention de hackers "Black Hat", un expert a réussi à utiliser le compte mail d'un utilisateur participant à ce rassemblement. A l'aide d'outils de son cru, il a utilisé les cookies (fichiers de connexions résidant lors de sessions de navigation web) pour se faire passer pour le détenteur du compte de courrier électronique.
Les utilisateurs des réseaux WiFi non sécurisés peuvent être la proie d'un nouveau type d'attaque. Robert Graham, un expert qui travaille pour la société Errata Security en a fait la démonstration cette semaine pendant la Convention Black Hat de Las Vegas (28 juillet au 2 août), dédiée à la sécurité informatique. Lors d'une présentation, il est parvenu à détourner en direct le compte Gmail, le service de courrier électronique de Google, d'un des membres de l'assistance.
L'expert a utilisé deux outils mis au point par ses soins et baptisés « Ferret » et « Hamster » : le premier lui permet de surveiller le trafic d'un hotspot WiFi public, puis de récupérer les cookies non chiffrés et les identifiants de sessions utilisés par un navigateur web, lorsqu'un utilisateur se connecte à son interface webmail ou bien à un service communautaire de type MySpace ou Facebook.
Utiliser une connexion sécurisée SSL
Le second lui permet de réutiliser ces informations pour se connecter aux applications en se faisant passer pour sa victime. Car les cookies sont de petits fichiers de texte stockés par un navigateur, pour éviter à l'internaute d'avoir à saisir de nouveau ses identifiants ou à repréciser ses préférences chaque fois qu'il revient sur un même service.
Lors de sa démonstration, Robert Graham a ainsi pu envoyer des messages avec le compte Gmail détourné, lire tous les messages dans la boîte de réception et même modifier les préférences. En revanche, il n'est pas possible, par ce biais, de changer le mot de passe de l'utilisateur légitime, puisque la plupart des services réclament la saisie de l'ancien avant de pouvoir en activer un nouveau (voir le descriptif de la procédure, en anglais, sur ZDNet.com
Retrouvez, sur BusinessMOBILE.fr, notre thématique dédiée à l'univers de la sécurité et du Wi-Fi.
À lire aussi
Réagissez - 5 commentaires
-
Cet article ne sert a rien car tout ble monde sait que internet n est pas sur.Le seul effet de cet article c est que les gens vont avoir plus peur qu avant mais ne feront rien de plus car il savent pas comment se proteger.
-
Bcp reste à faire pour sécuriser le Wifi et les réseaux mobiles ad hoc.
-
Cela arrive t il même si peu e connexions (passage express..) ou si utilisateur fréquent? merci
-
22460
-
31090
Dernières News
-
62 000 euros d’amende pour l'éditeur d'un faux Angry Birds piégé
Sécurité -
Le malware, déguisé en fausses applications de jeu à succès envoyait automatiquement des SMS surtaxés. Une méthode très répandue dans les malwares mobile, et plus particulièrement sur Android, disent les experts.
[Réagissez !] 25 mai 2012 -
Google+ s'offre une mise à jour sur Android
Application -
Nouvelle ergonomie et nouvelles fonctions pour la version mobile du réseau social du géant de Mountain View.
[Réagissez !] 25 mai 2012 -
Apple continue à dominer la pub mobile aux Etats-Unis
Avis d'expert -
Selon l'agence Millennial Media, les terminaux à la pomme concentrent près de 30% des impressions publicitaires au 1er trimestre.
[1 commentaire] 25 mai 2012 -
Chiffres IDC : Android et iOS creusent l’écart avec la concurrence
Business -
Les chiffres IDC pour le 1er trimestre créditent Android de 59% de parts du marché des smartphones et iOS de 23%. Symbian et BlackBerry OS sont en fort recul.
[4 commentaires] 25 mai 2012 -
Espagne : Telefonica et Vodafone sur le point d'arrêter les subventions de mobiles
Business -
Associer un smartphones presque gratuit à un abonnement n'est plus un modèle économique viable, estiment les deux opérateurs.
[Réagissez !] 25 mai 2012
