|
|
L'extension Firesheep pour Firefox neutralisée par un plugin de l'EFF
Julien L. -
publié le Mercredi 24 Novembre 2010 à 09h35 -
posté dans Société 2.0
La dernière version de HTTPS Everywhere, une extension Firefox visant à activer dès que possible une connexion chiffrée, est désormais capable de neutraliser l'action de Firesheep. Ce programme, présenté le mois dernier, permet de récupérer à la volée des données de connexion lors de sessions non sécurisées.
Une trentaine de sites sont concernés par Firesheep. Cela va des comptes Google à Facebook, en passant par Twitter, Windows Live, Amazon, Yahoo ou encore Flickr et WordPress. Une fois le mode capture activé, les résultats apparaissent dans un panneau latéral, sans que le pirate intervienne dans le processus. Pour se connecter au compte de la victime, il suffit alors de double-cliquer sur son portrait. Redoutable, en particulier sur les points d'accès sans fil ou dans certains réseaux locaux. Plusieurs contre-mesures sont apparues depuis pour empêcher Firesheep de capturer les données de connexion des internautes. L'une d'entre elles a été conçue par l'Electronic Frontier Foundation (EFF), une ONG dont la mission est de défendre la liberté d'expression sur Internet. Son outil, HTTPS Everywhere, a récemment été mis à jour (0.9.x) pour contrer les menaces comme Firesheep. "Cette nouvelle version de HTTPS Everywhere répond aux préoccupations croissantes concernant la vulnérabilité des sites web dans le sillage de Firesheep, un outil qui pourrait permettre à un espion sur un réseau de prendre le contrôle des comptes web d'un autre utilisateur - sur les sites de réseautage social ou sur les services de webmail par exemple - si la connexion du navigateur au service web ne passe pas par le chiffrement ou ne l'utilise pas suffisamment" explique l'EFF. Lancée cet été, l'extension HTTPS Everywhere permet d'activer la connexion chiffrée lorsqu'elle est disponible. À l'heure actuelle, il est possible de l'utiliser sur de nombreux services et sites web de premier plan, comme Google, Facebook, Twitter ou encore Wikipedia. Entretenue par l'EFF, en partenariat avec le Projet Tor, l'extension est régulièrement mise à jour afin d'offrir aux utilisateurs une sécurité renforcée. à lire aussi
  Prix indiqués avec livraison
10
Commentaires à propos de «L'extension Firesheep pour Firefox neutralisée par un plugin de l'EFF»
Répondre
Ezmo
le 24/11/2010 à 09:40
installé et approuvé
  Sinon pour faire mumuse avec un Firesheep dans vos parages, il y a Blacksheep:
http://www.zscaler.com/blacksheep.html  Je ne comprend pas le principe, si le site ne propose pas HTTPS, comment fait le plugin pour pas que les cookies soient interceptés ?
Si le site propose un chiffrement SSL pas de problème, il suffit de forcer l'affichage de la page en https:// (comme FB qui peut être chiffré mais ne l'est pas par défaut), sinon j'ai beau chercher je ne trouve pas (demander au serveur d'envoyer de faux cookies? en envoyer des faux?) EDIT : encore une question un peu simplette : dans Firefox quand le nom de domaine est affiché sur fond bleu ça correspond au chiffrage à 1024bits et quand c'est sur du vert c'est du 2048bits ? (je ne suis plus sur mais il me semble que la couleur annonce quelque chose dans ce genre)  "l'utilisateur indélicat doit se connecter depuis le même point d'accès que sa ou ses victimes afin de récupérer à la volée les informations issues de sessions HTTP non chiffrées."
Cela n'est un problème qu'avec les connexions wifi, c'est ça ? Une connexion Ethernet à domicile n'a rien à craindre de ce plugin ? Ce n'est pas très clair... Merci pour les éclaircissements.  chez moi htts everywhere faisait déconner firefox... lenteur et blocages de sites au menu...
je ne sais absolument pas pourquoi ca fait ca mais depuis que je l'ai enlevé tout refonctionne, donc c'est bien lié. des idées ? J'ai eu HTTPS Everywhere, là je l'ai viré et j'ai beau aller sur tout les sites de la liste, je tombe à chaque fois sur du HTTPS quand même. Même en enlevant le "S" il me le remet. Je voulais tester Firesheep :
"Surnommée Firesheep, l'application n'existe en effet que pour capturer les données de connexion d'autres internautes"
Faux. L'application a été développée pour agir comme un électrochoc et démontré qu'il est nécessaire d'utiliser des transactions HTTPS de A à Z. C'est que que dit l'auteur de Firesheep: http://codebutler.com/  relecteur, le 24/11/2010 - 13:58 "Surnommée Firesheep, l'application n'existe en effet que pour capturer les données de connexion d'autres internautes" Faux. L'application a été développée pour agir comme un électrochoc et démontré qu'il est nécessaire d'utiliser des transactions HTTPS de A à Z. C'est que que dit l'auteur de Firesheep: http://codebutler.com/ tres interessant, merci a toi   Firesheep est une belle démonstration de ou en est la sécurité sur internet. Il n'y a pas que sur les protocoles de communication que le chiffrage est important au passage, mais c'est une chose dont le grand publique ne commencera a se soucier que quand les vols de donnée importantes commenceront a vraiment faire parler d'eux. Quoique le chiffrage pourrait intéresser les journalistes ces temps-ci
|
A LA UNE
LES + COMMENTÉS
  2 offres à partir de 23 €
Télécharger
montage video,
bittorrent emule island,
logiciel 2010,
total video converter,
passion,
cryptage emule islande,
msn messenger,
ground control,
Accès rapide :
Lecteur audio et vidéo |
Graver ou numériser |
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
|
Depuis le mois dernier, une petite extension Firefox cause un émoi certain chez de nombreux internautes. Surnommée 
