pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Piratage de session web à grande échelle

Lundi 25 octobre 2010

Je me demandais quand ce genre d'application point-n-click de hijacking de session allait arriver. C'est fait.

Pour expliquer les choses: Quand vous entrez identifiant et mot de passe sur un site web, il vous envoie un retour un cookie (une chaîne de caractères aléatoire, du genre 6e9c36cd191fd4673d49564ceeaf66e0). Toutes les requêtes suivantes faites par votre navigateur vers ce site envoient également ce cookie: C'est lui qui permet d'identifier votre session.

Bien sûr, ce cookie est envoyé en clair sur le réseau, d'où l'apparition de Firesheep, une extension pour Firefox qui automatise le vol de cookie pour divers sites connues (Facebook, etc.). Autrement dit, dès que quelqu'un se connecte à un de ces sites, vous lui volez son cookie de session qui est alors réintroduit dans votre navigateur: Vous naviguez sur le site comme si vous étiez cette personne, sans avoir à connaître son identifiant ou mot de passe.

Notez que les sites qui ont leur page de vérification identifiant/mot de passe en HTTPS et le reste en HTTP simple sont susceptibles d'être attaqués de la sorte également.

On comprend alors tout l'intérêt d'avoir des sites intégralement en SSL (HTTPS) comme GMail: Le vol de cookie devient alors une opération nettement plus ardue.

Maintenant que ce genre de manipulation est accessible à tous les kikoolols de la terre, ça va être un beau bordel, je vous le dis.

En vrac

Lundi 25 octobre 2010


  • Cette histoire est du grand n'importe quoi: Un commerçant réclame 2 millions d'euros à une romancière car son intrigue se passe dans son magasin. Mais bien sûr. (merci à Jean-François L.M pour le lien).

  • Le compte Moneybookers de donation de Wikileaks a été fermé. Et hop, un peu de pression supplémentaire envers Wikileaks. Sans compter les attaques envers leur infrastructure réseau.

  • Je sais, la robotique fait des progrès, mais là c'est carrément flippant. En plein dans l'uncanny valley.

  • Microsoft a peur d'OpenOffice.org, c'est officiel. Il faut vraiment avoir les chocottes pour pondre une telle vidéo quand on a déjà 94% des parts de marché des suites bureautique.

  • Et voilà, encore une extension Firefox qui tourne mal: IE Tab Plus contient désormais un spyware. (merci à Benoit M. pour l'info). Ne faite pas une confiance absolue aux extensions pour navigateurs.

  • Oracle a corrigé des failles dans Java. Et du coup les attaques concernant Java viennent d'exploser pour exploiter ceux qui n'ont pas installé les mises à jour. Je vous encourage donc vivement à mettre à jour Java sur votre ordinateur (Java 6 update 22 ou supérieur).

  • Microsoft abandonne IronPython et IronRuby, les projets de portage des langages Python et Ruby sur sa plateforme .Net. Il faut dire que Jimmy Schementi qui était à la tête du projet a démissionné de Microsoft (Il fustige le manque d'implication de Microsoft dans ces projets). Du coup, Microsoft refile le bébé à la "communauté". C'est Jimmy Schementi qui s'occupera du projet, avec - entre autres - Miguel de Icaza (fondateur du projet Gnome et fervent adepte de Mono).
    C'est l'hémorragie ces derniers temps chez Microsoft ? Ray Ozzie quitte aussi le navire.

  • Dormir, DORMIR, il faut que je dorme plus. Il paraît que ceux qui ne dorment que 4 ou 5 heures par nuit ont plus de risques de développer de l'obésité et du diabète de type 2.

  • Condamné à 2 ans de prison pour ne pas avoir respecté des règles religieuses, le tout dans une république démocratique. Ça se passe en Algérie. Que Sarkozy ne s'avise pas de commencer à vouloir réguler la morale en France.

  • Ces derniers temps circule l'idée de faire héberger des serveurs de téléchargement dans l'espace. Que l'idée soit réaliste ou pas, je me plaît à imaginer l'immense bordel que représenterait saisie des serveurs par les autorités. Ça serait cocasse.

  • Deux failles d'escalation de privilèges ont été trouvées dans le noyau Linux. Par contre, la prétendue faille IPv6 permettant de rooter n'importe quel serveur Linux (annoncée par les anonymous de 4chan) est pipo.

  • J'ai pas besoin d'antivirus, je ne visite que des sites de confiance. Mais oui, mais oui. Le site américain officiel de l'antivirus Kaspersky a été piraté et a diffusé pendant plusieurs heures du code malveillant. Combien d'exemples de ce genre faudra-t-il avant que certains comprennent ?

  • Les fabriquants d'écrans LCD peuvent bien parader sur le temps de réponse (en fait, le temps de transition d'état d'un pixel, en millisecondes), il y a un paramètre qu'ils se gardent bien de communiquer, c'est l'input lag, c'est à dire le délai entre l'entrée du signal vidéo dans le moniteur et son affichage effectif sur l'écran, ce qui peut être pénalisant pour certaines applications (jeux, vidéo...). Et on trouve de grosses disparités dans les moniteurs, même de grande marque. Pour s'en convaincre, il suffit de regarder ces trois vidéos. À quand un affichage de l'input lag dans les comparatifs de LCD ?

  • Rapport à mon billet précédent, j'ai finalement trouvé quelques serveurs coopératif très sympas, avec une bonne ambiance. J'ai mis en place une petite galerie.

  • Linguee.fr est un dictionnaire multilingue en ligne, mais il a l'avantage de mettre les mots en contexte. Bien pratique.

  • Oh merde, on est mal. Les rainbow-tables étaient déjà une manière efficace de casser des mots de passe, mais une entreprise a couplé cela à des disques SSD. Résultat ? Ils sont capables de casser des mots de passe comme "72@Fee4S@mura!" ou "*mZ?9%^jS743:!" en 5 secondes. Arg.

  • Vrac du vrac: Un easter-egg dans les scanners HP. Amusant. ◆ Faut pas faire chier les ornithorynques: Ils sont capables de vous empoisonner avec 80 toxines différentes. ◆ Encore une chouette projection sur un bâtiment. ◆ Assortiment de publicité pour la PlayStation. ◆ Un robot conçu pour vous mettre minable au bowling. ◆ Une absurdité digne des Monthy Python, la machine à claquer des portes dans Minecraft.