pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Piratage de session web à grande échelle

Lundi 25 octobre 2010

Je me demandais quand ce genre d'application point-n-click de hijacking de session allait arriver. C'est fait.

Pour expliquer les choses: Quand vous entrez identifiant et mot de passe sur un site web, il vous envoie un retour un cookie (une chaîne de caractères aléatoire, du genre 6e9c36cd191fd4673d49564ceeaf66e0). Toutes les requêtes suivantes faites par votre navigateur vers ce site envoient également ce cookie: C'est lui qui permet d'identifier votre session.

Bien sûr, ce cookie est envoyé en clair sur le réseau, d'où l'apparition de Firesheep, une extension pour Firefox qui automatise le vol de cookie pour divers sites connues (Facebook, etc.). Autrement dit, dès que quelqu'un se connecte à un de ces sites, vous lui volez son cookie de session qui est alors réintroduit dans votre navigateur: Vous naviguez sur le site comme si vous étiez cette personne, sans avoir à connaître son identifiant ou mot de passe.

Notez que les sites qui ont leur page de vérification identifiant/mot de passe en HTTPS et le reste en HTTP simple sont susceptibles d'être attaqués de la sorte également.

On comprend alors tout l'intérêt d'avoir des sites intégralement en SSL (HTTPS) comme GMail: Le vol de cookie devient alors une opération nettement plus ardue.

Maintenant que ce genre de manipulation est accessible à tous les kikoolols de la terre, ça va être un beau bordel, je vous le dis.

Voir tous les billets