Réfléchissez à deux fois avant de vous connecter à Facebook avec un accès WiFi gratuit – à moins que cela ne vous dérange pas de lire des espions et de modifier potentiellement votre profil.
Un développeur de logiciels espère sensibiliser les utilisateurs aux dangers de l’utilisation de réseaux WiFi non sécurisés avec un programme informatique qui facilite le piratage de comptes Facebook et Twitter.
Avec un téléchargement de Firesheep, un plug-in pour le navigateur Web FireFox de Mozilla, il suffit de patience et de quelques clics pour accéder au profil de quelqu’un sur une variété de sites Web, y compris également le site de partage de photos Flickr et la plateforme de blogs WordPress.
L’histoire se poursuit ci-dessous publicité
Le programme renifle les connexions sur le réseau et connecte les utilisateurs de Firesheep à ces comptes.
» Les sites Web ont la responsabilité de protéger les personnes qui dépendent de leurs services. Ils ignorent cette responsabilité depuis trop longtemps, et il est temps pour tout le monde d’exiger un Web plus sécurisé « , a écrit Eric Butler, basé à Seattle, dans un article de blog expliquant son programme.
Butler, qui a refusé les demandes d’entrevue, a déclaré que tous les sites Web ne sont pas vulnérables à Firesheep, mais que trop de sites ne sont pas suffisamment sécurisés pour contrecarrer les pirates informatiques. Bien que les informations de connexion saisies puissent être protégées, les informations d’identification de l’utilisateur contenues dans les cookies – de petits fichiers texte auxquels les sites Web accèdent sur l’ordinateur d’un utilisateur – ne le sont pas.
« Sur un réseau sans fil ouvert, les cookies sont essentiellement criés dans les airs, ce qui rend ces attaques extrêmement faciles », a écrit Butler.
« La seule solution efficace à ce problème est le cryptage complet de bout en bout, connu sur le Web sous le nom de HTTPS ou SSL. »
En un peu plus de 24 heures, Firesheep a été téléchargé plus de 129 000 fois. Parmi les utilisateurs se trouvait Ian Robertson, un professionnel de l’informatique à Ottawa qui a emmené son ordinateur portable dans quelques cafés locaux pour faire l’essai du programme avec un collègue.
« J’ai pu voir une demi-douzaine de comptes sur Facebook et j’ai pu me connecter à leurs comptes, voir toutes leurs photos, toutes leurs informations privées, leurs numéros de téléphone – n’importe quoi », a déclaré Robertson.
L’histoire se poursuit ci-dessous publicité
» Juste pour un test avec un de mes collègues, je me suis connecté à son profil et j’ai pu changer son statut en célibataire. Et dans environ 10 minutes, sa petite amie a commenté et a dit: « Pourquoi?? » »
Robertson a déclaré qu’il était surpris de la facilité de son utilisation et craignait que d’autres ne le téléchargent à des fins beaucoup plus malveillantes que lui.
« Vous vous sentez un peu puissant, je suppose, comme si vous pouviez simplement entrer là-bas et spammer si vous le vouliez », a-t-il déclaré.
Firesheep est sur le radar du commissaire à la protection de la vie privée du Canada, mais il n’y a eu aucune enquête publique sur le programme et aucune enquête n’est en cours, a déclaré la porte-parole Anne-Marie Hayden.
Elle a fait remarquer que la Loi sur la protection des renseignements personnels et les documents électroniques exige que les entreprises utilisent des mesures de protection pour protéger les données personnelles.
» Les renseignements personnels doivent être protégés par des mesures de sécurité adaptées à leur sensibilité. Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol, ainsi que contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés « , lit-on à l’article 7 de la loi, qui stipule également que la protection doit inclure des mesures physiques et technologiques « , par exemple, l’utilisation de mots de passe et de cryptage. »
« Parce que nous n’avons pas enquêté sur cette question, nous ne pouvons pas dire si un site particulier a violé la disposition sur les garanties de (la loi) », a déclaré Hayden.
Dans un communiqué, Facebook a déclaré qu’il travaillait à renforcer son cryptage et a mis en garde contre les risques liés à l’utilisation du site via WiFi.
« Nous avons fait des progrès en testant l’accès SSL à Facebook et espérons le fournir en option dans les mois à venir », lit-on dans le communiqué.
« Comme toujours, nous conseillons aux utilisateurs de faire preuve de prudence lorsqu’ils envoient ou reçoivent des informations sur des réseaux Wi-Fi non sécurisés. »
Kris Constable, fondateur de la société PrivaSecTech basée à Victoria, a déclaré que les problèmes de sécurité posés par les réseaux sans fil non sécurisés pourraient être une nouvelle pour le grand public, mais ils ont longtemps été exploités par des pirates informatiques.
Firesheep ne fait qu’enlever la barrière à l’entrée pour les hackers en herbe.
« Ce qui est fait rend l’attaque beaucoup plus jolie… c’est un peu ce à quoi ressemble le piratage dans les films « , a déclaré Constable.
Il espère que Firesheep mettra enfin suffisamment de pression sur les chefs d’entreprise pour qu’ils investissent dans un meilleur cryptage.
« Lorsque vous ajoutez quelque chose comme le cryptage à une technologie, cela coûtera plus cher aux entreprises à mettre en œuvre, elles ne sont donc pas motivées à le faire, même si cela rendra les gens plus sûrs », a-t-il déclaré.
« Mais j’espère que (Firesheep) va forcer les entreprises à utiliser plus de cryptage et je pense avec plus de sensibilisation… les gens vont réellement commencer à penser: « Eh bien, peut-être que lorsque je vais parler de choses sensibles, je dois commencer à crypter mes e-mails. »Les gens vont commencer à réfléchir à chaque site Web sur lequel ils vont et à chaque e-mail qu’ils envoient », est-ce crypté ou non?' »
Pour se protéger contre le piratage lors de l’utilisation du WiFi ouvert, Butler recommande un autre plug-in FireFox appelé HTTPS-Everywhere, créé par l’Electronic Frontier Foundation. Il protège contre les fuites de données lors de l’utilisation de sites tels que Facebook, Twitter, Amazon, WordPress.com blogs et PayPal.