Africa teaching

Annonces




Un chercheur démontre la perméabilité de Facebook et Gmail

la perméabilité de Facebook et Gmail

Un expert en sécurité a mis au point un outil open source pour démontrer comment il est possible d'intercepter simplement le contenu d’une page Facebook ou d’un compte Gmail, lors d’une connexion dans un lieu public.

On connaissait les vulnérabilités des protocoles d'encryption WiFi, voici venir une autre menace pour les connexions dans des lieux publics. Un expert en sécurité, Jay Beale, a écrit un logiciel, baptisé « The Middler », capable d'intercepter le contenu d'une session avec une application web, par exemple Gmail ou Facebook.

Il serait en mesure de modifier les paramètres de la session et d'en prendre le contrôle à distance. Pour GMail par exemple : de lire ou écrire des courriels, d'effacer ou de modifier le carnet d'adresses ou encore de changer le mot de passe de l'utilisateur légitime.

La faille exploitée par Jay Beale semble toute simple en apparence : il attend que les utilisateurs soient connectés avec leur login et identifiant pour alors prendre le contrôle de la page. Il s'est aperçu que si les formulaires de connexion utilisaient le protocole sécurisé HTTPS, une fois connecté à ce type d'application Web, on passe alors en HTTP simple, bien plus facile à pirater.

Sécuriser les formulaires de connexion est insuffisant

Écrit en Python, The Middler a été présenté lors de la conférence sur la sécurité SecTor, qui se déroule les 7 et 8 octobre à Toronto. Jay Beale compte aussi démontrer que son outil peut servir à pirater une session en ligne avec une banque, installer un cheval de Troie sur un iPhone « jailbreaké » ou servir à installer des programme Java lors d'une session en ligne.

Ce chercheur en sécurité veut prouver aux professionnels que sécuriser uniquement les formulaires de connexion n'est pas suffisant, pour prémunir un utilisateur du risque de piratage lors de connexions dans un hôtel, un aéroport ou encore un bar équipé d'un hot-spot Wi-Fi, ou dans le cas d'un partage de connexion filaire.

Par Vincent Birebent, ZDNet France

 



Article ajouté le 2008-10-09 , consulté 114 fois

Commentaires



Poster un commentaire





http://
Merci de recopier le nombre présent à gauche dans la case de texte ci-dessous ( Pourquoi ? )



Liens

Voir les articles de la catégorie " Sécurité informatique "

Imprimer cet article

Retour aux articles


Recommander ce blog | Contacter l'auteur | Reporter un abus | S'abonner au blog Flux RSS du blog | Espace de gestion

Créer un blog gratuit avec Blog4ever


Design by Kulko et krek : kits graphiques