Africa teaching

la perméabilité de Facebook et Gmail

Un expert en sécurité a mis au point un outil open source pour démontrer comment il est possible d'intercepter simplement le contenu d’une page Facebook ou d’un compte Gmail, lors d’une connexion dans un lieu public.

On connaissait les vulnérabilités des protocoles d'encryption WiFi, voici venir une autre menace pour les connexions dans des lieux publics. Un expert en sécurité, Jay Beale, a écrit un logiciel, baptisé « The Middler », capable d'intercepter le contenu d'une session avec une application web, par exemple Gmail ou Facebook.

Il serait en mesure de modifier les paramètres de la session et d'en prendre le contrôle à distance. Pour GMail par exemple : de lire ou écrire des courriels, d'effacer ou de modifier le carnet d'adresses ou encore de changer le mot de passe de l'utilisateur légitime.

La faille exploitée par Jay Beale semble toute simple en apparence : il attend que les utilisateurs soient connectés avec leur login et identifiant pour alors prendre le contrôle de la page. Il s'est aperçu que si les formulaires de connexion utilisaient le protocole sécurisé HTTPS, une fois connecté à ce type d'application Web, on passe alors en HTTP simple, bien plus facile à pirater.

Sécuriser les formulaires de connexion est insuffisant

Écrit en Python, The Middler a été présenté lors de la conférence sur la sécurité SecTor, qui se déroule les 7 et 8 octobre à Toronto. Jay Beale compte aussi démontrer que son outil peut servir à pirater une session en ligne avec une banque, installer un cheval de Troie sur un iPhone « jailbreaké » ou servir à installer des programme Java lors d'une session en ligne.

Ce chercheur en sécurité veut prouver aux professionnels que sécuriser uniquement les formulaires de connexion n'est pas suffisant, pour prémunir un utilisateur du risque de piratage lors de connexions dans un hôtel, un aéroport ou encore un bar équipé d'un hot-spot Wi-Fi, ou dans le cas d'un partage de connexion filaire.

Par Vincent Birebent, ZDNet France