Discussion :

[Idelways]

FaceNiff : une application Android détourne les sessions d'identification
Et relance le débat sur la nécessité du "tout-SSL"



Un développeur vient de lancer une application Android capable d'intercepter et voler les sessions Facebook, Twitter et d'autres services sur les réseaux sans fil, et relance le débat sur la nécessité de forcer l'utilisation des connexions sécurisées amorcé par l'affaire Firesheep.

À l'image de cette extension Firefox, l'application Android baptisée FaceNiff peut-être utilisée pour voler les sessions d'authentification non chiffrées avec une interface très simplifiée et « user friendly ».

Cette application permet aux pirates en herbe de voler des informations confidentielles sensibles, même sur les réseaux Wi-Fi protégés par les mécanismes de sécurisation WPA et WPA2.
FaceNiff utilise pour ce faire, la technique bien connue d'ARP spoofing afin de transiter le trafic du réseau local sur l'appareil du pirate, pour peu que ce dernier ait accès au réseau via la clé de sécurité.

[ame="http://www.youtube.com/watch?v=3bgwVM7t_s4"]Démonstration[/ame]

En soi, cette application n'a rien d'exceptionnel dans la mesure où elle utilise, d'une manière plutôt perfectible, des techniques connues depuis des années.

Son réel danger réside dans le fait qu'elle offre ses services à des utilisateurs lambda sans compétences techniques particulières en piratage.

Par ailleurs, si Firesheep a été conçue pour créer le buzz autour de l'absolue nécessité des authentifications SSL, le concepteur de FaceNiff semble avoir des intentions moins chevaleresques, puisqu'il anime un forum de support pour son application.

Les grands acteurs du Web se sont attelés à rattraper leur retard en terme de connexions sécurisées, mais les implémentations actuelles peuvent être détournées du moment que ces services ne forcent pas l'utilisation du SSL comme seul et unique moyen de connexion.


Source : forum de FaceNiff, son site officiel

Et vous ?

Qu'en pensez-vous ?

[Mercenary Developer]

Bonjour,

Oui pourquoi les sites qui on les moyens de se payer une authentification auprès de VériSign ne redirige pas directement les appels en http vers du https ? Bon attention car si https://www.facebook.com/ fonctionne, ce n'est pas le cas de https://www.facebook.fr/ qui n'a pas de signature authentifié et donc on a droit au message .

Il faudrait trouver aussi un deuxième système de cryptage libre, pour éviter le message d'avertissement qui disuade beaucoup (le "Je comprends les risques") pour tout ceux qui n'ont pas les moyen de payer VériSign.

Cordialement.

[Grimly_old]

Bonjour,

Oui pourquoi les sites qui on les moyens de se payer une authentification auprès de VériSign ne redirige pas directement les appels en http vers du https ? Bon attention car si https://www.facebook.com/ fonctionne, ce n'est pas le cas de https://www.facebook.fr/ qui n'a pas de signature authentifié et donc on a droit au message .

Il faudrait trouver aussi un deuxième système de cryptage libre, pour éviter le message d'avertissement qui disuade beaucoup (le "Je comprends les risques") pour tout ceux qui n'ont pas les moyen de payer VériSign.

Cordialement.

Bonjour,

Je crois que tu as mal compris l'attaque. Il utilise la technique du "man in the middle" pour intercepter ta communication réseau. Du coup même tes messages d'erreur ou le SSL n'y peux rien. Une fois qu'il a intercepté la clé qui l'intéresse, il te donne l'accès au compte pour que tu puisse en faire ce que tu veux (ici rajouter un message sur son mur).

Après c'est juste pour faire peur aux paranos. A part dans un lycée ou une université entre potes pour s'amuser (ou créer de fausses rumeurs) ou une attaque à l'image de certains VIP qui ne sont pas vigilants, je vois très mal l'utilisation d'un tel procédé.

[Refuznik]

@Grimly, tu peux aussi l'utiliser sur tout les hotspots en libre accès, non ?

[Grimly_old]

@Grimly, tu peux aussi l'utiliser sur tout les hotspots en libre accès, non ?

Oui mais ça reste très local car il faut se placer, comme le nom de l'attaque l'indique (man in the middle), au milieu d'une communication, c'est à dire attaquer sur le réseau de la même borne wifi.

Après dans l'application réelle de l'attaque. Monsieur tout le monde sur son banc qui est simple utilisateur de la borne d'à coté n'intéresse personne. Ce n'est pas fait pour la collecte et manipulation d'informations en masse car les jetons d'identification de facebook ont une durée limité.
Dans un établissement scolaire, c'est très facile d'imaginer des lycéens se faire ce genre de conneries. Un pirate peux aussi suivre un VIP tel un paparazzi et voler son identité un moment. Mais ça s'arrête là.

[Mercenary Developer]

Re,

OK j'avais pas saisie, donc en fait on capte l'échange de clef publique pour ensuite décoder et réencoder les données entre les deux parties (le serveur web https et le navigateur de l'utilisateur).

Petite question, existe-t-il un plug'in pour Firefox lui permettant de chercher la clef publique sur une carte à puce et peut-on configurer Apache (par exemple) pour qu'il ne fasse pas d'échange de clefs publiques en https ?

Cordialement.