IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

FaceNiff : une application Android détourne les sessions d'identification


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 508
    Points
    68 508
    Par défaut FaceNiff : une application Android détourne les sessions d'identification
    FaceNiff : une application Android détourne les sessions d'identification
    Et relance le débat sur la nécessité du "tout-SSL"



    Un développeur vient de lancer une application Android capable d'intercepter et voler les sessions Facebook, Twitter et d'autres services sur les réseaux sans fil, et relance le débat sur la nécessité de forcer l'utilisation des connexions sécurisées amorcé par l'affaire Firesheep.

    À l'image de cette extension Firefox, l'application Android baptisée FaceNiff peut-être utilisée pour voler les sessions d'authentification non chiffrées avec une interface très simplifiée et « user friendly ».

    Cette application permet aux pirates en herbe de voler des informations confidentielles sensibles, même sur les réseaux Wi-Fi protégés par les mécanismes de sécurisation WPA et WPA2.
    FaceNiff utilise pour ce faire, la technique bien connue d'ARP spoofing afin de transiter le trafic du réseau local sur l'appareil du pirate, pour peu que ce dernier ait accès au réseau via la clé de sécurité.

    [ame="http://www.youtube.com/watch?v=3bgwVM7t_s4"]Démonstration[/ame]

    En soi, cette application n'a rien d'exceptionnel dans la mesure où elle utilise, d'une manière plutôt perfectible, des techniques connues depuis des années.

    Son réel danger réside dans le fait qu'elle offre ses services à des utilisateurs lambda sans compétences techniques particulières en piratage.

    Par ailleurs, si Firesheep a été conçue pour créer le buzz autour de l'absolue nécessité des authentifications SSL, le concepteur de FaceNiff semble avoir des intentions moins chevaleresques, puisqu'il anime un forum de support pour son application.

    Les grands acteurs du Web se sont attelés à rattraper leur retard en terme de connexions sécurisées, mais les implémentations actuelles peuvent être détournées du moment que ces services ne forcent pas l'utilisation du SSL comme seul et unique moyen de connexion.


    Source : forum de FaceNiff, son site officiel

    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Membre habitué
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2002
    Messages
    264
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Haut Rhin (Alsace)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2002
    Messages : 264
    Points : 183
    Points
    183
    Par défaut https par défaut
    Bonjour,

    Oui pourquoi les sites qui on les moyens de se payer une authentification auprès de VériSign ne redirige pas directement les appels en http vers du https ? Bon attention car si https://www.facebook.com/ fonctionne, ce n'est pas le cas de https://www.facebook.fr/ qui n'a pas de signature authentifié et donc on a droit au message .

    Il faudrait trouver aussi un deuxième système de cryptage libre, pour éviter le message d'avertissement qui disuade beaucoup (le "Je comprends les risques") pour tout ceux qui n'ont pas les moyen de payer VériSign.

    Cordialement.

  3. #3
    Membre averti
    Inscrit en
    mars 2008
    Messages
    283
    Détails du profil
    Informations forums :
    Inscription : mars 2008
    Messages : 283
    Points : 376
    Points
    376
    Par défaut
    Citation Envoyé par Lovmy Voir le message
    Bonjour,

    Oui pourquoi les sites qui on les moyens de se payer une authentification auprès de VériSign ne redirige pas directement les appels en http vers du https ? Bon attention car si https://www.facebook.com/ fonctionne, ce n'est pas le cas de https://www.facebook.fr/ qui n'a pas de signature authentifié et donc on a droit au message .

    Il faudrait trouver aussi un deuxième système de cryptage libre, pour éviter le message d'avertissement qui disuade beaucoup (le "Je comprends les risques") pour tout ceux qui n'ont pas les moyen de payer VériSign.

    Cordialement.
    Bonjour,

    Je crois que tu as mal compris l'attaque. Il utilise la technique du "man in the middle" pour intercepter ta communication réseau. Du coup même tes messages d'erreur ou le SSL n'y peux rien. Une fois qu'il a intercepté la clé qui l'intéresse, il te donne l'accès au compte pour que tu puisse en faire ce que tu veux (ici rajouter un message sur son mur).

    Après c'est juste pour faire peur aux paranos. A part dans un lycée ou une université entre potes pour s'amuser (ou créer de fausses rumeurs) ou une attaque à l'image de certains VIP qui ne sont pas vigilants, je vois très mal l'utilisation d'un tel procédé.

  4. #4
    Membre confirmé
    Profil pro
    Account Manager
    Inscrit en
    mars 2006
    Messages
    142
    Détails du profil
    Informations personnelles :
    Localisation : France, Dordogne (Aquitaine)

    Informations professionnelles :
    Activité : Account Manager

    Informations forums :
    Inscription : mars 2006
    Messages : 142
    Points : 564
    Points
    564
    Par défaut
    @Grimly, tu peux aussi l'utiliser sur tout les hotspots en libre accès, non ?

  5. #5
    Membre averti
    Inscrit en
    mars 2008
    Messages
    283
    Détails du profil
    Informations forums :
    Inscription : mars 2008
    Messages : 283
    Points : 376
    Points
    376
    Par défaut
    Citation Envoyé par Refuznik Voir le message
    @Grimly, tu peux aussi l'utiliser sur tout les hotspots en libre accès, non ?
    Oui mais ça reste très local car il faut se placer, comme le nom de l'attaque l'indique (man in the middle), au milieu d'une communication, c'est à dire attaquer sur le réseau de la même borne wifi.

    Après dans l'application réelle de l'attaque. Monsieur tout le monde sur son banc qui est simple utilisateur de la borne d'à coté n'intéresse personne. Ce n'est pas fait pour la collecte et manipulation d'informations en masse car les jetons d'identification de facebook ont une durée limité.
    Dans un établissement scolaire, c'est très facile d'imaginer des lycéens se faire ce genre de conneries. Un pirate peux aussi suivre un VIP tel un paparazzi et voler son identité un moment. Mais ça s'arrête là.

  6. #6
    Membre habitué
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2002
    Messages
    264
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Haut Rhin (Alsace)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2002
    Messages : 264
    Points : 183
    Points
    183
    Par défaut Man in the middle
    Re,

    OK j'avais pas saisie, donc en fait on capte l'échange de clef publique pour ensuite décoder et réencoder les données entre les deux parties (le serveur web https et le navigateur de l'utilisateur).

    Petite question, existe-t-il un plug'in pour Firefox lui permettant de chercher la clef publique sur une carte à puce et peut-on configurer Apache (par exemple) pour qu'il ne fasse pas d'échange de clefs publiques en https ?

    Cordialement.

Discussions similaires

  1. Réponses: 0
    Dernier message: 26/04/2013, 22h55
  2. Réponses: 0
    Dernier message: 06/06/2011, 17h38
  3. Les threads composants une application Android
    Par bydavy dans le forum Android
    Réponses: 3
    Dernier message: 29/03/2010, 12h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo