IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

L'historique Web de Google vulnérable au détournement de sessions, au moyen d’une variante de Firesheep


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 508
    Points
    68 508
    Par défaut L'historique Web de Google vulnérable au détournement de sessions, au moyen d’une variante de Firesheep
    L'historique Web de Google vulnérable au détournement de sessions
    Au moyen d’une variante de l'extension Firesheep



    Google qui s'érige souvent en donneur de leçon en ce qui concerne la sécurisation du Web, donnerait lui aussi le mauvais exemple sur certains de ses services.

    C'est en tout cas ce que démontrent deux chercheurs d'Alcatel-Lucent Bell Labs en réussissant à détourner des données personnelles sensibles des comptes Google, moyennant une variante de l'extension Firesheep du navigateur Firefox, connecté au même réseau Wi-Fi.

    Ainsi, il s'avère que l’historique Web polémique lié aux comptes Google peut être consulté sans connexion HTTPS.
    En plus de pouvoir retrouver une grande partie des recherches de l'utilisateur, leurs fréquences et dates ainsi que les sites qu'il a choisi de consulter, tout le carnet d'adresses Gmail serait pareillement exposé.

    D'après les chercheurs Vincent Toubiana et Vincent Verdot derrière cet exploit, l'intégrité des comptes Google ne peut être compromise. Il s'agit donc heureusement d'un problème marginal signalé aux ingénieurs de Google, qui travaillent actuellement sur un correctif.

    Firesheep avait pour rappel contribué à la médiatisation du débat sur la nécessité de passer tous les services sous identification aux connexions SSL forcées, en mettant à la disposition du grand public un outil de détournement de comptes Facebook, Twitter et autres, très... convivial.

    La nouvelle variante intercepte le « SID » (identifiant de session) et les cookies que Google utilise pour personnaliser et optimiser ses résultats de recherche en fonction des recherches passées de l'utilisateur. En un clin d'oeil, le nom du compte apparaît sur la barre latérale de Firesheep permettant d'extraire jusqu'à 40 % en moyenne des liens consultés.

    De quoi dresser un portrait très précis sur les préférences et les activités des victimes potentielles.

    Google minimise la gravité de cette découverte dans une déclaration à la presse, en qualifiant les inquiétudes soulevées par les deux chercheurs d'« assez académiques, et ne représentant pas un risque important pour les utilisateurs ».



    Source : Rapport de Vincent Toubiana et Vincent Verdot

    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2008
    Messages
    831
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2008
    Messages : 831
    Points : 2 619
    Points
    2 619
    Par défaut
    J'en pense que c'est un soufflet assez intéressant qu'ils se prennent la, s'ils sont effectivement aussi embêtants que le dit l'article sur ce point chez leurs concurrents

    De toute façon, que 40% seulement de la vie privée d'une personne ce n'est rien, ils ont d'ailleurs toujours dis qu'ils considèrent que ceux qui n'ont rien à se reprocher n'ont pas besoin de vie privée!

    (pour m'amuser, j'ai d'ailleurs regardé un truc, en testant plusieurs moteurs, je n'en ai trouvé qu'un qui supporte le https pour les recherches... et ce n'est pas l'un des plus célèbres (ni google, ni bing, ni yahoo, ni ask). Je pense pas que la vie privée importe beaucoup à leurs yeux, autrement dit.)

  3. #3
    Membre éprouvé Avatar de cs_ntd
    Homme Profil pro
    Développeur .NET
    Inscrit en
    décembre 2006
    Messages
    598
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2006
    Messages : 598
    Points : 1 192
    Points
    1 192
    Par défaut
    Citation Envoyé par Freem Voir le message
    (pour m'amuser, j'ai d'ailleurs regardé un truc, en testant plusieurs moteurs, je n'en ai trouvé qu'un qui supporte le https pour les recherches... et ce n'est pas l'un des plus célèbres (ni google, ni bing, ni yahoo, ni ask). Je pense pas que la vie privée importe beaucoup à leurs yeux, autrement dit.)
    https://encrypted.google.com/

    Citation Envoyé par Freem Voir le message
    De toute façon, que 40% seulement de la vie privée d'une personne ce n'est rien, ils ont d'ailleurs toujours dis qu'ils considèrent que ceux qui n'ont rien à se reprocher n'ont pas besoin de vie privée!
    Donc on laisse sur les serveurs Google nos mails, contacts, historiques, documents, photos et autres, et on reproche ensuite à Google d'y avoir accès...
    A ma connaissance, les informations que j'ai laissé dans mes comptes Google n'ont jamais filtré à l'exterieur...

    The magic of Opera, La magie de l'Opera
    The mysteries of Space Opera, Les mystères de l'Opera Spatial
    Mr. Know-it-all, M. Je-Sais-Tout
    Prelude in C sharp minor, the most beautiful piano song and the best C sharp prelude ever, Prélude en do dièse mineur, le plus beau morceau de piano et le meilleur prélude au C#
    The Mesmerizing Saphir Division for Nerds, L'Hypnotisante Division Saphire pour les Nerds (HDSN)

  4. #4
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2010
    Messages : 1 229
    Points : 3 551
    Points
    3 551
    Par défaut
    Add-on Httpseverywhere pour Firefox.
    Je suis donc toujours par défaut sur la version encryptée de google.
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

Discussions similaires

  1. Réponses: 0
    Dernier message: 09/09/2011, 16h10
  2. Analyser l'audience de votre site web avec Google Analytics
    Par Baptiste Wicht dans le forum Général Conception Web
    Réponses: 14
    Dernier message: 29/01/2010, 17h50
  3. Quel langage pour une barre pour navigateur web type google bar ?
    Par ido_web dans le forum Langages de programmation
    Réponses: 1
    Dernier message: 16/05/2006, 16h32

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo