Firesheep est une extension Firefox qui va plaire aux petits pirates en herbe : en quelques clics cette extension permet de récupérer la connexion d’une autre personne à des sites très populaires comme Facebook, Flickr, Dropbox, Evernote, Windows Live, etc et de se connecter comme si de rien n’était. Pré-requis pour faire cela : être sur le même réseau que la victime et pouvoir « lire » ses paquets : réseau Wifi ou réseau Ethernet non switché donc.

Firesheep n’exploite aucune faille de sécurité révolutionnaire mais utilise juste des principes connus depuis des années et les simplifie à l’extrême.
Beaucoup de sites Internet se basent en effet sur les cookies de session pour maintenir la connexion de l’utilisateur : ce n’est heureusement pas le mot de passe qui est stocké dans les cookies mais souvent un identifiant de session complexe que l’on retrouvera sur le serveur pour confirmer que l’utilisateur est bien connecté.

Si on arrive à récupérer le cookie du site, et si le site n’embarque pas de sécurité complémentaire, on se retrouvera donc avec une session valide qui correspond à la navigation de notre victime.

Pour que ça fonctionne, on voit que plusieurs choses sont nécessaires :

  1. pouvoir atteindre les paquets envoyés par la victime sur le réseau : cela suppose d’être connecté sur le même réseau local qu’elle,
  2. pouvoir lire et déchiffrer ses paquets : cela suppose que les paquets soient en clair (http et non https) et que notre carte réseau puisse lire des paquets destinés à d’autres (Promiscuous mode),
  3. que le site n’utilise pas d’autres paramètres que le cookie de session pour reconnaître un utilisateur.

Le point 1 signifie que l’on doit être sur un réseau Wifi avec la victime ou sur un réseau de type Ethernet mais composé uniquement de hubs et non de switchs (avec un switch seuls les paquets qui vous sont destinés arrivent sur votre interface réseau, avec un hub tous les paquets sont envoyés sur toutes les interfaces du hub), ce qui tend à disparaitre complètement.

Pour le point 2, sous Windows il faudra télécharger et installer WinPcap pour que Firesheep puisse utiliser le mode promiscuous de votre carte réseau. Attention, toutes les cartes réseaux ne sont pas compatibles avec ce mode, à vous de tester avec votre carte.

Pour le point 3, vous n’aurez pas trop à vous en soucier puisque pour l’instant Firesheep n’est compatible qu’avec une sélection de sites : Amazon, Basecamp, bit.ly, Enom, FaceBook, FourSquare, Github, Google, Hacker News, Harvest, The New York Times, Pivotal Tracker, Twitter, ToorCon: San Diego, Evernote, Dropbox, Windows Live, Cisco, Slicehost, Gowalla et Flickr .

A venir : Yahoo, eBay, LinkedIn, Disqus, IntenseDebate, Digg, Reddit, Gravatar, Scribd, Wikipedia/mediawiki ?, TripIt, Blogger, GoDaddy, Posterous, Tumblr, Netflix, Youtube, ISC2, Slashdot, MobileMe, Paypal, Salesforce, Craigslist, Myspace, Match, AOL et Hyves.

Bon alors, comment qu’on pique le Facebook de la petite soeur pour raconter des obscénités sur sa timeline maintenant ?

Si vous êtes sous Windows, installer tout d’abord WinPcap.

Puis pour Windows ou Mac OS : télécharger Firefox (attention pas la version 4, mais une version 3 à jour), et télécharger firesheep-0.1-1.xpi sur cette page. Faites ensuite glisser le .xpi dans la fenêtre de Firefox pour installer l’extension.

Une fois Firefox redémarré, lancer le panneau latéral de Firesheep : Affichage -> Panneau Latéral -> Firesheep. Cliquer ensuite sur Start Capturing.

Il ne vous reste plus qu’à attendre de voir de belles sessions Facebook ou Flickr s’afficher.

Alors maintenant, comment on peut se protéger de ce genres d’attaques de sidejacking ? Et comment sécuriser ses sites Web contre ce genre d’attaques ?

En fait la réponse n’est pas si simple. Pour les utilisateurs, il faut utiliser des connexions https dès que possible, mais ce n’est pas forcément suffisant. En https, le cookie sera illisible pour un autre utilisateur donc le problème s’arrête là… sauf si vous naviguez également sur des pages en http du site, et si le cookie est envoyé sur ces pages également.

En fait, lorsqu’un site positionne un cookie via un SetCookie, il peut soit le faire pour tous les protocoles, soit le faire pour le https seulement avec l’option secure. Si le cookie n’est pas secure, alors il sera envoyé sur le réseau lors d’une connexion en http. Il faudrait donc que toute la navigation soit en https (ce qui est très rarement le cas) ou alors que les données d’authentification ne soient nécessaires que sur certaines pages ciblées, ce qui paraît difficile pour un site comme Facebook par exemple.

Pour Firefox, il est possible de forcer l’utilisation du https sur les sites qui le permettent et ne pas passer en http par erreur avec les extensions Force-TLS ou HTTPS EveryWhere. Les autres solutions peuvent vite devenir compliquées pour le grand public (tunnel SSH, VPN, etc.), heureusement qu’hadopi est là pour nous former ^^.

Côté serveur, on peut limiter les risques en envoyant un nouvel identifiant de session avec chaque requête et en positionnant des durées de session courtes, ou en couplant la session avec d’autres données du client : User Agent, adresse IP, etc. Mais attention ces mesures en sont pas forcément sans conséquence : pour l’IP c’est même une mauvaise idée puisque beaucoup de grandes entreprises utilisent des proxys internet avec du load balancing, ce qui provoque un changement d’IP pour les clients au cours de la navigation. Si l’IP est une donnée d’authentification, la session de l’utilisateur sera alors perdue.

Le SSL complet semble donc la seule solution, mais cela ne vient pas sans inconvénient également.

Et si vous voulez vous amusez à observer les paquets qui passent sur votre réseau, c’est WireShark qu’il vous faut.

Firesheep.

 


 

40 réponses pour "Firesheep : pirater le login Facebook de vos amis"

  1. bizut  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.11 avec Windows Windows 7
    26 octobre 2010 @ 21:12
    1

    Un peu limite comme article, car facilitant les piratages pour novices.
    Mais c’est en multipliant ce type d’article que l’on facilitera la prise de conscience de monsieur tout-le-monde.
    Perso j’ai retiré tous les antennes WIFI de ma freebox, et passé en Ethernet, tout en limitant mon DHCP (et d’ici moins de 2 semaines une adresse IP par adresse MAC)

  2. Papy  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.11 avec Mac OS X Mac OS X 10
    26 octobre 2010 @ 21:17
    2

    @bizut – c’est l’inverse qui est dangereux à mon avis, garder dans l’ombre des techniques répandues chez les experts mais inconnues du grand public. Après cela donne une fausse impression de sécurité, et ce n’est jamais bon.

  3. th3m4ri0  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.11 avec Windows Windows XP
    26 octobre 2010 @ 22:44
    3

    @bizut & @Papy – Dans les deux cas il y a des pour et des contres.
    Oui ça risque d’ouvrir les portes du sniffing à de nombreux n00bs. Mais une interdiction de publication cacherais les faits, comme le dit Papy.
    Personnellement, je m’intéresse au hacking (de loin) seulement pour me protéger. En effet, c’est en comprenant le fonctionnement de l’arme que je fait mon bouclier.

  4. driver_x  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.11 avec Windows Windows 7
    26 octobre 2010 @ 23:50
    4

    Merci pour toutes ces news =)

  5. Merimac  Surfe sur Google Chrome Google Chrome 6.0.475.1 avec Windows Windows 7
    27 octobre 2010 @ 1:41
    5

    Salut Papy :-)
    Merci pour cet article qui est bien intéressant. J’avais déjà connaissance de ce genre ce pratique étant étudiant en informatique, donc avec des mecs en tout genre dont certain féru de sécurité.

    Pour ma part, je ne connais pas les extensions FireFox que tu cites mais je vais les « retourner » histoire de voir ce qu’il y a dedans car de mon côté pour sécuriser mes passages sur facebook j’ai opté pour un script GreaseMonkey qui change aussi bien les liens interne de facebook que les liens externes comme dans les mails, en restant toute fois que dans le navigateur.

    Je vais donc regarde de plus près pour voir si fb effectue un envoie du cookie sur les pages en clair ou si celui-ci est juste utilisé à l’authentification… car actuellement le HTTPS de facebook après login reroute automatiquement sur le HTTP puis ensuite sur le HTTPS. Va savoir pourquoi !

    Tiens si tu veux tester ou un œil à mon script GM : http://userscripts.org/scripts/show/86392

    PS : Tous les commentaires sont les bienvenues
    PS² : Je sais déjà que le chat ne fonctionne pas en https, et je n’ai pas encore vu s’il est possible de changer ça.

  6. Merimac  Surfe sur Google Chrome Google Chrome 6.0.475.1 avec Windows Windows 7
    27 octobre 2010 @ 1:44
    6

    Pour info, je ne suis pas sous Google Chrome 6.0.475.1 mais sous Iron de SRWare.

    Voici le UserAgent si tu veux le rajouter : Iron/6.0.475.1 Chrome/6.0.475.1 ;)

  7. all  Surfe sur Konqueror Konqueror 4.4 avec Kubuntu Linux Kubuntu Linux
    27 octobre 2010 @ 10:08
    7

    Papy t’es un barbot

  8. Hadrien01  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.11 avec Mac OS X Mac OS X 10
    27 octobre 2010 @ 11:05
    8

    Quel est ton thème sous Firefox ? Je n’arrive pas à avoir les onglets au dessus…

  9. aciD  Surfe sur Google Chrome Google Chrome 7.0.517.41 avec Windows Windows 7
    27 octobre 2010 @ 12:23
    9

    C’est vieux comme le monde cette attaque (cherchez MitM). La ça l’automatise.
    Et il ne faut pas oublier que sur un réseau filaire (généralement commuté) on devra faire du ARP Poisoning pour pouvoir sniffer les trames.
    Il faut aussi préciser qu’une fois que le trafic est redirigé par ARP Poisoning il est possible d’envoyer des faux certs, donc même le HTTPS peut être unsecure…

  10. Papy  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.11 avec Mac OS X Mac OS X 10
    27 octobre 2010 @ 13:13
    10

    @Hadrien01 – je crois que c’est la beta4 de Firefox qui apporte ça sous Mac OS X. (Les captures ne sont pas de moi, elles proviennent du site de l’auteur de l’extension).

  11. Hadrien01  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.11 avec Mac OS X Mac OS X 10
    27 octobre 2010 @ 16:02
    11

    @Papy – Je me disais bien… Dans ce cas, pourquoi « attention pas la version 4 » ?

  12. Kossi Yetongnon  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.11 avec Mac OS X Mac OS X 10
    28 octobre 2010 @ 7:15
    12

    Si Firesheep s’avère redoutable lorsque vous utilisez un réseau Wifi non
    sécurisé, j’ai découvert,en me connectant à mon réseau crypté en WPA sur
    mon MacBook Pro,que Hotmail présentait une faille non moins délicate.
    Grâce à Firesheep vous pouvez rouvrir n’importe quelle session Windows
    Live même une fois que vous vous êtes délogué et ceci en étant connecté
    sur un réseau privé sécurisé.
    Ce qui est très sensible ici est que cette faille permet à votre proche
    entourage ou personnes ayant un accès direct à votre ordinateur
    d’accéder à volonté à n’importe quelle session Hotmail qui auraient été
    lancée auparavant depuis votre poste.
    J’ai fait le même test sur Facebook, Yahoo Mail ou Twitter et là ça ne
    marchait pas par contre.

    Pensez donc à ne pas égarer votre ordinateur portable ou vous vous
    exposerez à la lecture de vos mails Hotmail à votre insu.

    J’avais déjà laissé une note à ce sujet sur le blog d’Eric Butler plus tôt:
    http://codebutler.com/firesheep-a-day-later

  13. Papy  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.11 avec Mac OS X Mac OS X 10
    28 octobre 2010 @ 8:41
    13

    @Hadrien01 – les problèmes de la version 4 étaient nombreux d’après les commentaires sur le site de l’auteur, peut-être que ça ne concernait pas la version Mac ? Ou alors il utilise une version de dev.

  14. Legifrance  Surfe sur Safari Safari 533.18.5 avec Mac OS X Mac OS X 10.6.4
    29 octobre 2010 @ 13:03
    14

    Pour les joueurs en herbe qui ne maitriseraient pas les conséquences :

    Article 323-1 du Code Pénal
    Modifié par Loi n°2004-575 du 21 juin 2004 – art. 45 JORF 22 juin 2004
    Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.

    Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende.

  15. fire  Surfe sur Internet Explorer Internet Explorer 7.0 avec Windows Windows XP
    29 octobre 2010 @ 13:11
    15

    petite erreure qui s’est glissée dans cet article, la solution de capture airpcap aulieu de winpcap qui ne sera d’aucune utilité sur un réseau sans fil

  16. fire  Surfe sur K-Meleon K-Meleon 1.5.4 avec Windows Windows XP
    29 octobre 2010 @ 13:13
    16

    http://www.cacetech.com/products/airpcap.html

  17. fire  Surfe sur K-Meleon K-Meleon 1.5.4 avec Windows Windows XP
    29 octobre 2010 @ 13:14
    17

    vous pouvez visiter le site web www casetech com

  18. bizut  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.12 avec Windows Windows 7
    29 octobre 2010 @ 13:40
    18

    PapyGeek, c’est bien mon idée ;-)
    J’ai du mal m’explique ;-)

  19. DiDoo  Surfe sur Google Chrome Google Chrome 7.0.517.41 avec Windows Windows XP
    01 novembre 2010 @ 19:00
    19

    « être sur le même réseau que la victime et pouvoir « lire » ses paquets : réseau Wifi ou réseau Ethernet non switché donc. »

    Pour contourner le problème voir : ettercap et ip_forward. Fonctionne sous Ubuntu.

  20. virginie  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.12 avec Windows Windows Vista
    11 novembre 2010 @ 0:54
    20

    Bonjour,

    Puis je avoir le mot de passe de cette messagerie chrisgentle5@yahoo.com, voici ma messagerie.

    Je veux savoir.

    Cdt

  21. Gadcam  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.12 avec Windows Windows Vista
    12 novembre 2010 @ 14:08
    21

    Bonjour à tous,
    j’aimerais savoir comment détecter du sniffing avec WinPcap et l’utilisation de Firesheep sur mon réseau wifi, s’il y a possibilité bien sur ! Ça fait froid dans le dos de voir que l’on peut récupérer des sessions aussi facilement.

  22. labouledepoil  Surfe sur Google Chrome Google Chrome 7.0.517.44 avec Windows Windows XP
    14 novembre 2010 @ 14:39
    22

    question toute bête, mais ça marche sur les réseau wifi gratuit dans les lieux publics ? je pense notamment dans les gares, au mac do ce genre de truc ?
    Et qu’appelle-t-on le réseau wifi sans switch ? parce que bon, un system switch en filaire je visualise, mais en wifi ?

  23. labouledepoil  Surfe sur Google Chrome Google Chrome 7.0.517.44 avec Windows Windows XP
    14 novembre 2010 @ 14:40
    23

    mea culpa, j’avais pas tout lu -_-‘ autant pour moi

  24. Arakiel  Surfe sur Google Chrome Google Chrome 7.0.517.44 avec Windows Windows 7
    25 novembre 2010 @ 1:34
    24

    Ca marche sur Freewifi ou autre hotspot ?

  25. zzterrozz  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.12 avec Windows Windows Vista
    29 novembre 2010 @ 21:44
    25

    Gadcam >> Utilise l’extension Firfefox appelée  » BlackSheep « 

  26. Gadcam  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.12 avec Windows Windows Vista
    03 décembre 2010 @ 21:18
    26

    Oui j’ai vu cette extension il y a peu, très pratique !
    D’ailleurs on peut la télécharger à cette url http://www.zscaler.com/research/plugins/firefox/blacksheep/blacksheep-latest.xpi

  27. Moreau  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.15 avec Windows Windows 7
    06 mars 2011 @ 10:23
    27

    Bonjour à tous,
    impossible de faire fonctionner ce pluning firesheep avec firefox 3.6.15 et impossible de tester avec la version 3. qui est introuvable sur le net.
    Avez-vous une solution ?
    Cordialement.

  28. apollon marler  Surfe sur Google Chrome Google Chrome 9.0.597.98 avec Windows Windows 7
    21 avril 2011 @ 12:53
    28

    j’ai pas trouvé la versoin firefox 3 est ce que ça pourrais marcher avec la versoin 4 ??

  29. zenico  Surfe sur Google Chrome Google Chrome 10.0.648.205 avec Windows Windows 7
    22 avril 2011 @ 14:35
    29

    Perso suis d’accord avec le 1er commentaire, tu ne fais que décrire du sniffing avec un décodeur de trames là c’est basique mais justement pas connu du grand public, ça ne marche pas si en switch alors parle de l’arp spoofing et la boucle est bouclée :(

  30. Gua  Surfe sur Safari Safari 533.18.5 avec Mac OS X Mac OS X 10.5.8
    05 octobre 2011 @ 15:58
    30

    J’ai un tous petit problème et j’aimerais bien que quelqu’un m’aide : après avoir suivit a la lettre tous ce que tu demande de faire pour utiliser firesheep lorsque je fais « start capturing » il s’affiche en orange: « couldn’t get netmaskfor device en1: en1: no IPv4 address assigned » donc un petit coup de main stp ?

  31. Red-a  Surfe sur Google Chrome Google Chrome 14.0.835.202 avec Windows Windows Vista
    14 octobre 2011 @ 10:34
    31

    jeve lepirater se homme

  32. YanisPuma  Surfe sur Google Chrome Google Chrome 16.0.912.63 avec Windows Windows XP
    23 décembre 2011 @ 18:19
    32

    il me dit qu’il est incompatible jai éssayé avec la version 3.0.1 et 3.6

  33. flamby  Surfe sur Google Chrome Google Chrome 16.0.912.63 avec Windows Windows Vista
    04 janvier 2012 @ 22:58
    33

    bonjour, ou plutot bonsoir
    j’ai un petit soucis de telechargement, d’installation et vu que je suis novice en informatique …….
    ce qui ce passe: j’ai telechargé winpcap mais je n’arrive pas a ouvrir firesheep ensuite, de quelque facon que ce soit, pouvez vous m’aiguiller svp?
    merci d’avance

  34. Stynx  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.24 avec Windows Windows 7
    05 février 2012 @ 19:11
    34

    Svp j’ai tout fait mais quand le click sur Start Capturing rien ne s’affiche 15 min passées et toujours rien AIDEZ MOI

  35. Gaëtan  Surfe sur Mozilla Firefox Mozilla Firefox 3.6.12 avec Mac OS X Mac OS X 10
    18 février 2012 @ 1:43
    35

    Comme Stynx, sous mac de mon coté.
    Et rien a faire, ca ne veut pas. Une solution ?

  36. babou44  Surfe sur Mozilla Firefox Mozilla Firefox 10.0.2 avec Windows Windows 7
    01 mars 2012 @ 11:42
    36

    Quelqu’un pourrait proposer le téléchargement de firefox 3.0 ?

  37. ffmafia  Surfe sur Mozilla Firefox Mozilla Firefox 11.0 avec Windows Windows 7
    07 mars 2012 @ 0:52
    37

    ba j’ai lu pas tout compris mdr mais sa a l’air sympa autan pour la defence que pour quelque soucie
    merci beaucoup

  38. tetractwist  Surfe sur Mozilla Firefox Mozilla Firefox 11.0 avec Windows Windows 7
    30 avril 2012 @ 2:49
    38

    salut;)
    juste pour dire que ca ne passe plus sur firefox 11.0
    ou alors j’ai fais une erreur de manip . ben ouai un pote a moi hack de temps en tempset j’aurais bien voulu lui sortir son mot de passe ou juste lui changer sa photo de profil ^^

  39. aheòad  Surfe sur Google Chrome Google Chrome 23.0.1271.97 avec Windows Windows Vista
    06 janvier 2013 @ 16:06
    39

    BONJOURE FE VEUS DEòANDER UN LOGECIEL POURE Piratage un cod siciriter de wifi

  40. victo24dord  Surfe sur Mozilla Firefox Mozilla Firefox 25.0 avec Windows Windows 7
    03 novembre 2013 @ 13:54
    40

    Pour ceux qui n’arrive pas à installer le module FireSheep à cause d’une incompatibilité avec Firefox :
    1) Télécharger une version portable de firefox 3.6 ici : http://firefox-portable.telecharger360.com/telecharger
    2) Aller sur le « ? » dans la barre d’outils et « rechercher des mise à jour » pour le passer en 3.6.28. Relancer le navigateur (en terminant le processus dans le gestionnaire de tâche si vous avez une erreur « Veuillez à bien fermer tout versions de firefox avant la mise à jour »..).
    3) Déplacer l’extention .xpi dans le navigateur, ça à marcher pour moi donc ça devrait pour vous aussi !

    Enjoy ;)

Skynet est l'organizer de PapyGeek. +