Une nouvelle application Android fait légèrement froid dans le dos : DroidSheep permet, au sein d’un réseau local (Wi-Fi), de se connecter aux sessions ouvertes d’autres utilisateurs (ex : Facebook), sans avoir à entrer de mot de passe. Avec un simple smartphone, et un seul clic… Comment l’application fonctionne-t-elle, et comment s’en protéger ?
Vous souvenez-vous de Firesheep et de FaceNiff ? Droidsheep propose grosso modo le même « service » : connecté à un réseau Wi-Fi, l’application Android peut « renifler » (sniffing) toutes les sessions ouvertes par d’autres internautes connectés au réseau, et permettre à son utilisateur de se rendre sur ces sessions à leur place : Facebook, Twitter, Yahoo, Live, Flickr, etc.
DroidSheep va donc plus loin que ses cousins Firesheep et FaceNiff, dans le sens où :
- C’est une application smartphone (et donc très mobile), et non l’extension d’un navigateur web
- Elle permet de se connecter à de nombreux comptes distincts, et ne se contente plus du seul Facebook
- Un seul clic suffit pour commencer à usurper une identité.
Comment DroidSheep fonctionne ?
Lorsqu’un internaute souhaite se connecter à un de ses comptes Internet, par exemple le réseau social professionnel Linkedin, il doit préalablement entrer ses identifiants (pseudonyme et mot de passe). Ensuite, il navigue librement sur son espace personnel. Mais en réalité, pour chaque action réalisée sur cet espace, l’utilisateur doit confirmer son identification. Comme il serait légèrement pénible de devoir s’authentifier toutes les 5 secondes, le site (ici Linkedin) envoie et stocke sur l’ordinateur un cookie, c’est à dire un petit document texte qui mémorise les identifiants, ou toute autre information « utile ». Ainsi, le site demande régulièrement au cookie de confirmer l’authentification de l’utilisateur, sans que celui-ci ne s’en aperçoive. Aujourd’hui, quasiment tous les sites web utilisent les cookies.
Une fois connecté à un réseau Wi-Fi, DroidSheep peut intercepter tous les cookies échangés sur ce réseau, par d’autres utilisateurs. L’application s’approprie les identifiants de connexion et propose d’usurper les identités collectées sur les sites utilisés : réseaux sociaux, sites commerciaux, services de messagerie, forums, etc. Le tour est joué en un seul clic, et voici ce que ça peut donner :
DroidSheep est-il efficace sur les réseaux cryptés ?
L’application fonctionne sur tous les réseaux auxquels le smartphone Android est connecté : bien entendu tous les réseaux ouverts (non cryptés), tels que les hotspots de certains restaurants par exemple, mais aussi tous les réseaux chiffrés (WEP, WPA, WPA2) pour lesquels l’utilisateur à la clé (mot de passe). Pour résumer, dès qu’un utilisateur DroidSheep est connecté à un réseau Wi-Fi, il peut « renifler » les cookies de tous les autres utilisateurs de ce réseau, et potentiellement usurper leur identité
Comment éviter d’être la victime de DroidSheep ?
DroidSheep ne change pas véritablement la donne sur la sécurité des réseaux Wi-Fi :
- Si vous êtes sur un réseau ouvert (qui ne nécessite aucun mot de passe pour se connecter), toutes les informations que vous recevez et que vous envoyez circulent « en clair » dans les airs. Elle sont donc interceptables facilement.
- Si vous êtes sur un réseau chiffré, toutes les informations reçues et envoyés peuvent être interceptées par les autres utilisateurs du même réseau (car ils possèdent également la clé de décryptage).
Les moyens pour conserver une certaine confidentialité sur ces réseaux ne sont pas nombreux :
- Radical : éviter de se connecter aux réseaux publics ou semi-publics. Ou alors en se forçant à n’envoyer aucune information personnelle : identification, mail, etc.
- Simple : utiliser la version HTTPS (et non HTTP) des sites. Le HTTPS est une version sécurisée (SSL) qui évitera bien des déconvenues. Encore faut-il que le site souhaité propose cette alternative…
- Technique : utiliser un VPN chiffré, c’est à dire un tunnel protégé pour faire circuler vos informations de manière complètement hermétique entre l’ordinateur et le serveur Internet visé.
L’auteur de l’application DroidSheep clame ne pas avoir développé le programme en vue de voler des identités. Selon lui, sa démarche consiste à prouver la faiblesse des dispositifs de sécurité qui entourent certaines sites populaires comme Facebook. Argument imparable pour se dégager de toute responsabilité…
Par essence, les réseaux Wi-Fi présentent dès l’origine des conditions de sécurité minimale. Avec le temps, les techniques et les méthodes développées pour les contourner se multiplient. DroidSheep, par son efficacité et sa simplicité d’utilisation, permet de franchir un nouveau pas dans ce domaine. Voyez plutôt :
Sources : korben.info / droidsheep.de
Cette application ma parait très intéressant, malheureusement je n’arrive pas a rooter mon tout nouveau S3 Mini :)
[…] (et pas très légale) : DroidSheep. Cette appli, qui “fait froid dans le dos”, indique Panoptinet, “permet de “renifler” (sniffing) toutes les sessions ouvertes par […]