Firesheep : alerte sur vos données personnelles !

Une extension Firefox vient de voir le jour, nommée « Firesheep ».

Son but est de permettre le vol de cookies, ces petits fichiers utilisés pour vous « reconnaître » sur un site et vous dispenser de l’étape d’authentification. L’intérêt de les voler ? Pouvoir s’authentifier à votre place sur un site, sans aucun identifiant ou mot de passe.

L’utilisation de cette extension est enfantine et démontre à quel point il est urgent que certains sites (au hasard… Facebook) prennent enfin les mesures nécessaires pour garantir à ses utilisateurs un niveau de sécurité acceptable, ce qui n’est pas le cas à l’heure actuelle.

Parmi les sites concernés : Facebook, Twitter, Google, Flickr, Windows Live, Amazon, Yahoo…

Tant que les communications ne passeront pas systématiquement par le protocole SSL (adresses en https:// et petit cadenas affiché sur votre navigateur) de bout en bout, il est fortement recommandé de ne plus s’authentifier sur ces sites à partir d’une connexion non-sûre (réseau WiFi ouvert ou peu protégé). A l’heure actuelle, la protection SSL mise en place ne concerne bien souvent que l’étape d’authentification, et laisse le flux en clair pour le reste de la navigation.

Notez enfin que Firefox n’est pas responsable de cette extension, et que l’utilisation de cette dernière est réellement à la portée de n’importe quel pirate en herbe, qui aurait alors un accès total à vos données dans le cas où vous en seriez victime.