Son but est de permettre le vol de cookies, ces petits fichiers utilisés pour vous « reconnaître » sur un site et vous dispenser de l’étape d’authentification. L’intérêt de les voler ? Pouvoir s’authentifier à votre place sur un site, sans aucun identifiant ou mot de passe.

L’utilisation de cette extension est enfantine et démontre à quel point il est urgent que certains sites (au hasard… Facebook) prennent enfin les mesures nécessaires pour garantir à ses utilisateurs un niveau de sécurité acceptable, ce qui n’est pas le cas à l’heure actuelle.

Parmi les sites concernés : Facebook, Twitter, Google, Flickr, Windows Live, Amazon, Yahoo…

Tant que les communications ne passeront pas systématiquement par le protocole SSL (adresses en https:// et petit cadenas affiché sur votre navigateur) de bout en bout, il est fortement recommandé de ne plus s’authentifier sur ces sites à partir d’une connexion non-sûre (réseau WiFi ouvert ou peu protégé). A l’heure actuelle, la protection SSL mise en place ne concerne bien souvent que l’étape d’authentification, et laisse le flux en clair pour le reste de la navigation.

Notez enfin que Firefox n’est pas responsable de cette extension, et que l’utilisation de cette dernière est réellement à la portée de n’importe quel pirate en herbe, qui aurait alors un accès total à vos données dans le cas où vous en seriez victime.

Seulement voilà, comme le fait justement remarquer sebsauvage sur son excellent blog, il s’agit tout bêtement d’une version émulée grâce à l’outil Wine, bien connu des linuxiens souhaitant retrouver sur Linux des outils Windows.

Voici ce que donne TeamViewer « pour Linux » (sous Fedora) :

Visuellement, il y a de quoi avoir déjà un très gros doute !

Et voici la confirmation, avec la réponse de la commande top (ou sa version améliorée htop) :

USER       PID %CPU %MEM START TIME COMMAND
nicolas   9463  0.4  1.6 22:01 0:03 c:\Program Files\TeamViewer\Version5\TeamViewer.exe
nicolas   9488  0.1  0.2 22:01 0:00 /opt/teamviewer/teamviewer/5/wine/bin/wineserver
nicolas   9492  0.0  0.1 22:01 0:00 C:\windows\system32\services.exe

De plus, la fermeture de TeamViewer provoque l’ouverture d’une page sur votre navigateur par défaut…

Doit-on vraiment qualifier ceci de « version Linux » ? Je ne pense pas…

Le site Zataz.com a récemment publié un article sur le fournisseur gratuit d’adresses e-mail jetables Yopmail, que vous pouvez consulter ici.

Yopmail est un service vous permettant d’obtenir immédiatement l’adresse de votre choix sur le domaine @yopmail.com, sans inscription… et sans mot de passe. L’intérêt ? Disposer rapidement d’une adresse jetable dans le but de ne pas avoir à laisser sa véritable adresse e-mail sur un site que l’on pense peu fiable. C’est également un bon moyen de réceptionner les fameuses demandes de confirmation de création de compte, juste le temps de l’inscription.

Zataz met en garde ses lecteurs sur le danger que représente ce service : sans mot de passe, il suffit d’entrer un identifiant au hasard pour accéder, peut-être, à divers courriers potentiellement dangereux (pouvant compromettre la sécurité de votre compte sur divers sites, notamment). C’est vrai. N’allez pas vous inscrire sur PayPal avec l’adresse delphine@yopmail.com, par exemple…

Cependant, ce que l’article oublie (mais est-ce vraiment un oubli ?), c’est qu’il existe une sécurité pour protéger son compte Yopmail : les « e-mail alias » . Pour en expliquer le fonctionnement, un exemple vaut mieux qu’une simple explication.

Delphine souhaite ouvrir une boîte sur Yopmail. En un clic, c’est fait.

En haut de l’image, se trouve une adresse : emma.harris-2l0zvoc@yopmail.com. Envoyez un courrier à cette adresse : il arrivera bien sur delphine@yopmail.com. Si vous consultez emma.harris-2l0zvoc@yopmail.com, vous n’y trouverez rien. De cette façon, si vous ne diffusez que l’adresse e-mail alias associée à votre compte Yopmail, personne ne pourra consulter votre boîte aux lettres, puisque personne ne connaît la véritable adresse e-mail associée à cet alias.

C’est une sécurité un peu particulière, mais qui a le mérite de protéger le véritable compte Yopmail, même si celui-ci peut être visité si jamais l’identifiant se révèle être simple. A ce titre, le compte delphine@yopmail.com doit être régulièrement visité. En revanche, un compte Yopmail de la forme delphine.talaron.94.mail.pub@yopmail.com a nettement moins de chances d’être visité par hasard.

Tout ceci ne remplace évidemment pas un véritable compte avec mot de passe. Mais l’article de Zataz, tel qu’il a été rédigé, laisse entendre que ce service n’offre aucune sécurité : c’est faux, il faut juste savoir se servir de leur système d’alias.

Attention, n’oubliez pas toutefois que Yopmail est un service d’e-mail jetable, c’est à dire non destiné à être votre adresse e-mail de tous les jours… et pour cause : ce service ne permet pas d’envoyer d’e-mails à des adresses d’un autre domaine que @yopmail.com.

En résumé :

• N’utilisez pas un identifiant trop simpliste
• Ne diffusez que l’alias associé à votre compte
• Pensez à supprimer les messages reçus (croix rouge présente dans les onglets)