Quel site n'utilise pas, de nos jours, la notion de « session » ? Vous vous connectez au service à l'aide de votre nom d'utilisateur et votre mot de passe et la session, ainsi ouverte, le reste, jusqu'au moment où vous cliquez sur « déconnexion » ou fermez le navigateur. Entre temps, le serveur conserve la session ouverte et vous identifie grâce à un ou plusieurs cookies. Mais, que se passe-t-il si la connexion n'est pas chiffrée et qu'on vous dérobe ces fameux cookies ? Simplissime : l'attaquant accède à votre session.
Il n'y a rien de fondamentalement nouveau dans le problème détaillé ici. C'est la simplicité avec laquelle le vol de session peut être réalisé qui est malheureusement encore sous-estimé des utilisateurs, vos utilisateurs. Simplicité grandissante aux vues des nouvelles fonctionnalités apportées par Firefox 3 et l'utilisation généralisée de SQLite pour le stockage de toutes sortes de choses en lieu et place des bons vieux fichiers texte.
Avant d’entrer dans le vif du sujet, je rappellerai de suite le principe de base de toutes communications : tout ce qui circule en clair entre un point A et un point C et traversant un point B (délibérément ou non) doit être considéré comme non sûr. Concernant HTTP et les sessions : Webmail, commandes en ligne, réseaux sociaux, p0rn, tchat… tout ceci doit être considéré comme public et susceptible d'être vu, analysé, archivé et réutilisé. Nous reviendrons plus loin sur l'aberration que représente la fourniture de ce type de…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première