Dévoilé par Eric Butler lors de la conférence sur la sécurité ToorCon qui s'est tenue à San Diego le mois dernier, Firesheep est capable de récupérer des informations de session stockées dans le cookie d'un navigateur web. Ces informations peuvent être facilement collectées quant elles transitent dans les deux sens entre l'ordinateur d'un utilisateur et un routeur WiFi non protégé. C'est le cas par exemple quand une personne est connectée à un service web du type Facebook. En effet, si la plupart des sites cryptent le trafic actif à partir du moment où l'utilisateur entre dans le site avec son identifiant - le chiffrement est indiqué par le cadenas présent en bas de page des navigateurs - la plupart basculent ensuite dans un mode de transmission d'informations non crypté pendant le reste de la session. Une faiblesse contre laquelle les experts en sécurité mettent en garde depuis des années, en particulier pour les utilisateurs des réseaux WiFi publics non sécurisés.
Firesheep détecte le trafic non crypté et permet à un intrus de «détourner» la session en cours, ou de se connecter à un site Web à la place de sa victime, en quelques clics seulement. Ce style d'attaque est possible depuis longtemps. Mais Firesheep apporte aux utilisateurs les moins habiles un outil de piratage puissant et surtout simple à utiliser.
Allumer des contre-feux
L'extension Blacksheep de Zscaler se charge de repérer si quelqu'un utilise Firesheep sur le réseau où il est connecté, laissant à l'utilisateur le soin d'apprécier la meilleure attitude à adopter en matière de sécurité quand il utilise un réseau WiFi ouvert par exemple. Lorsque Firesheep intercepte les informations de session pour un site web donné, il envoie une requête au site concerné en utilisant les valeurs contenues dans le cookie piraté. Le rôle de Blacksheep consiste à envoyer des requêtes HTTP toutes les cinq minutes sur chacun des sites surveillés par Firesheep, mais en utilisant de fausses valeurs de cookie. « Si Blacksheep détecte que Firesheep envoi une requête sur un site en utilisant ces fausses valeurs, il émet alors une alerte, » explique Zscaler.
Les experts en sécurité recommandent aux sites web de sécuriser tout le trafic, mais de nombreux sites ne le font pas, parce que l'opération nécessaire pour maintenir le chiffrement demande une puissance de traitement supplémentaire. Cependant, quelques progrès ont été réalisés : ainsi, depuis le début de l'année 2010, Google a activé, pour tous les utilisateurs de son service Gmail, le cryptage HTTPS auparavant proposé en option. Il existe d'autres moyens de se protéger contre Firesheep, comme par exemple ne pas utiliser les réseaux WiFi ouverts. Si ce n'est pas possible, il existe également l'extension « HTTPS Everywhere » pour Firefox, mise au point par l'Electronic Frontier Foundation, laquelle déclenche automatiquement une session chiffrée avec les sites Web capables d'en établir une. Une connexion VPN peut également servir à contrer ce type d'attaques.