Récemment, Eric Butler a suscité un vif intérêt médiatique ( et donc un nombre de téléchargements en conséquence ) en publiant son extension Firefox baptisée Firesheep. Cette extension gratuite pour le navigateur de Mozilla permet à quiconque et en toute simplicité, d'utiliser à son insu les identifiants d'un utilisateur connecté à Facebook, un webmail ou autres, pour peu que cet utilisateur se trouve sur un même réseau Wi-Fi non protégé ( public ou pas ).

Pour ce faire, Firesheep tire parti d'un détournement de cookie HTTP. Ce cookie est renvoyé par un serveur distant lors de la connexion à un service après vérification des données d'identification saisies. Il permet à l'utilisateur connecté d'effectuer toutes ses requêtes ultérieures. Le problème est que contrairement à l'identification initiale, il n'y a pas de chiffrement lors de l'envoi du cookie qui transite en clair. Et s'il est intercepté... c'est ce que permet l'écoute opérée sous l'égide de Firesheep.

En démocratisant à l'extrême la technique, Eric Butler a surtout voulu provoquer une prise de conscience auprès de certains services Web et de pousser ainsi au chiffrement des connexions de bout en bout. Mozilla a déjà rebondi sur cette affaire pour rappeler que Firefox 4 supporte le protocole HTTP Strict Transport Security ( HSTS ) afin de forcer Firefox à toujours utiliser une connexion sécurisée HTTPS.


Blacksheep pour contrer Firesheep
La société de sécurité Zscaler, qui fournit une solution de sécurisation des flux Web, indique avoir mis au point une riposte gratuite à Firesheep. Cette riposte prend elle aussi les traits d'une extension Firefox : Blacksheep.

Blacksheep offre une contre-mesure à Firesheep en permettant de surveiller le trafic et d'alerter l'utilisateur si d'aventure la présence de Firesheep est détectée. Chercheur au sein du laboratoire Zscaler, Julien Sobrier précise que " Blacksheep ne détourne pas les sessions mais détecte le lieu et le moment où une session est piratée en alertant l'utilisateur ". Ainsi prévenu, ce dernier peut se déconnecter et ne plus avoir recours au réseau.

En réalité, Blacksheep fait passer de fausses informations d'identification sur le réseau, puis analyse le trafic afin de déterminer s'il y a eu un détournement par Firesheep. Zscaler explique qu'une fois que Firesheep a intercepté les informations d'identification pour un site Web ( le cookie HTTP ), il effectue une requête vers ce site en utilisant les valeurs du même cookie. Toutes les 5 minutes ( l'intervalle peut être réglé manuellement ), Blacksheep génère des requêtes HTTP vers les sites surveillés par Firesheep en utilisant de fausses valeurs du cookie. Si Blacksheep détecte que Firesheep fait une requête vers le site avec les mêmes fausses valeurs, l'utilisateur est alerté.

Blacksheep peut au moins permettre d'avoir l'esprit plus serein. L'extension est à télécharger à cette adresse. À noter que pour un même profil Firefox, les extensions Blacksheep et Firesheep ne peuvent pas cohabiter.