Internet: les hackers aiment les "cookies"
Des hackers et des professionnels de la sécurité sur internet ont fustigé ce week-end les sites utilisant des "cookies", logiciels espions qui enregistrent les habitudes des internautes, au risque de les voir révélées au grand jour.
Réunis depuis vendredi à Las Vegas (Nevada, ouest) pour un
congrès baptisé DefCon, des spécialistes du piratage ont démontré
qu'il était facile pour une tierce personne d'accéder à ces
"cookies" et aux informations personnelles qu'ils renferment.
Pages personnelles piratées
"Les sites internet pourraient facilement résoudre le problème
en cryptant les cookies", a assuré à l'AFP Robert Graham, directeur
d'Errata Security, alors que plusieurs sites de recherche ont
récemment acheté des entreprises qui s'appuient sur les cookies
pour affiner leurs cibles en matière de publicité.
Rick Deacon, un étudiant américain, est venu expliquer comment il
était possible de récupérer suffisamment d'information sur les
cookies des utilisateurs du site MySpace pour prendre le contrôle
de leurs pages personnelles.
L'essentiel est de pousser les utilisateurs de MySpace à cliquer
sur un lien, installé par exemple sur un forum en ligne ou un site
de discussion, qui les conduise vers un fichier qui vole les mots
de passe et les autres informations enregistrées dans leurs
cookies.
Menace plus profonde
"Cela n'a jamais échoué avec moi", assure Rick Deacon. "Je
deviens vous sur MySpace", ajoute-t-il, précisant qu'un pirate
informatique pouvait utiliser cette première victoire pour accéder
à des parties plus protégées d'un ordinateur personnel, ou lui
envoyer des virus informatiques.
Cette brèche dans la défense n'est pas limitée à MySpace, selon
Rick Deacon, qui estime que les sites de Facebook et Google sont
tout aussi vulnérables. Mais les sites de mise en réseau sont les
premières cibles, affirme-t-il.
"MySpace prend la sûreté et la sécurité de sa communauté
incroyablement à coeur et nous avons une équipe d'intervention
rapide dévouée 24 heures sur 24 et 7 jours sur 7 pour faire face
aux problèmes de sécurité", répond le site communautaire à une
question écrite de l'AFP. Pour Robert Graham en revanche, MySpace
"n'est pas engagé à 100%" pour empêcher les attaques.
agences/kot
Publié
Le danger du wi-fi
Les pirates qui ne veulent pas se donner la peine de piéger les utilisateurs avec de faux liens peuvent se contenter d'utiliser les "hot spots" wi-fi, les bornes gratuites pour l'internet à haut débit sans fil.
"Si vous êtes dans n'importe quel "hot spot" wi-fi, un pirate peut s'asseoir à côté de vous et recevoir les cookies que vous échangez sur internet", explique M. Graham.
M. Graham a démontré qu'il pouvait de cette manière accéder à la boîte de courriers électroniques d'un inconnu. Selon lui, les sites concernés devraient donc absolument crypter leurs cookies.
"Et si je veux vous suivre, je peux aller sur le cookie que les cartes de Google ont laissé sur votre ordinateur et probablement trouver votre adresse", a-t-il ajouté
Pourquoi les cookies?
De nombreux sites de recherche et de mise en réseau comme ceux de Google ou MySpace infiltrent des cookies dans les ordinateurs de leurs utilisateurs.
Cette pratique permet notamment de mieux déterminer les goûts et besoins potentiels des clients et parfois d'accélérer leurs recherches.