Active HTTPS Cookie Stealing
Comme tout le monde[1], vous avez probablement entendu parler de la présentation de Mike Perry au Defcon 2008. Comme moi, vous n'avez probablement entendu que la version "hey, il y a un mec au defcon qui a montré comment voler les cookies de sessions de gmail, depuis le temps qu'on leur dit qu'il ne faut pas mettre que le login en https..".
Well, c'est bien pire que ça.
Vous pouvez vous connecter en https du début à la fin. Ne même pas vous logguer sur gmail à l'endroit où Mike sniffe le réseau. D'ailleurs, ça ne concerne pas que gmail, mais la majorité des sites qui utilisent des cookies de session.
Le plus simple est probablement que vous lisiez les slides : http://fscked.org/talks/ActiveHTTPSCookieStealing.pdf ou que vous consultiez son site : http://fscked.org/blog/fully-automated-active-https-cookie-hijacking.
Allez, un rapide résumé parce que ça le vaut. On ne va pas revenir sur le mode de fonctionnement des cookies, parce que tout le monde le connaît. Rappelons juste qu'il existe un flag "Secure" ("Send For" dans firefox) qui indique si un cookie est limité à une connexion SSL ou non.
Scénario : Vous êtes chez vous, vous allez faire vos courses sur ebay, en https. Vous ne vous délogguez pas, who cares ? Vous repliez votre ultra-portable, allez rejoindre des amis avec (et avec le cookie dont "Secure" indique valable pour toutes les connexions, hey, on veut que vous vous sentiez chez vous même si vous surfez juste sur le site en http, donc pouvoir afficher votre nom). Hop, vous vous posez dans un café, vous rallumez le portable, réseau wifi ouvert, vous allez sur wikipedia. Vous êtes prudent, vous n'allez pas vous logguer sur ebay sur un réseau wifi ouvert. Oui mais.. Le type en face intercepte la connexion à wikipedia, injecte un bout de code html dans la page, un truc innocent du genre :
Hop, le navigateur demande l'image au serveur, EN CLAIR, et envoie vos cookies de session si bien protégés lorsque vous étiez en https. Owned.
Et ça ne marche pas que sur du wifi ouvert, la faille DNS toute neuve, ou un bon vieux ARP spoofing marchent aussi bien.
[1] s/le monde/les nerds/
Well, c'est bien pire que ça.
Vous pouvez vous connecter en https du début à la fin. Ne même pas vous logguer sur gmail à l'endroit où Mike sniffe le réseau. D'ailleurs, ça ne concerne pas que gmail, mais la majorité des sites qui utilisent des cookies de session.
Le plus simple est probablement que vous lisiez les slides : http://fscked.org/talks/ActiveHTTPSCookieStealing.pdf ou que vous consultiez son site : http://fscked.org/blog/fully-automated-active-https-cookie-hijacking.
Allez, un rapide résumé parce que ça le vaut. On ne va pas revenir sur le mode de fonctionnement des cookies, parce que tout le monde le connaît. Rappelons juste qu'il existe un flag "Secure" ("Send For" dans firefox) qui indique si un cookie est limité à une connexion SSL ou non.
Scénario : Vous êtes chez vous, vous allez faire vos courses sur ebay, en https. Vous ne vous délogguez pas, who cares ? Vous repliez votre ultra-portable, allez rejoindre des amis avec (et avec le cookie dont "Secure" indique valable pour toutes les connexions, hey, on veut que vous vous sentiez chez vous même si vous surfez juste sur le site en http, donc pouvoir afficher votre nom). Hop, vous vous posez dans un café, vous rallumez le portable, réseau wifi ouvert, vous allez sur wikipedia. Vous êtes prudent, vous n'allez pas vous logguer sur ebay sur un réseau wifi ouvert. Oui mais.. Le type en face intercepte la connexion à wikipedia, injecte un bout de code html dans la page, un truc innocent du genre :
<img src="http://www.ebay.com/pouet.png" />
Hop, le navigateur demande l'image au serveur, EN CLAIR, et envoie vos cookies de session si bien protégés lorsque vous étiez en https. Owned.
Et ça ne marche pas que sur du wifi ouvert, la faille DNS toute neuve, ou un bon vieux ARP spoofing marchent aussi bien.
[1] s/le monde/les nerds/
remi
Commentaires : (2)
Le 10/09/2008 à 00:10:58
nop
Zut je suis un nerd, j'en avais entendu parler :-/
Merci une nouvelle fois pour l'explication en clair \0/
Car si j'avais bien compris qu'on pouvait voler les cookies, je n'avais pas eu la patience de lire comment ça marchait :)
Merci une nouvelle fois pour l'explication en clair \0/
Car si j'avais bien compris qu'on pouvait voler les cookies, je n'avais pas eu la patience de lire comment ça marchait :)
Le 11/09/2008 à 09:53:35
Nina_Tool
Lire le blog en entier, pretty good
Le 28/09/2009 à 13:37:11
A ton tour de rétorquer :
XHTML 1.1 - CSS 2 - PHP 5 - XML - XSL - MySQL
