Les cookies demeurent une faille dans la sécurité du web

Par 01 septembre 2011 1 commentaire
Mots-clés : Smart city, Amériques, Asie, EMEA
piratage

Si les cookies facilitent l'usage d'Internet, en permettant par exemple aux moteurs de recherche d'identifier nos préférences, ils constituent aussi la voie d'accès la plus rapide à nos données personnelles.

Les outils de recherche personnalisés de Google présentent des risques majeurs de fuite de données, met en évidence une étude menée par Vincent Toubiana et Vincent Verdot, chercheurs chez Alcatel-Lucent. Le mode de piratage mis à jour repose sur un principe de fonctionnement essentiel du moteur de recherche, à savoir l'envoi d'un cookie SID à l'utilisateur. Ce cookie recense les préférences de l'utilisateur (sites consultés, saisie semi-automatique) et permet à Google de fournir un service personnalisé, qui tient compte des navigations précédentes. Par voie de fait, la récupération de ce cookie par une tierce personne peut lui permettre d'accéder à un historique de navigation très important, ainsi qu'à certaines données personnelles. Or, l'obtention de ce cookie se révèle extrêmement aisée, pour peu que l'on connaisse les différents processus.

Passer par un point d'accès public vous expose à des risques de piratage

Le plus simple d'entre eux passe paradoxalement par Google lui-même. En effectuant une simple recherche basée sur des mots-clés spécifiques, l'on peut accéder à des sites où des utilisateurs recensent les cookies SID obtenus lors de précédents piratages. Et pour peu que ces cookies datent de moins d'un mois, il est probable qu'ils soient encore utilisables. Une autre méthode est de se servir des sites non HTTPS, dont le trafic est facile à intercepter. Enfin, la troisième solution est de falsifier la page d'accueil d'un point d'accès Internet public (ex: un fast-food), en encodant sur la page en question un programme pirate. Celui-ci, lors de la connexion, entraîne l'envoi par votre ordinateur du cookie recherché vers le point d'accès pirate.

Un type de piratage que l'on peut freiner, mais pas annihiler

Pour parer à cette menace, les chercheurs proposent plusieurs méthodes. La première, qui ne peut être réalisée qu'à l'initiative du propriétaire du réseau, est de recourir à un VPN afin d'empêcher toute interception. Une autre méthode, que tout consommateur peut mettre en œuvre, est de vider l'historique, tout en désactivant temporairement l'enregistrement des sites visités lors d'une connexion à un réseau public. Les chercheurs précisent que même si ces mesures ne rendent pas impossible le piratage, elles en augmentent clairement la difficulté.

Haut de page

1 Commentaire

Combien de fautes d'orthographe dans cet article (par ailleurs intéressant) ? Juste pour information/rappel : on écrit "une tierce personne". L'auteur devrait également revoir les cas d'utilisation du subjonctif présent...
Dommage, j'espérais qu'à la rentrée L'Atelier ferait quelques efforts en matière rédactionnelle.

Il me serait également utile de savoir si vous transmettez ce genre de commentaire au journaliste auteur de l'article.

Merci.

Christophe

Soumis par Christophe Duflos (non vérifié) - le 01 septembre 2011 à 23h13

Mentions légales © L’Atelier BNP Paribas