Ce bon vieux et néanmoins ami protocole
HTTP fonctionne selon le principe très simple de "question-réponse" (ou requête-réponse). Rapidement les
cookies ont été ajoutés au protocole afin de pouvoir garder un état lors d'une série de transactions, par exemple, d'un magasin en ligne, ou d'un site d'actualités tel LinuxFr.org. Depuis l'arrivée du
cookie, c'est devenu
le moyen de maintenir une session pour les utilisateurs des sites.
Personne n'est dupe et l'on sait très bien que ce cookie est un simple morceau de texte passant en clair dans les entêtes du protocole
HTTP. Nous savons aussi qu'il suffit d'obtenir ce texte afin de voler l'identité de la personne. Nous savons que le meilleur moyen pour s'en protéger est d'utiliser la version sécurisée du protocole HTTP soit
HTTPS.
Malheureusement, les sites comme Facebook ou Twitter utilisent le HTTP si rien d'autre ne leur est demandé. Pire, le site Facebook n'est pas entièrement fonctionnel via
HTTPS (le seul que j'ai personnellement testé), le chat ne fonctionne pas.
C'est là qu'interviennent Eric Butler et Ian "craSH" Gallagher. "Comment faire réagir ces sites" a dû être la question de départ. Après maintes réflexions (je suppose), ils ont décidé d'amener la possibilité de détourner une session
HTTP à un clic de souris de tous les utilisateurs de Firefox.
Et ils ont créé
Firesheep, à utiliser sur tous vos wifi non-protégés. Cet outil va permettre de sniffer le réseau à la recherche de cookies se baladant et vous afficher, dans une interface simple et intuitive, la liste des personnes ayant un compte sur divers sites sociaux et sur le même réseau que vous. Il ne vous reste plus qu'à cliquer pour obtenir l'identité de cette personne sur le site en question.
Enfin, c'est ce que dit la publicité. Je ne l'ai pas testé, la version Linux n'est pas encore dehors, il y a uniquement la version Windows et la bêta pour Mac OS X. Mais comme c'est du logiciel Libre, vous pouvez rapidement adapter le
code pour tourner sur Linux.
NdM : concernant LinuxFr.org, la
liste des cookies utilisés est dans l'aide, et nous invitons à préférer l'accès par HTTPS (un cookie permet de forcer tous les accès suivants en HTTPS si quelqu'un se loggue en HTTPS). Voir aussi la discussion précédente sur
Cadriciel d'espionnage/gestion de témoin de connexion evercookie 0.3.