Des pirates informatiques et des professionnels de la sécurité sur internet ont fustigé ce week-end les sites utilisant des "cookies", des logiciels espions qui enregistrent les habitudes des internautes, au risque de les voir révélées au grand jour.
Des pirates informatiques et des professionnels de la sécurité sur internet ont fustigé ce week-end les sites utilisant des "cookies", des logiciels espions qui enregistrent les habitudes des internautes, au risque de les voir révélées au grand jour.
De nombreux sites de recherche et de mise en réseau comme ceux de «Google» ou «MySpace» infiltrent des «cookies» dans les ordinateurs de leurs utilisateurs pour mieux déterminer leurs goûts et besoins potentiels et parfois accélérer leurs recherches.
Réunis depuis vendredi à Las Vegas (Nevada, ouest) pour un congrès baptisé DefCon, des spécialistes du piratage ont démontré qu'il était facile pour une tierce personne d'accéder à ces «cookies» et aux informations personnelles qu'ils renferment.
«Les sites internet pourraient facilement résoudre le problème en cryptant les "cookies"», a assuré à l'AFP Robert Graham, directeur d'Errata Security, alors que plusieurs sites de recherche ont récemment acheté des entreprises qui s'appuient sur les «cookies» pour affiner leurs cibles en matière de publicité.
Rick Deacon, un étudiant américain, est venu expliquer comment il était possible de récupérer suffisamment d'information sur les «cookies» des utilisateurs du site MySpace pour prendre le contrôle de leurs pages personnelles.
L'essentiel est de pousser les utilisateurs de MySpace à cliquer sur un lien, installé par exemple sur un forum en ligne ou un site de discussion, qui les conduise vers un fichier qui vole les mots de passe et les autres informations enregistrées dans leurs «cookies».
«Cela n'a jamais échoué avec moi», assure Rick Deacon.
«Je deviens vous sur MySpace», ajoute-t-il, précisant qu'un pirate informatique pouvait utiliser cette première victoire pour accéder à des parties plus protégées d'un ordinateur personnel, ou lui envoyer des virus informatiques.
Cette «brèche» dans la défense n'est pas limitée à MySpace, selon Rick Deacon, qui estime que les sites de Facebook et Google sont tout aussi vulnérables. Mais les sites de mise en réseau sont les premières cibles, affirme-t-il.
«MySpace prend la sûreté et la sécurité de sa communauté incroyablement à coeur et nous avons une équipe d'intervention rapide dévouée 24 heures sur 24 et 7 jours sur 7 pour faire face aux problèmes de sécurité», répond MySpace à une question écrite de l'AFP.
Pour Robert Graham, MySpace «n'est pas engagé à 100%» pour empêcher les attaques. De plus, les pirates qui ne veulent pas se donner la peine de piéger les utilisateurs avec de faux liens peuvent se contenter d'utiliser les bornes gratuites pour l'internet à haut débit sans fil.
«Si vous êtes dans n'importe quel "hot spot" wi-fi, comme un Starbuck's (chaîne de cafés américains très populaire) ou un aéroport, un pirate peut s'asseoir à côté de vous et recevoir les cookies que vous échangez sur internet», explique M. Graham.
«C'est dingue comme c'est facile», ajoute M. Graham après avoir démontré qu'il pouvait de cette manière accéder à la boîte de courriers électroniques d'un inconnu, et que les sites concernés devaient donc absolument crypter leurs «cookies».
«Il y a tellement d'informations dans vos courriels ou sur vos pages personnelles», rappelle-t-il. «Et si je veux vous suivre, je peux aller sur le cookie que les cartes de Google ont laissé sur votre ordinateur et probablement trouver votre adresse».