Cookie

frTout d’abord, bravo à ceux qui ont vu en ce titre un clin d’oeil au titre original de « Jeu d’enfant », c’est-à-dire le premier Chucky. Smile

Toute communication claire entre A et C passant B est non sûr. De ce fait, tout peut être vu, lu, enregistré et au pire : utilisé.

De nos jours, tous les sites (ou presque) disposent de « session », administrateur ou non. Votre webmail, votre compte Meetic (mauvais exemple ? Je sais), Facebook, Twitter etc. peuvent être à la portée de n’importe qui, sans même avoir besoin de connaître votre mot de passe.

Je vais aborder (rapidement) l’utilisation frauduleuse qui peut être faite des cookies. Pour aller voir plus loin, je vous conseille l’excellent article de Denis Bodor dans le GNU/Linux Magazine Hors-série N°42.

1. La cible : Kenshin, utilisateur du forum Fedora-fr. (et Roi des trolls)

Kenshin trolle trop, c’est insupportable. Vous avez décidé d’usurper son identité afin de le faire bannir définitivement. Mais c’est un utilisateur prudent, il utilise des mots de passe complexes. (jusqu’à 27 caractères en hexadécimal + caractères spéciaux, bonne chance ! Grin)
Vous allez donc récupérer le cookie qui conserve sa session ouverte sur le forum.

Fedora-fr

2. Capture des paquets.

L’attaquant doit capturer tout ou partie du trafic entre le serveur HTTP et le client. Dans le cas présent, imaginons que vous êtes connecté à mon réseau local. L’ARP Spoofing redirigerait le trafic vers votre machine, ainsi vous pourrez récupérer ce que vous souhaitez.
Le cookie est initialement envoyé par le serveur (ici, celui de fedora-fr.org), mais le client le présente à chaque requête. Une chance, je me rends très souvent sur le forum.

Arpspoof/Ettercap-ng, peu importe, votre ARP Spoofing fonctionne. Là (j’ai pris WireShark, mais ngrep peut faire l’affaire), vous avez patiemment analysé le trafic, et vous avez découvert ceci :

Fedora-fr wireshark

Ça y est. Le cookie fedorafr_punbb est le bon. Vous allez pouvoir usurper mon identité. (Super, non ? Big Smile

3. Utilisation frauduleuse du cookie.

Pour Firefox, il existe l’excellente extension Add ‘n’ edit cookie. L’utilisation est très simple. On ouvre l’extension, on ajoute le cookie (en remplissant correctement les champs) et on enregiste.

Fedora-fr cookie

Maintenant, vous pouvez me faire bannir du forum. Merci Smile

4. Autre exemple ?

Si j’ai utilisé Meetic en exemple plus haut, c’est pour une bonne raison. (non, je n’ai pas de compte Meetic) Je peux vous dire que c’est très peu sécurisé.

  1. Lors d’une connexion à la session, le nom d’utilisateur/mot de passe sont en clair dans l’URL. Votre attaquant n’aura pas besoin de cookie…
  2. Si Meetic vous envoie un email, vous serez connecté juste en cliquant sur un lien. Là encore, le cookie est inutile…

      3. Autant dire que si quelqu’un à accès à votre adresse mail, il aura de ce fait accès à votre compte. Ça risque d’être tendu avec vos prétendantes…Grin

      enFirst, congratulations to people seeing my wink to Child’s play, the first Chucky movie.

      Any communication between A and C passing by B is unsecure. Then, everything can be seen, read, saved, and the worst : used.

      Today, all websites (or almost) are using cookies. They provide « sessions », admin or not. Your webmail, your Meetic account (not a good example ? I know), Facebook, Twitter etc. can be used by anyone, without your password.

      I’m gonna talk (quickly) about the misuse which can be done with cookies.

      1. Target : Kenshin, Fedora-fr forum user. (King of trolls)

      Kenshin is trolling too much, it’s intolerable. You want to usurp his identity to get him out. But he’s a prudent user, using complex passwords. (27 hex characters + special characters, good luck !)
      So you’re gonna stole the cookie keeping his session opened.

      2. Packets capture.

      Attacker must capture all or part of trafic between HTTP server and client. In our case, let’s imagine you’re connected to my local area network. ARP Spoofing would redirect trafic to your computer, then you could read all you need.
      The cookie is initially sent by the server (here : fedora-fr.org), but the client presents it to each query. Luckily, I go very often on the forum.

      Arpspoof / Ettercap-ng, whatever, your ARP Spoofing works. There (I took WireShark but ngrep is good too), you patiently analyzed the traffic and you’ve discovered this. (see the image above)

      It’s okay. The fedorafr_punbb is the good. You will be able to steal my identity. (Awesome, isn’t it ? Big Smile

      3. Misuse of a cookie.

      For Firefox, you can install the Add ‘n’ edit cookie plugin, easy to use. Just open it, add the cookie, and save it. (see the image above)

      Now you can have me banned from the forum. Thanks Smile

      4. Another example ?

      If I’ve used Meetic as a exemple above, it’s for a good reason. Indeed (no I haven’t a Meetic account) it’s very unsecure.

      1. When you establish a connection to your account, your login/password appears in clear in the URL. Your attacker won’t need a cookie…
      2. If someone click on a link send by Meetic (in your mailbox) he’ll be automatically connected. Again, cookie is useless….

        3. So, if someone has an access to your mailbox, he will be able to have an access to your Meetic account. It could be bad for the girl(s) you are looking for…