Tout utilisateur de réseau sans fil doit connaître les risques liés à la connexion à un service Web via une connexion non cryptée. Elinor Mills explique les dangers liés à l'utilisation de réseaux Wi-Fi ouverts dans son blog InSecurity Complex.

L'approche la plus sûre consiste à entrer les ID utilisateur et les mots de passe uniquement lorsque l'adresse de la page commence par "//" et comporte une icône de verrou en haut ou en bas de la fenêtre du navigateur. Sinon, une surveillance du réseau pourrait surveiller vos actions à votre insu. Notez que l'icône de verrou peut avoir un point d'exclamation même si l'adresse de la page commence par "https:". Cela indique qu'une partie du contenu de la page en cours n'a pas pu être authentifiée.

Facebook, Twitter, WordPress et d'autres services Web populaires ne chiffrent toujours pas leurs pages de connexion. La récente publication du module complémentaire Firesheep pour Firefox facilite la capture des données de connexion des utilisateurs. L'auteur de Firesheep, Eric Butler, affirme avoir été motivé à libérer le malware par l'échec des services Web à protéger les données de connexion des utilisateurs. Evelyn Rusli s'intéresse plus en détail à TechCrunch.

Deux add-ons gratuits pour Firefox détectent et empêchent Firesheep d’observer vos données de connexion: Blacksheep de Zscaler et HTTPS Everywhere de Electronic Frontier Foundation.

Blacksheep tourne Firesheep contre lui-même

En août dernier, j’ai décrit le module complémentaire Firefox de Ssc (Search Engine Security) de Zscaler, conçu pour protéger contre les résultats de recherche contenant des programmes malveillants. La société a réagi à la menace de sécurité posée par Firesheep en créant un module complémentaire Firefox qui utilise une grande partie du code de Firesheep pour alerter les utilisateurs de la présence du logiciel malveillant lors de la connexion à un réseau non chiffré.

Je n'ai pas testé Blacksheep, mais l'add-on a été critiqué pour sa défense contre seulement Firesheep et non contre d'autres tentatives de détournement de fonds. HTTPS Everywhere, développé par EFF conjointement avec le projet Tor, tente de chiffrer toutes les communications avec le site, bien que certains contenus livrés par le site restent probablement non chiffrés.

Sécurisez les connexions réseau non chiffrées avec VPN

Le meilleur moyen d'éviter que vos données privées soient siphonnées à partir d'un réseau sans fil non chiffré est de ne pas utiliser de tels réseaux. Votre deuxième choix est d'utiliser une connexion de réseau privé virtuel (VPN), que vous pouvez établir à l'aide d'un produit tel que LogMeIn Hamachi. Le programme est gratuit pour une utilisation non commerciale et 33 $ par mois ou 199 $ par an pour une licence d'entreprise.

Les VPN ralentiront probablement votre connexion, mais une attente un peu plus longue pour le chargement des pages est un petit prix à payer pour la sécurité supplémentaire fournie par les VPN. Pour plus d'informations sur la création et l'utilisation d'un VPN, consultez les instructions de Jolie O'Dell sur Mashable. Parmi les autres produits de chiffrement populaires, on trouve TrueCrypt gratuit et à code source ouvert et UltraVPN, un logiciel gratuit mais non à code source ouvert.