Firerox : Stockage des mots de passe et vols

Suite à ces deux billets Backdoor:Win32/Fynloski.A sur Orange via no-ip.org et  Stealer par crack (suite) – une question revient assez souvent, comment se fait-il qu’il est possible de récupérer, aussi facilement, les mots de passe stockés dans les navigateurs ?

En règle général, par exemple sur les sites WEB, les mots de passe stockés sont chiffrés, question de sécurité, si la base de données est récupérée par un tiers lors d’un hack.
Le mot de passe est stocké sous forme de hash (MD5, SHA1 etc).  Pour rappel, il est normalement impossible à partir d’un hash de revenir au mot de passe initial (après il existe des dictionnaires etc etc, mais une astuce consiste à ajouter une autre chaîne à ce hash).
Lors du logging sur le site, le mot de passe que vous saisissez est transformé en hash et les deux hashs sont comparés, s’ils sont identiques, c’est que vous avez saisi le bon mot de passe.
Dans tous les cas, le site est incapable de connaître votre mot de passe à partir de la base de données.

Dans le cas des navigateurs WEB et par exemple Firefox, étant donné que vous avez la possibilité d’enregistrer les informations de connexion sur les navigateurs WEB afin de vous logguer automatiquement, il faut que le navigateur WEB soit capable de récupérer les mots de passe à partir de sa base données pour l’envoyer au site Web auquel vous souhaitez vous identifier.
Contrairement, au cas évoqué dans le paragraphe précédent, il est donc possible à partir du hash de revenir au mot de passe en clair.

La capture ci-dessous montre l’accès au mot de passe à partir du navigateur WEB Firefox.

Le lien suivant de la base de données de Mozilla explique le fonctionnement du Password Manager : http://kb.mozillazine.org/Password_Manager

  • La base de données des mots de passe est stocké dans le fichier : signons.sqlite
  • Le fichier key3.db stocke la clef de chiffrement qui permet de déchiffrer la base
Ci-dessous la base de données des mots de passe, avec les mots de passe de Facebook et Hotmail – comme vous pouvez le constater le mot de passe est offusqué (la longue suite de chiffres et lettres en majuscules/minuscules).

Comme évoqué dans les billets des stealers, des outils existent pour accéder au mot de passe (comme le fait le navigateur WEB au final) – Certains malwares et virus embarquent ces outils qui sont en général détectés en RiskTools, d’autres virus embarquent directement le code en lui même pour accéder à ces mots de passe.

Ci-dessous le programme FirePassword qui permet d’exporter les mots de passe de la base de données :

Firefox permet l’ajout d’un mot de passe dit « mot de passe principal », ceci se fait à partir du menu Outils / Options et enfin onglet Sécurité.
Ce mot de passe se met « par dessus » afin d’accéder à la base de données des mots de passe.
La différence est que seul vous connaissez ce mot de passe, le navigateur ne le connaît pas et il n’est pas stocké.

Dès lors lorsque vous accéder à vos sites, le mot de passe principal est demandé :Du coup FirePassword n’arrive plus à récupérer les mots de passe et réclame le mot de passe principal : Notez qu’il est possible de créer des sessions afin de ne pas avoir à redemander le mot de passe à partir du menu Outils / Options et onglet Avancé.
Cliquez sur le sous-onglet Chiffrement puis cliquez en bas à droite sur Périphériques de sécurité
Connexion permet d’ouvrir la session, le mot de passe principal sera demandé.

La session peux être stoppée en retournant dans ce menu et Déconnecter ou à partir du menu Outils et Supprimer l’historique récent et dans les détails cocher Connexions actives.

Notez que les cookies sont stockés en clair, potentiellement, on peux avoir des vols de session :

On retrouve les cookies dans un fichier sqlite :

Ici on peux voir, comme cela avait été montré sur les virus de type stealer, qu’il est relativement facile de récupérer les mots de passe.
Le problème vient du fait que le navigateur WEB a besoin de récupérer les mots de passe en clair, donc informatiquement parlant, il y a moyen de les récupérer aussi.
Ceci n’est pas propre à Firefox mais à tous les navigateurs WEB.

Je tiens à souligner qu’il ne faut pas non plus tomber dans la paranoia, si le mot de passe principal protège du vol, il  enlève tout confort de surf.
Encore une fois, il ne faut pas télécharger n’importe quoi et éventuellement soumettre le fichier sur VirusTotal, en cas de doute, ne pas le lancer et vous n’aurez pas de mauvaises surprises.

Pour aller plus loin :

A lire : Les mots de passe sur les navigateurs WEB

D’autres tutoriels liés aux navigateurs WEB et notamment pour sécuriser vos navigateurs WEB, rendez-vous sur la page suivante : Tutoriel navigateur WEB

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 305 times, 1 visits today)

4 thoughts on “Firerox : Stockage des mots de passe et vols

  1. Il faut moins de 2 jours pour coder un stealer(une vingtaine de ligne de code ) pour chrome . il faut dire qu’ils mettent pas beaucoup d’effort , pour firefox avec un « master password » c’est plus difficile vu que firefox utilise ces propres moyen de cryptage contrairement a chrome qui utilise une api Windows , pour les cookies il faut même pas un stealer un sniff du réseau suffit parfois regardez ça http://vimeo.com/1507697 .
    Pour une meilleure protection des mots de passe une extension tierce tel que Passter ou autre et peut être la solution on espérant qu’il garde honnêtement nos passes :p .

  2. yep c’est facile.
    Maintenant, dans le cas, des stealers, perso, pour moi, le problème est en amont d’où la conclusion du billet.
    Si le gars ouvre n’import quoi et en particulier des cracks sans que savoir faire la différence entre un « vrai » et un « faux » malware, le problème est ailleurs.
    C’est plus génant dans le cas d’un accès physique à la machine, eventuellement dans une entreprise.

    Par contre, sauf erreur de ma part, ta vidéo est erronée, car ancienne : 3 years ago: Mon, Aug 11, 2008
    Le HTTPs est maintenant forcé (aussi sur hotmail), depuis un bon moment, tu peux plus récupérer les cookies en sniffant, à priori.

  3. Yeah, FireROX :p you’re right 🙂

    Bonne idée d’expliquer ça..

    Sinon, pour conserver le confort, il reste les versions portables.
    J’ai jamais vu de stealer scanner le disque dur à la recherche d’un dossier profil de firefox..
    Mais peut-être que cela va arriver ? 🙂

  4. Donc pour moi qui utilise une distribution Linux mais sans être très calé, vous confirmez qu’on peut utiliser Firefox sans avoir vraiment besoin de se servir d’un mot de passe principal ?
    Parce que c’est ce que je fais jusqu’à présent, mais c’est vrai que c’est un peu pénible à force…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *