Les vols de mot de passe sur les navigateurs WEB

Suite à ces deux billets Backdoor:Win32/Fynloski.A sur Orange via no-ip.org et  Stealer par crack (suite) – une question revient assez souvent, comment se fait-il qu’il est possible de récupérer, aussi facilement, les mots de passe stockés dans les navigateurs ?

Tous les navigateurs WEB : Firefox, Google Chrome, Internet Explorer ou Edge sont concernés par ces vols.
Cet article vous donne quelques informations sur les vols de mot de passe stockés dans le navigateur WEB.
Le but est de comprendre comment est-ce possible et comment s’en protéger.

Vidéo

La vidéo suivante montre le vol de mot de passe sur les navigateurs WEB : Mozilla Firefox, Internet Explorer et Google Chrome.

Théorie

Sur internet, les mots de passe stockés dans les bases de données des services internet et liés à vos comptes internet sont chiffrés, c’est à dire qu’ils sont stockés dans la base de données non pas en clair mais sous forme de « code ». Le mot de passe n’est ainsi jamais connu. Lors d’un piratage d’un service internet, il est donc plus compliqué pour les attaquants de retrouver les mots de passe des utilisateurs.

Le mot de passe est stocké sous forme de hash (MD5, SHA1 etc).  Pour rappel, il est normalement impossible à partir d’un hash de revenir au mot de passe initial (après il existe des dictionnaires etc etc, mais une astuce consiste à ajouter une autre chaîne à ce hash).
Lors de l’identification sur le site internet, le mot de passe que vous saisissez est transformé en hash et les deux hashs sont comparés, s’ils sont identiques, c’est que vous avez saisi le bon mot de passe.
Dans tous les cas, le site est incapable de connaître votre mot de passe à partir de la base de données.

Dans le cas des navigateurs WEB, étant donné que vous avez la possibilité d’enregistrer les informations de connexion sur les navigateurs WEB afin de vous identifier automatiquement les fois suivante. Cela nécessite que le navigateur WEB soit capable de récupérer les mots de passe à partir de sa base données interne pour l’envoyer au site Web auquel vous souhaitez vous identifier.
Contrairement, au cas évoqué dans le paragraphe précédent, il est donc possible à partir du hash de revenir au mot de passe en clair, car le navigateur WEB stocke la clé de déchiffrement et propose un mécanisme pour pouvoir revenir au mot de passe.

La capture ci-dessous montre l’accès au mot de passe à partir du navigateur WEB Firefox.

Le lien suivant de la base de données de Mozilla explique le fonctionnement du Password Manager : http://kb.mozillazine.org/Password_Manager

  • La base de données des mots de passe est stocké dans le fichier : signons.sqlite
  • Le fichier key3.db stocke la clef de chiffrement qui permet de déchiffrer la base
Ci-dessous la base de données des mots de passe, avec les mots de passe de Facebook et Hotmail – comme vous pouvez le constater le mot de passe est offusqué (la longue suite de chiffres et lettres en majuscules/minuscules).
C’est une ancienne version de Firefox où les mots de passe sont stockés dans signons.sqlite

Dans les nouvelles versions de Firefox, tout cela est stocké dans logins.json

Que faut-il comprendre ?

Si votre navigateur WEB peut déchiffrer ses mots de passe, c’est qu’il existe un mécanisme pour cela.
Afin de rendre l’utilisation plus simple, le navigateur WEB peut même à travers des extensions saisir automatiquement votre nom d’utilisateur et mot de passe.
Cela signifie tout simplement qu’il doit être capable de déchiffrer le mot de passe.

Si le navigateur WEB y parvient, alors n’importe quel autre programme peut en faire de même.
D’où ces programmes qui peuvent facilement voler les mots de passe stocker dans les navigateurs WEB.

En réalité, cela ne concerne pas que les navigateurs WEB, en effet, les clients FTP fonctionnent de la même manière (il y a d’ailleurs la même problématique avec des malwares spécialisés dans ces vols PSW.Win32.Tepfer – vol FTP et injection/hack de sites).
Ainsi que Skype ou tout autre application qui vous indique directement votre mot de passe.

Il existe de multiples outils comme par exemple PasswordFox ou ChromePass de Nirsoft.
Cela va même plus loin, puisqu’il existe des outils pour récupérer les mots de d’autres applications, vous avez une liste sur cette page : http://www.nirsoft.net/password_recovery_tools.html

S’il existe des outils, des logiciels malveillants peuvent aussi avoir ces capacités.
Ainsi des Trojans Stealer et notamment les Trojans RAT embarquent par défaut, le vol de mots de passe de navigateur WEB et autres pour les transmettent à des serveurs distants ou par mail.

Ci-dessous le programme FirePassword qui permet d’exporter les mots de passe de la base de données :

Notez que les cookies sont aussi stockés en clair, potentiellement, on peut avoir des vols de session :

On retrouve les cookies dans un fichier sqlite :

Parades

On constate donc qu’il est relativement simple de récupérer les mots de passe stockés.
Le problème vient du fait que le navigateur WEB a besoin de récupérer les mots de passe en clair, donc informatiquement parlant, il y a moyen de les récupérer aussi.
Ceci n’est pas propre à Firefox mais à tous les navigateurs WEB.

Les parades sont simples, ne plus stocker les mots de passe dans le navigateur WEB ou les protéger.
Par exemple Firefox propose un mot de passe principale. Ce dernier chiffre les mots de passe stockés qui ne pourront plus être récupérés automatiquement sans ce mot de passe.
Google Chrome lui propose de stocker vos mots de passe sur un profil distant.
Il existe enfin des coffres forts.

Ces parades sont moins flexibles, puisque vous allez devoir à chaque fois, déchiffrer manuellement le mot de passe afin qu’il ne soit pas accessible automatiquement.

Du côté de Windows, pensez à avoir un utilisateur Windows séparé pour chaque utilisateur, chacun ayant son propre mot de passe.

Mot de passe principale sur Firefox

Firefox permet l’ajout d’un mot de passe dit « mot de passe principal », ceci se fait à partir du menu Outils / Options et enfin onglet Sécurité.
Ce mot de passe se met « par dessus » afin d’accéder à la base de données des mots de passe.
La différence est que seul vous connaissez ce mot de passe, le navigateur ne le connaît pas et il n’est pas stocké.

Dès lors lorsque vous accéder à vos sites, le mot de passe principal est demandé :Du coup FirePassword n’arrive plus à récupérer les mots de passe et réclame le mot de passe principal : 

Coffre fort

Se reporter au dossier sur les mots de passe des navigateurs WEB : Mots de passe sur les navigateurs WEB

Liens

Pour aller plus loin, d’autres tutoriels liés aux navigateurs WEB et notamment pour sécuriser vos navigateurs WEB, rendez-vous sur la page suivante : Tutoriel navigateur WEB

Print Friendly, PDF & Email
(Visité 883 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet