Les vols de mot de passe sur les navigateurs WEB

Suite à ces deux billets Backdoor:Win32/Fynloski.A sur Orange via no-ip.org et  Stealer par crack (suite) – une question revient assez souvent, comment se fait-il qu’il est possible de récupérer, aussi facilement, les mots de passe stockés dans les navigateurs ?

Cela concerne tous les navigateurs WEB : Firefox, Google Chrome, Internet Explorer ou Edge.
Cet article vous donne quelques informations sur les vols de mot de passe stockés dans le navigateur WEB.
Le but est de comprendre comment est-ce possible et comment s’en protéger.

Introduction

Pour récupérer et voler les mots de passe des comptes en ligne des internautes, deux méthodes peuvent être utilisés.

  • La première méthode consiste à voler directement les mots de passe sur les ordinateurs des internautes à l’aide de logiciels malveillants.
  • La seconde méthode est de pirater les sites WEB et notamment les bases de données contenant les informations de connexion. Si le mot de passe stockés n’est pas chiffré ou mal protégé, le pirate peut retrouver les mots de passe. Plus d’informations sur la page : Piratage/Hack massif de comptes en ligne

Dans cet article nous allons nous intéresser à la sécurité des mots de passe dans les navigateurs WEB.
Vous verrez que les mots de passe enregistrés ne sont pas du tout protégés contre le vol et la récupération.

Les mots de passe dans les navigateurs WEB

Dans le cas des navigateurs WEB, étant donné que vous avez la possibilité d’enregistrer les informations de connexion sur les navigateurs WEB afin de vous identifier automatiquement les fois suivante. Cela nécessite que le navigateur WEB soit capable de récupérer les mots de passe à partir de sa base données interne pour l’envoyer au site Web auquel vous souhaitez vous identifier.
Contrairement, au cas évoqué dans le paragraphe précédent, il est donc possible à partir du hash de revenir au mot de passe en clair, car le navigateur WEB stocke la clé de déchiffrement et propose un mécanisme pour pouvoir revenir au mot de passe.

Ici nous allons détailler comment Mozilla Firefox stocke les mots de passe enregistrés.

Le mot de passe est stocké sous forme de hash (MD5, SHA1 etc).  Pour rappel, il est normalement impossible à partir d’un hash de revenir au mot de passe initial (après il existe des dictionnaires etc etc, mais une astuce consiste à ajouter une autre chaîne à ce hash).

Lors de l’identification sur le site internet, le mot de passe que vous saisissez est transformé en hash et les deux hashs sont comparés, s’ils sont identiques, c’est que vous avez saisi le bon mot de passe.
Dans tous les cas, le site est incapable de connaître votre mot de passe à partir de la base de données.

Mozilla Firefox et les mots de passe

La capture d’écran ci-dessous montre l’accès au mot de passe à partir du navigateur WEB Firefox.

Navigateur internet Firefox et vol de mot de passe

Le lien suivant de la base de données de Mozilla explique le fonctionnement du Password Manager : http://kb.mozillazine.org/Password_Manager

  • La base de données des mots de passe se trouve dans le fichier : signons.sqlite
  • Le fichier key3.db stocke la clef de chiffrement qui permet de déchiffrer la base

Ci-dessous la base de données des mots de passe, avec les mots de passe de Facebook et Hotmail.
Comme vous pouvez le constater le mot de passe est offusqué (la longue suite de chiffres et lettres en majuscules/minuscules).
C’est une ancienne version de Firefox où les mots de passe sont stockés dans signons.sqlite

Mot de passe dans signons.sqlite
Mot de passe dans signons.sqlite

Dans les nouvelles versions de Firefox, tout cela est stocké dans logins.json

Navigateur internet Firefox et vol de mot de passe
Les mots de passe dans le fichier logins.json

Exemple de récupération de mot de passe sur Firefox

Si votre navigateur WEB peut déchiffrer ses mots de passe, c’est qu’il existe un mécanisme pour cela.
Afin de rendre l’utilisation plus simple, le navigateur WEB peut même à travers des extensions saisir automatiquement votre nom d’utilisateur et mot de passe.
Cela signifie tout simplement qu’il doit être capable de déchiffrer le mot de passe.

Si le navigateur WEB y parvient, alors n’importe quel autre programme peut en faire de même.
D’où ces programmes qui peuvent facilement voler les mots de passe stocker dans les navigateurs WEB.

Les malwares

En réalité, cela ne concerne pas que les navigateurs WEB, en effet, les clients FTP fonctionnent de la même manière (il y a d’ailleurs la même problématique avec des malwares spécialisés dans ces vols PSW.Win32.Tepfer – vol FTP et injection/hack de sites).
Ainsi que Skype ou tout autre application qui vous indique directement votre mot de passe.

Navigateur internet Firefox et vol de mot de passe

Les outils d’extraction de mot de passe

Il existe de multiples outils comme par exemple PasswordFox ou ChromePass de Nirsoft.
Cela va même plus loin, puisqu’il existe des outils pour récupérer les mots de d’autres applications, vous avez une liste sur cette page : http://www.nirsoft.net/password_recovery_tools.html

S’il existe des outils, des logiciels malveillants peuvent aussi avoir ces capacités.
Ainsi des Trojans Stealer et notamment les Trojans RAT embarquent par défaut, le vol de mots de passe de navigateur WEB et autres pour les transmettent à des serveurs distants ou par mail.

Ci-dessous le programme FirePassword qui permet d’exporter les mots de passe de la base de données :

Navigateur internet Firefox et vol de mot de passe

En vidéo

La vidéo suivante montre le vol de mot de passe sur les navigateurs WEB : Mozilla Firefox, Internet Explorer et Google Chrome.

Les vols de session

Notez que les cookies suivent le même type de stockage et posent donc la même problématique que les mots de passe.
Ainsi potentiellement, on peut aussi effectuerdes vols de session :

Lister les cookies dans Mozilla Firefox
Lister les cookies dans Mozilla Firefox

On retrouve les cookies dans un fichier sqlite :

Récupérer les cookies dans Mozilla Firefox
Récupérer les cookies dans Mozilla Firefox

Protection contre le vol de mot de passe

On constate donc qu’il est relativement simple de récupérer les mots de passe stockés.
Le problème vient du fait que le navigateur WEB a besoin de récupérer les mots de passe en clair, donc informatiquement parlant, il y a moyen de les récupérer aussi.
Ceci n’est pas propre à Firefox mais à tous les navigateurs WEB.

Les parades sont simples, ne plus stocker les mots de passe dans le navigateur WEB ou les protéger.
Par exemple Firefox propose un mot de passe principale. Ce dernier chiffre les mots de passe stockés qui ne pourront plus être récupérés automatiquement sans ce mot de passe.
Google Chrome lui propose de stocker vos mots de passe sur un profil distant.
Il existe enfin des coffres forts.

Ces parades sont moins flexibles, puisque vous allez devoir à chaque fois, déchiffrer manuellement le mot de passe afin qu’il ne soit pas accessible automatiquement.

Du côté de Windows, pensez à avoir un utilisateur Windows séparé pour chaque utilisateur, chacun ayant son propre mot de passe.

Mot de passe principale sur Firefox

Pour protéger les mots de passe stockés dans Mozilla Firefox, vous pouvez activer le mot de passe principal. Plus d’informations : Firefox et mot de passe principal : protéger ses mots de passe

Ce dernier chiffre les mots de passe stockés rendant la récupération par une application tierce impossible.

Firefox et mot de passe principal : protéger ses mots de passe
Firefox et mot de passe principal : protéger ses mots de passe

Google Chrome

Google Chrome ne propose pas de protection internet de vos mots de passe contre la récupération.
Si vous désirez protéger l’accès à vos mots de passe par une application malveillante, vous devez utiliser un gestionnaire de mot de passe.

Coffre fort et gestionnaire de mot de passe

Il s’agit de stocker les mots de passe dans un emplacement externe au navigateur WEB.

Pour les coffres forts, il s’agit d’une application installée sur votre ordinateur dont les mots de passe sont chiffrés et protéger par un mot de passe central.
Du côté des gestionnaires de mot de passe, il s’agit d’extension où les mots de passe sont stockés dans le Cloud et donc sur les serveurs de l’éditeur.

Se reporter au dossier sur les mots de passe des navigateurs WEB : Mots de passe sur les navigateurs WEB

Liens

Pour aller plus loin, d’autres tutoriels liés aux navigateurs WEB et notamment pour sécuriser vos navigateurs WEB, rendez-vous sur la page suivante : Tutoriel navigateur WEB

image_pdfimage_print
(Visité 1 297 fois, 1 visites ce jour)