Par défaut, tous les navigateurs internet (Firefox, Google Chrome, Internet Explorer ou Edge) stockent vos mots de passe en clair.
Cela permet de proposer des gestionnaires de mots de passe capable de remplir les formulaires de connexion automatiquement.
Si cela facilite l’utilisation du WEB au quotidien, il existe un revers : il est possible de voler les mots de passe du navigateur internet.
Pour cela, des outils d’extraction existe et bien entendu des logiciels malveillants tels que des Trojans Stealer.
Cet article vous donne quelques informations sur les vols de mot de passe stockés dans le navigateur WEB.
Le but est de comprendre comment est-ce possible et en fin d’article comment s’en protéger.
Table des matières
Introduction
Pour récupérer et voler les mots de passe des comptes en ligne des internautes, deux méthodes peuvent être utilisées.
- La première méthode consiste à voler directement les mots de passe sur les ordinateurs des internautes à l’aide de logiciels malveillants
- La seconde méthode est de pirater les sites WEB et notamment les bases de données contenant les informations de connexion. Si le mot de passe n’est pas stockés de manière chiffré ou mal protégé, le pirate peut retrouver les mots de passe. Plus d’informations sur la page : Piratage/Hack massif de comptes en ligne
Dans cet article nous allons nous intéresser à la sécurité des mots de passe dans les navigateurs WEB.
Vous verrez que les mots de passe enregistrés ne sont pas du tout protégés contre le vol et la récupération.
Les Trojan PWD Stealer
Un Trojan Stealer est un malware conçu pour voler les données de la victime.
Lorsque le Trojan vise les mots de passe on peut parler de sous-catégorie Trojan PWD Stealer (PWD pour password).
Le vol se fait de manière automatiquement, à l’insu de l’utilisateur et les mots de passe récupérés sont envoyés au pirates. Cela peut se fait par envoie en HTTP, un dépôt sur un FTP ou encore par mail.
Ainsi, un Trojan Stealer peut s’exécuter sur le PC, voler les données, les transmettre, puis se fermer sans laisser aucune trace (Bien entendu il peut aussi rester actif).
Si l’antivirus de la victime n’émet aucune alerte, celle-ci ne le saura même pas.
Elle s’en apercevra trop tard, lorsque son compte Paypal aura été vidé ou quand elle ne pourra plus accéder à Facebook ou ses mails Gmail.
Par exemple ci-dessous, le Trojan vole les comptes Skype, WinSCP, Chrome et Firefox.
Attention, il ne faut surtout pas penser que ces trojan s’arrêtent aux vols des mots de passe des navigateurs internet.
Ils peuvent récupérer les mots de passe de différentes applications comme un client FTP, VNC, Teamviewer, les gestionnaires de mots de passe et même les clés et sérials de vos applications et jeux.
Voici un exemple avec Luca Stealer qui volent les mots de passe d’une trentaines d’applications.
En plus de viser la plupart des navigateurs internet, ils visent aussi les portefeuilles des crypto-monnaies et des applications de communication comme Skype, Telegram, Steam ou Discord.
Enfin, des fonctionnalités de capture d’écran et interception réseau sont disponibles.
Cela est un classique.
Enfin les sites de banques sont souvent plus sécurisés, toutefois, il existe aussi des malwares visant ces derniers.
Des techniques spécifiques de vols sont possibles.
J’en détails dans ce tutoriel complet :
Les extensions de type stealer
Les pirates créent des extensions malveillantes de type stealer.
Celle-ci sont capables de voler les cookies de session.
Ici donc ils ne volent pas les mots de passe car les extensions n’y ont pas accès.
Le vol de cookies qui amènent le détournement de session est une autre méthode pour accéder aux comptes internet à l’insu de l’utilisateur.
Plus de détails dans ce tutoriel : Qu’est-ce que le vol de cookies et le détournement de session ?
La famille FBStealer / NullMixer est la plus répandue qui se fait souvent passer pour une extension Google Translate.
Essentiellement, la distribution se fait à travers des cracks ou keygen.
Il existe de multiples outils capables d’extraire les mots de passe des navigateurs internet comme par exemple PasswordFox ou ChromePass de Nirsoft.
Ils sont rassemblés dans un outil unique : WebBrowserPassView.
Dès lors qu’une personne a un accès physique ou distant sur votre PC, il peut utiliser cet outil afin de récupérer vos mots de passe.
Puisqu’il s’agit d’outil de piratage, les antivirus peuvent les détecter en tant que Hacktool ou Riskware.
Leurs utilisation est extrêmement simple, vous exécutez l’outil et il récupère les mots de passe du navigateur internet.
Ci-dessous le programme FirePassword qui permet d’exporter les mots de passe de la base de données :
Ou encore WebBrowserPassView.
La vidéo suivante montre le vol de mot de passe sur les navigateurs WEB : Mozilla Firefox, Internet Explorer et Google Chrome.
Le Wi-Fi public : sniffer les connexions
Lorsque vous vous identifiez sur un site internet, vous envoyez vos identifiants de connexion (nom d’utilisateur et mot de passe) à ce dernier.
Si la connexion n’est pas chiffrée, c’est à dire, si le site n’est pas en HTTPS (site non sécurisé), cet envoie se fait en clair sur le réseau.
Un pirate peut intercepter les connexions, lire le contenu en clair pour y trouver vos identifiants de connexion.
Cela est notamment possible sur les réseaux publics, tels que les Wi-Fi ouverts disponibles dans les lieux publics.
Ce vol de données se fait à travers des attaques Man in the Middle (MiTM).
C’est pour cela qu’il suivre les recommandations suivantes :
- Ne jamais s’identifier sur un site non HTTPS
- Etre vigilant lors de l’accès à un réseau non sûr, en dehors de chez vous (Ecole, Hôtel, Aéroport). L’utilisation d’un VPN peut s’avérer utile
C’est aussi pour cela que les navigateurs internet affichent des alertes lorsque vous visitez un site non HTTPS.
Le développement des sites HTTPS ont rendu cette méthode moins dangereuse.
Phishing et Hameçonnage
Je ne vais trop m’étendre sur cette dernière méthode pour voler les mots de passe du navigateur internet.
Elle est assez connue des internautes.
Un tutoriel existe sur le site :
Coffre fort et mot de passe principal
Mozilla Firefox propose une fonctionnalité de mot de passe principal qui chiffre les mots de passe du navigateur internet.
Cela peut limiter le vol de mot de passe.
Pour l’utiliser, suivez ce tutoriel : Mot de passe principal Firefox : protéger ses mots de passe
Google Chrome (et ses dérivés) ainsi que Microsoft Edge n’ont pas cette fonctionnalité.
L’utilisation d’un coffre fort et gestionnaire de mot de passe peut aussi limiter la récupération de mot de passe par un tiers.
Bien souvent, ces derniers sont stockés de manière chiffrés soit par une clé de chiffrement sous la forme d’un mot de passe ou fichier.
Comprenez que ces solutions ne protègent pas à 100%.
Comme on l’a vu, il existe des malwares capables de voler les mots de passe des coffre forts mais ils sont mieux protégés que dans les navigateurs internet classique.
Cela ne protège, de toute façon, pas du vol de mot de passe des autres applications installées sur votre appareil.
Bonnes pratiques et sécuriser son PC
Voici les règles de sécurité informatiques basiques à suivre :
- Ne téléchargez que des exécutables que depuis des sites sûrs
- Attention aux pièces jointes et liens dans les emails : les virus par mails
- Soyez vigilant lorsque vous utilisez un Wi-Fi public. Evitez de vous connecter à votre site bancaire depuis une connexion internet publique
- Tenez vous informé des menaces actives et comment elles sont diffusées : Les Virus et Trojan : comment ils infectent les PC
- Mettez à jour Windows et vos applications régulièrement pour combler les failles de sécurité : Comment mettre à jour ses applications sur Windows
- Sécurisez votre PC (voir lien plus bas)
Essentiellement, il suffit de ne pas infecter son PC par un malware, ce qui n’est pas difficile si on suit les règles de sécurité recommandées.
Les utilisateurs qui téléchargent des cracks sont susceptibles d’infecter leurs PC.
Connaître les méthodes utilisées pour infecter les internautes est aussi important afin de les éviter.
Suivez les conseils de ce tutoriel :