mercredi 12 août 2020
Promotion Meilleur VPN 2020
Accueil Exclusivités Exclusif : Firefox et la protection des mots de passe

Exclusif : Firefox et la protection des mots de passe

Mozilla Firefox, comme la majorité des navigateurs Web du moment, propose d’enregistrer les mots de passe durant la navigation. Mais sont-ils vraiment en sécurité ?

Dans les versions 1.x, 2.x et même les premières releases de la version 3 du navigateur, les mots de passe étaient stockés dans un fichier (signons.txt, signons2.txt ou encore signons3.txt). Cela varie selon les versions du navigateur.

Actuellement (et depuis la version 3.5), les mots de passe sont maintenant stockés dans le fichier signons.sqlite. C’est à dire dans une base de données SQLite, accessible via le langage SQL.

Ces fichiers se trouvent dans le répertoire “Profiles” puis sous “xxx.default” (ou xxx est une chaine de six caractères générés aléatoirement). Notons toutefois que cette chaine est sauvegardée dans le fichier “profiles.ini“… Et par conséquent facile à retrouver.

Bien entendu, les données enregistrées dans ces fameux fichiers (appelées aussi credentials) ne sont pas limitées aux mots de passe.

Dans la table moz_logins, on trouve entre autre :

  • L’URL de login
  • Le nom du champ login
  • Le nom du champ password
  • Le nom d’utilisateur (chiffré)
  • Le mot de passe (chiffré)

Dans le répertoire de Firefox, on trouve toutes les librairies dont on a besoin pour déchiffrer les champs ! En voici la liste :

  • mozcrt19.dll
  • sqlite3.dll
  • nspr4.dll
  • plc4.dll
  • plds4.dll
  • nssutil3.dll
  • softokn3.dll
  • nss3.dll

Reste plus qu’à charger ces librairies et à utiliser les fonctions (notamment de chiffrement / déchiffrement) qu’elles contiennent…

A ce jour, toutes les versions de Mozilla Firefox sont vulnérables au vol de ces données confidentielles !

Notons toutefois que l’utilisation du “master password” améliore grandement la sécurité des données sauvegardées. Il est la seule barrière (bien que celle-ci soit contournable, le nombre de malwares capables de la contourner est plus faible). Attention cependant, ce master password est facilement crackable…

Un pirate peut donc, via un programme (appelé couramment password stealer), récupérer vos données privées enregistrées et les déchiffrer pour ensuite les envoyer directement sur le net. Personne n’est à l’abri de ce genre d’attaque, surtout lorsque l’on sait qu’un tel programme peut passer inaperçu aux yeux de la majeure partie des antivirus.

La parade la plus radicale face à ces menaces serait donc de ne pas enregistrer les mots de passe lors de la navigation. Dès lors ou il y en a de stockés, le risque de vol est potentiel.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Ransomware Maze : Après LG et Xerox, au tour de Canon d’être piégé

Le groupe de cybercriminels exploitant le ransomware Maze poursuit ses actions et agrandit son tableau de chasse en ajoutant Canon avec à la clé un vol de 10 To de données à l'entreprise après infection de ses systèmes informatiques.

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.