Exclusif : Firefox et la protection des mots de passe

1
89

Mozilla Firefox, comme la majorité des navigateurs Web du moment, propose d’enregistrer les mots de passe durant la navigation. Mais sont-ils vraiment en sécurité ?

Dans les versions 1.x, 2.x et même les premières releases de la version 3 du navigateur, les mots de passe étaient stockés dans un fichier (signons.txt, signons2.txt ou encore signons3.txt). Cela varie selon les versions du navigateur.

Actuellement (et depuis la version 3.5), les mots de passe sont maintenant stockés dans le fichier signons.sqlite. C’est à dire dans une base de données SQLite, accessible via le langage SQL.

Ces fichiers se trouvent dans le répertoire “Profiles” puis sous “xxx.default” (ou xxx est une chaine de six caractères générés aléatoirement). Notons toutefois que cette chaine est sauvegardée dans le fichier “profiles.ini“… Et par conséquent facile à retrouver.

Bien entendu, les données enregistrées dans ces fameux fichiers (appelées aussi credentials) ne sont pas limitées aux mots de passe.

Dans la table moz_logins, on trouve entre autre :

  • L’URL de login
  • Le nom du champ login
  • Le nom du champ password
  • Le nom d’utilisateur (chiffré)
  • Le mot de passe (chiffré)

Dans le répertoire de Firefox, on trouve toutes les librairies dont on a besoin pour déchiffrer les champs ! En voici la liste :

  • mozcrt19.dll
  • sqlite3.dll
  • nspr4.dll
  • plc4.dll
  • plds4.dll
  • nssutil3.dll
  • softokn3.dll
  • nss3.dll

Reste plus qu’à charger ces librairies et à utiliser les fonctions (notamment de chiffrement / déchiffrement) qu’elles contiennent…

A ce jour, toutes les versions de Mozilla Firefox sont vulnérables au vol de ces données confidentielles !

Notons toutefois que l’utilisation du “master password” améliore grandement la sécurité des données sauvegardées. Il est la seule barrière (bien que celle-ci soit contournable, le nombre de malwares capables de la contourner est plus faible). Attention cependant, ce master password est facilement crackable…

Un pirate peut donc, via un programme (appelé couramment password stealer), récupérer vos données privées enregistrées et les déchiffrer pour ensuite les envoyer directement sur le net. Personne n’est à l’abri de ce genre d’attaque, surtout lorsque l’on sait qu’un tel programme peut passer inaperçu aux yeux de la majeure partie des antivirus.

La parade la plus radicale face à ces menaces serait donc de ne pas enregistrer les mots de passe lors de la navigation. Dès lors ou il y en a de stockés, le risque de vol est potentiel.

Les commentaires sont fermés.