- – Firefox 11
- – Chrome 18
- – Opera 11
- – Internet Explorer 8 & 9
- id – l’index des entrées
- hostname – URL du site
- httpRealm
- formSubmitURL – URL exact du site où les identifiants ont été enregistrés.
- usernameField – élément username du formulaire
- passwordField – élément password du formulaire
- encryptedUsername – nom d’utilisateur chiffré
- encryptedPassword – mot de passe chiffré
- guid – GUID unique pour chaque entrée
- encType – si à 1, spécifie que le champ est chiffré
Côté code, il est possible d’exécuter directement des requêtes SQL sur la base après avoir déclaré les bonnes structures. Une fois les champs username et password récupérés, il s’agit de charger les librairies de Mozilla Firefox (dont Network Security Service, NSS) afin de les déchiffrer. Les clés de déchiffrement sont stockées dans le fichier key3.db. Le processus de déchiffrement n’est possible uniquement si aucun mot de passe principal n’est configuré sur le navigateur en question.
Une fois les données en clair, les possibilités sont multiples. Pour se protéger de ce type d’attaque, deux solutions s’offrent à vous :
- Paramétrer un mot de passe principal (MasterPassword)
- Ne pas utiliser la fonctionnalité qui retient les identifiants
Dans le cas contraire, vous serez totalement vulnérable à ce type d’attaque ! Un antivirus ne pourra pas détecter et bloquer un malware visant à dérober vos données si ce dernier a été bien développé et non distribué publiquement. Seul un Firewall bien configuré pourra empêcher le vol des données (la connexion sera bloquée).
UnderNews a réalisé un PoC permettant le déchiffrement en local des données puis l’envoi via HTTP de ces dernières sur un serveur externe avec un logger PHP, Firefox 11 ainsi que la suite de sécurité complète BitDefender Total Security 2012. Le PoC réalise parfaitement sa tâche et les données personnelles en clair se retrouvent bien sur le serveur, sans aucune alerte de sécurité sur la machine locale dédiée au test.
Ce premier article touche à sa fin, gardez bien en tête le résultat de ce test en environnement réel. Avec l’augmentation actuelle du nombre de malwares, beaucoup visent vos données personnelles car c’est le plus rentable pour leurs créateurs. Elles peuvent facilement être écoulées sur le marché noir, ou BlackMarket). Ne comptez donc pas uniquement sur des logiciels pour vous protéger, n’oubliez pas que la meilleur protection c’est de réfléchir par vous-même !
Lastpass ftw!
Sympa ce billet, très clair et compréhensible pour un utilisateur lambda (autrement appelé -non geek-).
Voilà qui permettra à beaucoup de monde de comprendre la nécessité de mettre en place un “Master Password” sur son navigateur !
Retweet » CHECK 🙂
Salut ! Merci beaucoup, ça prend du temps ce genre d’article, surtout avec le PoC qui va derrière… Je le garde de coté pour la NDH :p
Thx pour le RT et bon weekend 😉
Les commentaires sont fermés.