Firefox 11 VS Password Stealer – Sécurité des données

3
106
Exclusivité UnderNews – Depuis les versions majeurs 2 et 3 du célèbre navigateur Web de Mozilla, UnderNews a voulu savoir ce qu’il en était de l’évolution de la sécurité des données stockées au sein des dernières versions de Firefox… Conclusions ?
 
Cet article est le premier d’une suite qui visera chacun des navigateurs les plus récents du marché :
  • – Firefox 11
  • – Chrome 18
  • – Opera 11
  • – Internet Explorer 8 & 9
Ces articles aboutirons normalement à un ou plusieurs PoC, qui seront surement présentés à une table lors de la Nuit Du Hack 2012 en juin.
 
La vitesse de sortie des versions majeures de Firefox a été fortement augmentée de la 3.0 jusqu’à la version 11, voire même 12. Pas mal d’évolutions ont vu le jour mais certains se sont aussi demandé si le besoin de mise à jour n’était pas exagérer… Quoi qu’il en soit, analysons ce qui nous intéresse, c’est-à-dire la gestion de nos données personnelles stockées par le navigateur et la sécurité de ces dernières.
 
Comme vous le savez, les navigateurs Web vous permettent de retenir vos identifiants sur les sites qui nécessites une connexion et stockent donc localement sur votre ordinateur ces données privées sous une forme chiffrée qui diffère selon les navigateurs.
 
Or, ces identifiants intéressent au plus au point les pirates informatiques et, comme nous allons le voir, il leur est possible d’intégrer à leurs arsenal de malwares des fonctions ciblant certains navigateurs afin d’y piocher vos données personnelles et de les voler.
 
Ces programmes sont couramment appelés des “Password Stealer” dans le milieu de l’underground. Le principe est simple : ces derniers détectent vos navigateurs installés et réalisent des traitements visant à identifier et à déchiffrer vos identifiants stockés lors de vos précédentes navigations sur le Net par votre navigateur. Ensuite, ces derniers sont envoyés vers le pirate via divers requêtes (HTTP, IRC, etc).
 
A ce stade, inutile de dire que la personne malintentionnée récupérant vos identifiants à la main mise sur toute votre vie numérique, et peut faire
beaucoup de dégâts…
 
Passons à la technique maintenant !
 
Le fichier central se trouve dans le répertoire utilisateur de Mozilla et se nomme signons.sqlite. Il s’agit d’une base de données local de type Sqlite. Dans cette nouvelle version de Firefox, ce fichier contient deux tables : moz_disabledHosts et moz_logins.
 
Pour les plus curieux, il est tout à fait possible de visualiser les données à l’aide du programme SQLite Database Browser disponible sur SourceForge.
 
Le schéma exact de la table moz_logins est actuellement le suivant :
  • id – l’index des entrées
  • hostname – URL du site
  • httpRealm
  • formSubmitURL – URL exact du site où les identifiants ont été enregistrés.
  • usernameField – élément username du formulaire
  • passwordField – élément password du formulaire
  • encryptedUsername – nom d’utilisateur chiffré
  • encryptedPassword – mot de passe chiffré
  • guid – GUID unique pour chaque entrée
  • encType – si à 1, spécifie que le champ est chiffré

Côté code, il est possible d’exécuter directement des requêtes SQL sur la base après avoir déclaré les bonnes structures. Une fois les champs username et password récupérés, il s’agit de charger les librairies de Mozilla Firefox (dont Network Security Service, NSS) afin de les déchiffrer. Les clés de déchiffrement sont stockées dans le fichier key3.db. Le processus de déchiffrement n’est possible uniquement si aucun mot de passe principal n’est configuré sur le navigateur en question.

 Une fois les données en clair, les possibilités sont multiples. Pour se protéger de ce type d’attaque, deux solutions s’offrent à vous :

  • Paramétrer un mot de passe principal (MasterPassword)
  • Ne pas utiliser la fonctionnalité qui retient les identifiants

Dans le cas contraire, vous serez totalement vulnérable à ce type d’attaque ! Un antivirus ne pourra pas détecter et bloquer un malware visant à dérober vos données si ce dernier a été bien développé et non distribué publiquement. Seul un Firewall bien configuré pourra empêcher le vol des données (la connexion sera bloquée).

UnderNews a réalisé un PoC permettant le déchiffrement en local des données puis l’envoi via HTTP de ces dernières sur un serveur externe avec un logger PHP, Firefox 11 ainsi que la suite de sécurité complète BitDefender Total Security 2012. Le PoC réalise parfaitement sa tâche et les données personnelles en clair se retrouvent bien sur le serveur, sans aucune alerte de sécurité sur la machine locale dédiée au test.

Ce premier article touche à sa fin, gardez bien en tête le résultat de ce test en environnement réel. Avec l’augmentation actuelle du nombre de malwares, beaucoup visent vos données personnelles car c’est le plus rentable pour leurs créateurs. Elles peuvent facilement être écoulées sur le marché noir, ou BlackMarket). Ne comptez donc pas uniquement sur des logiciels pour vous protéger, n’oubliez pas que la meilleur protection c’est de réfléchir par vous-même !

3 Commentaires

  1. Sympa ce billet, très clair et compréhensible pour un utilisateur lambda (autrement appelé -non geek-).

    Voilà qui permettra à beaucoup de monde de comprendre la nécessité de mettre en place un “Master Password” sur son navigateur !

    Retweet » CHECK 🙂

    • Salut ! Merci beaucoup, ça prend du temps ce genre d’article, surtout avec le PoC qui va derrière… Je le garde de coté pour la NDH :p
      Thx pour le RT et bon weekend 😉

Les commentaires sont fermés.