{Google Chrome} – Comment récupérer les mots de passe enregistrés dans Chrome sans s’authentifier
Hello la compagnie,
J'espère que votre Weekend, ou que votre semaine se passe bien !
J'ai vu passer des news assez sympas touchant la firme de cupertino (Apple) !
Notamment, celle qui parle d'un jeune de 18 berges qui s'est illustré au travers d'une faille assez hot, car celle-ci permet de récupérer les mots de passe du trousseau (Gestionnaire de mot de passe Apple) sans s'authentifier !
Alors bon, les détails ne sont pas spécialement connus, mais j'ai ma petite idée sur la manière dont elle est exploitée.
Devinez quoi ?!? C'est le sujet de mon article aujourd'hui !!!!
J'aborderais le sujet en utilisant le navigateur Google Chrome pour faire une démonstration.
Accès aux mots de passe et mesures de sécurité
Tout d'abord, j'aimerais que l'on parle des mesures de sécurité, car ce serait un mensonge de dire qu'il n'y en a pas !
Lorsque vous vous rendez dans les paramètres de votre navigateur
Vous avez la possibilité d'effectuer une recherche dans le ruban bleu qui s'affiche en haut de la page des paramètres.
Il vous suffira donc de saisir "Mot de Passe" (password)
En cliquant sur le menu "Mot de Passe" ...
Vous allez voir apparaître la liste des mots de passe que vous avez "enregistrés" dans votre navigateur.
Vous verrez les sites, les identifiants ... mais les mots de passe seront cachés ....
Lorsque vous tenterez d'y accéder .... Chrome vous invitera à vous authentifier avec le compte local de l'utilisateur (sa session)
La faille dans tout ça
Comme je vous l'ai dit plus haut, j'ai une petite idée de la manière dont le hacker a exploité le trousseau d'Apple.
Pour moi, il s'appuie sur le "pré-remplissage" des formulaires.
Lorsque vous souhaitez "afficher" un mot de passe depuis les paramètres chromes ... vous êtes jeté comme un malpropre !
Mais si vous vous rendez sur l'un des sites en question, et que vous allez sur une page de connexion ...
Google Chrome va vous remplir tout seul, comme un grand le formulaire avec le nom d'utilisateur ... et le mot de passe !
Il suffit de récupérer la valeur du champs mot de passe ...
Le bout de code ci-dessous transformera les champs mots de passe d'une page en simple champs texte, révélant ainsi le mot de passe (à saisir dans la console développeur / Touche F12 de votre clavier):
Array.prototype.slice.call( document.getElementsByTagName('input'),0).map(e=>e.setAttribute('type','text'));
Bien entendu, il est parfaitement possible de créer un programme / script qui automatise tout ça et récupère l'ensemble des mots de passe en arrière plan ;)
Démonstration vidéo
2019 est l'année où je vous inonde de vidéo de démonstration !!!
Profitez-en pour vous abonner ou pour mettre un petit j'aime d'encouragement ;)
Conclusion
Ne stockez pas vos mots de passe dans votre navigateur ...
Ni même dans un gestionnaire (même si c'est le meilleur compromis)
Servez-vous de votre mémoire (sauf si vous êtes dans une entreprise dans laquelle vous avez 1000 mots de passe à mémoriser ...)
Petite technique que j'utilise très souvent, je ne mémorise jamais les mots de passe, je m'inscris sur un site avec un mot de passe long et très compliqué qui n'a aucun sens logique ... je l'oublie par la suite, et lorsque j'ai besoin d'y retourner j'utilise la fonction mot de passe oublié ... résultat, je n'ai qu'un mot de passe à connaitre et ... à ne pas réutiliser nulle-part.
« Ne stockez pas vos mots de passe dans votre navigateur … » OK
« Ni même dans un gestionnaire » YOU FOOLS
« Servez-vous de votre mémoire » YOU FOOOOOOOOOOLS
Mauvaise idée, le gestionnaire reste la meilleure option et de loin pour avoir un mot passe différent pour chaque service (ce qui est vraiment très recommandé).
L’ANSSI conseille par exemple KeePass, un gestionnaire local (non synchronisé) , tout ce qu’il y a de plus sécurisé et de plus recommandable.
Je dirais (sans vouloir offenser personne) que compter sur sa mémoire pour ses mots de passe est sans doute la pire des choses à faire, ça entraîne toujours pleins de mauvaises pratiques
Hello mon petit BarbossHack ;)
Ravi de savoir que tu es toujours parmi nous ^^
Comme je l’ai dit dans mon article, j’ai « nuancé » en spécifiant qu’un gestionnaire de mot de passe restait le meilleur compromis.
Je donne également une technique simple pour gérer des mots de passe complexes sans se préoccuper de les retenir ou non et sans logiciel (utilisation de la fonction « mot de passe oublié »).
Dans le cadre d’une entreprise, un gestionnaire de mot de passe avec une « gestion entreprise » permettant de savoir qui a accès à quoi, et une gestion des autorisations est indispensable.
Cependant, mettre tous ses mots de passes dans un seul coffre … c’est comme planquer ses lingots sous le plumard, le jour où quelqu’un réussi à s’introduire chez toi, il récupère tout.
J’ai publié il y a quelques temps sur le blog une faille qui concerne LastPass, celle-ci est malheureusement toujours présente.
Ayant par le passé conçu un gestionnaire de mot de passe « particulier » et « entreprise » (dont je dois contractuellement taire le nom), je peux te dire que j’ai bien étudié la concurrence et qu’ils sont loin d’être tous des « safe places ».
Voilà voilà, je te souhaite une bonne fin de Weekend ;)
Et au plaisir de te lire dans les prochains com’ ^^
Pour se rappeler de tous ses mot-de-passes, soit t’es Rain Man, soit t’utilise le même mot-de-passe pour plusieurs accès.
HE’S FOUL, HE’S FOUL! :D
Héhé toujours présent, j’aime bien tes articles ;)
Ah oui je me souviens effectivement que tu bossais pour un gestionnaire de mot de passe (tu en avais parlé dans un vieil article)
Je suis d’accord, tout planquer au même endroit c’est pas la meilleure chose, mais que tout dépende d’une seule adresse mail c’est pas forcément top non plus, dans tous les cas tout est « centralisé », tu fais confiance à un externe (gmail :O micorsoft :O ou soit même mais bon) . Et utiliser l’oubli de mdp à chaque fois, pain in the ass non ? xD
Depuis quelques temps je suis un peu du genre à vouloir sensibiliser les gens sur ces pratiques la, et j’en ai tiré comme leçon que leur donner la solution « hyper sécur mais complexe » n’est pas forcément la bonne chose, parce que par flemme ils vont l’abandonner et reprendre leurs mauvaises habitudes. C’est pour ça que je prône des méthodes plus accessibles même si toujours discutables (ya pas de sécu 100%), et généralement les gens s’y habituent et augmentent leurs pratiques de sécurité avec le temps.
Bon après oui, le public visé par ton blog c’est pas les madame Michu secrétaires de la boite, donc pas sur que le discours doit être le même effectivement :3
Bonne fin de WE à toi aussi, et au plaisir de lire tes articles :D
Salut
Super article, oui effectivement je ne fait aucune confiance au gestionnaire de mdp et encore moins celui de GoOgLe.
Le mieux reste quand même le cerveau mais c’est de plus en plus dure.
Je suis bien partisan de la méthode Dyrk du un seul mdp mais c’est quand même bien casse pied :)
ça fait pas un peu beaucoup pour un seul homme (berge et non vergé)
Gloups …
C’est corrigé ;)
(merci pour l’info)
Personnellement j’ai toujours utiliser le gestionnaire de Firefox, et j’utilise un Master Password, et je suis clairement contre les gestionnaires, ça te fait un soft en plus, et surtout je suis contre comme ceux qui Syncro dans le Cloud, ah lalala, laisser mes mots de passes traîner partout, c’est mort.
Surtout que des fois t’as des trucs comme ça qui apparaisse, et là tu flippes : https://www.seancassidy.me/lostpass.html
Si Firefox n’est pas utilisé pendant 10 minutes, il se ferme automatiquement, sauf si j’ai un DL en cours, donc même si tu veux faire ta technique, il faut rentrer le Master Password dans tous les cas.
J’ai plus de 400 sites enregistrés, avec un mot de passe différent et relativement compliqué, donc si je devais faire un renvoie de mot de passe à chaque fois … ça en deviendrai lassant. Surtout que maintenant tu dois te connecter sur ton téléphone, la tablette, le pc, la télé, la box, etc. c’est ingérable. Donc si j’oublie un mot de passe, il sera dans mon gestionnaire.
Je ne comprend pas pourquoi les gens sont réticents à utiliser le gestionnaire d’un navigateur, car si tu rentres un Master Password, la base de données est chiffrer. Le seul truc, c’est de ne pas oublier celui-ci, sinon ça sent le sapin mais pour le coup, j’utilise un mot passe rapide à taper, car je le fais une 20aines de fois par jours, mais assez robuste (un genre de : les poules !!!) :P
Combien de temps pour le casser ?
Search Space Depth (Alphabet):
26+33 = 59
Search Space Length (Characters):
14 characters
Exact Search Space Size (Count):
(count of all possible passwords
with this alphabet size and up
to this password’s length)
6,300,168,
733,803,741,204,487,980
Search Space Size (as a power of 10):
6.30 x 1024
Online Attack Scenario:
(Assuming one thousand guesses per second)
2.00 trillion centuries
Offline Fast Attack Scenario:
(Assuming one hundred billion guesses per second)
20.03 thousand centuries
Massive Cracking Array Scenario:
(Assuming one hundred trillion guesses per second)
20.03 centuries
Enfin voilà, chacun son trip.