{Google Chrome} – Comment récupérer les mots de passe enregistrés dans Chrome sans s’authentifier
Hello la compagnie,
J’espère que votre Weekend, ou que votre semaine se passe bien !
J’ai vu passer des news assez sympas touchant la firme de cupertino (Apple) !
Notamment, celle qui parle d’un jeune de 18 berges qui s’est illustré au travers d’une faille assez hot, car celle-ci permet de récupérer les mots de passe du trousseau (Gestionnaire de mot de passe Apple) sans s’authentifier !
Alors bon, les détails ne sont pas spécialement connus, mais j’ai ma petite idée sur la manière dont elle est exploitée.
Devinez quoi ?!? C’est le sujet de mon article aujourd’hui !!!!
J’aborderais le sujet en utilisant le navigateur Google Chrome pour faire une démonstration.
Accès aux mots de passe et mesures de sécurité
Tout d’abord, j’aimerais que l’on parle des mesures de sécurité, car ce serait un mensonge de dire qu’il n’y en a pas !
Lorsque vous vous rendez dans les paramètres de votre navigateur
Vous avez la possibilité d’effectuer une recherche dans le ruban bleu qui s’affiche en haut de la page des paramètres.
Il vous suffira donc de saisir « Mot de Passe » (password)
En cliquant sur le menu « Mot de Passe » …
Vous allez voir apparaître la liste des mots de passe que vous avez « enregistrés » dans votre navigateur.
Vous verrez les sites, les identifiants … mais les mots de passe seront cachés ….
Lorsque vous tenterez d’y accéder …. Chrome vous invitera à vous authentifier avec le compte local de l’utilisateur (sa session)
La faille dans tout ça
Comme je vous l’ai dit plus haut, j’ai une petite idée de la manière dont le hacker a exploité le trousseau d’Apple.
Pour moi, il s’appuie sur le « pré-remplissage » des formulaires.
Lorsque vous souhaitez « afficher » un mot de passe depuis les paramètres chromes … vous êtes jeté comme un malpropre !
Mais si vous vous rendez sur l’un des sites en question, et que vous allez sur une page de connexion …
Google Chrome va vous remplir tout seul, comme un grand le formulaire avec le nom d’utilisateur … et le mot de passe !
Il suffit de récupérer la valeur du champs mot de passe …
Le bout de code ci-dessous transformera les champs mots de passe d’une page en simple champs texte, révélant ainsi le mot de passe (à saisir dans la console développeur / Touche F12 de votre clavier):
Array.prototype.slice.call( document.getElementsByTagName(‘input’),0).map(e=>e.setAttribute(‘type’,’text’));
Bien entendu, il est parfaitement possible de créer un programme / script qui automatise tout ça et récupère l’ensemble des mots de passe en arrière plan ;)
Démonstration vidéo
2019 est l’année où je vous inonde de vidéo de démonstration !!!
Profitez-en pour vous abonner ou pour mettre un petit j’aime d’encouragement ;)
Conclusion
Ne stockez pas vos mots de passe dans votre navigateur …
Ni même dans un gestionnaire (même si c’est le meilleur compromis)
Servez-vous de votre mémoire (sauf si vous êtes dans une entreprise dans laquelle vous avez 1000 mots de passe à mémoriser …)
Petite technique que j’utilise très souvent, je ne mémorise jamais les mots de passe, je m’inscris sur un site avec un mot de passe long et très compliqué qui n’a aucun sens logique … je l’oublie par la suite, et lorsque j’ai besoin d’y retourner j’utilise la fonction mot de passe oublié … résultat, je n’ai qu’un mot de passe à connaitre et … à ne pas réutiliser nulle-part.