Sondage

Enregistrez-vous vos mdp?

Jamais de la vie, c'est dangereux
Oui, le plus souvent (sauf les mdp critiques)
Oui, toujours, c'est plus pratique et plus sûr que de les noter
J'utilise une extension pour gérer mes mdp
Réponse 5 : obi wan kenobi

Auteur Sujet: Sondage : est-ce que vous enregistrez vos mots de passe dans le navigateur?  (Lu 2989 fois)

0 Membres et 1 Invité sur ce sujet

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 410
  • FTTH 1Gb/s sur Paris (75)
Avec chiffrement réversible donc analogue à en clair dans la logique, tant qu'il n'y a pas de mot de passe maître.

réversible dans le contexte de l'utilisateur. Seul Windows peut reverse, Chrome lui-même ne peut pas directement.

Et si quelqu'un a accès au disque en dehors de la session utilisateur, il ne peut reverse.

C'est donc l’équivalent d'avoir un mot de passe maître mais ce mot de passe n'est stocké nul part et n'est pas connu de l'utilisateur.

La fonction utilisée est CryptProtectData.


underground78

  • Expert
  • Client Free fibre
  • *
  • Messages: 5 373
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Sauf à activer la Master Passphrase sur Firefox ou Chrome, ou iCloud Keychain sous Safari.
C'est ce que je fais au boulot.

vivien

  • Administrateur
  • *
  • Messages: 29 550
    • Twitter LaFibre.info
réversible dans le contexte de l'utilisateur. Seul Windows peut reverse, Chrome lui-même ne peut pas directement.

Si on prend le dossier avec le profil chrome et qu'on le met sur un autre PC : Chrome récupère bien les mots de passe, non ?

Voici le scénario que j'imagine :

1/ Le voleur profite de la pause déjeuner pour booter l'ordinateur sur une clef USB Linux
2/ Le disque n'est pas chiffré, Il récupère le dossier utilisateur de Chrome
3/ Il met ce dossier sur un autre Windows et démarre Chrome
4/ Il récupère les mots de passes stockés.

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 740
  • île-de-France
Si on prend le dossier avec le profil chrome et qu'on le met sur un autre PC : Chrome récupère bien les mots de passe, non ?

Voici le scénario que j'imagine :

1/ Le voleur profite de la pause déjeuner pour booter l'ordinateur sur une clef USB Linux
2/ Le disque n'est pas chiffré, Il récupère le dossier utilisateur de Chrome
3/ Il met ce dossier sur un autre Windows et démarre Chrome
4/ Il récupère les mots de passes stockés.

En fait c'est vrai pour Firefox/Windows, mais pour Chrome/Windows avec mot de passe non, comme l'a pointé kgersen.

Chrome, comme nombre d'autres applications, utilise DPAPI qui est une lib standard de Windows qui en gros, chiffre un ficher contenant une clef maître avec un hash de ton mot de passe Windows (+ user ID + salt), et chiffre vraiment tes mots de passe avec cette clef maître ensuite.

Pour les changements de mot de passe, Windows garde un historique des hashs de tes anciens mots de passe déchiffrable seulement avec ton mot de passe actuel (CREDHIST). Pour les resets brutaux, les mots de passe DPAPI sont perdus il me semble.

Docs sur le sujet :
https://www.passcape.com/index.php?section=docsys&cmd=details&id=28
https://cdn.elie.net/talks/reversing-dpapi-and-stealing-windows-secrets-offline-slides.pdf

Si le mot de passe utilisateur est récupérable avec des forensics de base sur d'autres applications ou du bruteforce de hashs NTLM ou qu'il n'y a pas de mot de passe etc. ça limite l'intérêt bien sûr.

Sous Linux Chrome peut utiliser optionnellement d'autres applications gérant les mots de passe comme gnome-keyring (et Firefox pareil que sous Windows, qu'une clef générée par lui dans son profil pour l'occasion).

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 410
  • FTTH 1Gb/s sur Paris (75)
sous Linux, Chrome utilise GNOME Keyring ou KWallet 4 ou pas d'encryption suivant la détection de  l’environnement de l'utilisateur (ou un paramétrage explicite de Chrome).

https://chromium.googlesource.com/chromium/src/+/lkcr/docs/linux_password_storage.md

vivien

  • Administrateur
  • *
  • Messages: 29 550
    • Twitter LaFibre.info
OK, sur ce point Chrome est plus sécurisé que Firefox.

Si l'utilisateur Windows n'a pas de mot de passe, comment DPAPI chiffre ?

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 740
  • île-de-France
OK, sur ce point Chrome est plus sécurisé que Firefox.

On peut aussi dire qu'il implèmente un contrôle des dommages limité, dans certains cas précis et théoriques. Un attaquant qui a un accès physique à la machine peut faire beaucoup de choses, comme implanter ce qu'il veut en termes de logiciels.

En fait, il ira sûrement installer un logiciel de contrôle à distance bien avant d'essayer de déchiffrer des structures absconses, s'il fait le choix de booter sur une machine à l'arrêt en partant sur le principe que son seul point de contact est le système de fichiers.

Si l'utilisateur Windows n'a pas de mot de passe, comment DPAPI chiffre ?

La même chose, mais sans mot de passe. Ça ajoute une couche d'obscurité, Firefox aussi ajoute une couche d'obscurité.

corrector

  • Invité
Bref, il faut retenir que le navigateur n'a pas des droits particuliers quand il s'exécute, et que si il y a accès, alors les autres logiciels exécutés dans le mêmes conditions y ont accès, c'est à dire n'importe quel spyware que l'utilisateur a l'amabilité de lancer.

 

Mobile View