Récupérer en clair tous les mots de passe Firefox avec un script Python

Firefox-Password-Recovery-MasterSaviez vous qu’il est relativement facile de récupérer en clair la liste des vos mots de passe Firefox si on accès à votre /home ?

Et bien regardez ce que fait ce le script python « ffpassdecrypt ».

Il a simplement besoin des fichiers key3.db, signons.sqlite et cert8.db

N’importe quel programme lancé avec vos droits utilisateur pourrait donc subtiliser vos mots de passe.

9 réactions sur “ Récupérer en clair tous les mots de passe Firefox avec un script Python ”

  1. cade

    Salut,

    D’autres programmes le font aussi et ça marche uniquement quand il n’y a pas de master password sur Firefox tout est en clair.

  2. Yoran

    N’importe quel programme lancé avec vos droits utilisateur pourrait donc subtiliser vos mots de passe.
    En même temps c’est un peu normal non ? ;-) On serait bien embêté si, avec nos droits utilisateur on n’arrivait plus à déchiffrer nos mots de passe.

    Présenté comme cela on a presque l’impression qu’il s’agit d’une faille. Il ne faut pas oublier que ce n’est pas un système d’authentification, c’est un gestionnaire de mots de passe. Avec un système d’authentification on peut (doit :) crypter (et non chiffrer) un mot de passe pour par la suite ne comparer que les empreintes (celle de l’originale avec celle de la tentative).

    Avec un gestionnaire de mot de passe, on doit chiffrer pour rendre difficile l’accès aux mots de passe en clair par un attaquant qui n’aurait justement pas nos droits. Mais on ne peut pas les crypter car il va bien falloir les envoyer, en clair, aux sites pour authentification…

    Et puis entre nous, l’intérêt de ce genre de chiffrage est assez limité globalement pour un poste de travail. La question est de savoir de quoi on se protège. Si c’est d’une faille locale (ex. un navigateur pénétrable), l’attaquant aura de toute façon nos droits. Si pour se prémunir d’usurpation lors d’un vol ou d’une perte, le chiffrement des partitions reste de loin la seule solution valable.

    MTCO évidemment :)

  3. cm-t

    Bonjour,

    Ce genre de situation peut être considéré comme un faille du système qui est trop permissif en laissant l’accès a des fichiers sensible sans que l’utilisateur en soit informé, mais Mozilla Firefox n’est pas en cause, c’est le système d’exploitation qui ne permet pas des zones réservées aux applications.

    Juste pour ceux qui suivent l’actualité ubuntu, cela sera corrigé avec l’écosystème amené avec Unity8 et apparmor qui verrouillera l’accès aux fichiers tant que l’utilisateur ne l’a pas accepté.

    Librement

  4. Cabernet138

    « Ce genre de situation peut être considéré comme un faille du système »

    Bah non… un logiciel lancé avec les droits utilisateurs qui fait en script ce qu’aurait pu faire l’utilisateur en cliquant (accéder à ses/des données), ce n’est pas une faille.
    Une faille c’est accéder à quelque chose qui ne t’est pas destiné.

    Ce serait une faille si FF nécessitait explicitement la saisie d’un pass, saisie contournée par ce script.

    Je trouve par ailleurs cette fonctionnalité pratique… Que le script soit lancé de manière normale ou « agressive » n’a rien à voir avec la notion de faille. La faille est antérieur (« lancer n’importe quel programme avec les droits… »).

    Sauf erreur, apparmor ça se désactive non ?

  5. elbid

    Je sauvegarde pas de mpt de passe avec Firefox est ce que ça marche quand même ? Par contre avec thunderbird si est ce possible de faire la même chose avec ce dernier ?

  6. Ping Actu Firefox | Pearltrees

  7. Tuxicoman

    Comme dit plus haut, ce n’est pas une faille de Firefox. Le modèle de sécurité sous GNU/linux considère que tous les applications lancées par l’utilisateur sont sûres pour ses données personnelles.

    C’était sûrement vrai dans les années 70 quand nos données avaient peu de valeur (pas de compte en ligne, pas de vie stockée sous forme de photo, pas de liaison Internet constante, etc…)

    Ca me parait d’autant moins vrai depuis l’émergence des business model basés sur la revente de nos données personnelles (Google, Facebook, la plupart des applications Android, etc…) et depuis que les gouvernements y ont trouvé leur eldorado.

    Aussi je rechigne toujours à lancer un Skype depuis ma session utilisateur. Je vous invite à lire cet article de 2007.

  8. Yoran

    Désolé, je corrige, c’était vrai « dans les années 70 » lorsque l’ensemble des applications installées étaient opensource et majoritairement libre (il y a toujours eu le souci des pilotes). Ce qui a changé aujourd’hui n’est pas la nature des données stockées (j’ai mes photos sur mes machines depuis que le premier kodak numérique est sorti, je n’ose dire quant ;-) mais le fait que l’on installer des applications sur lesquelles nous n’avons aucun contrôle et surtout diffusées par des acteurs totalement intéressés par nos données. Skype, DropBox ou encore Chrome, peuvent être cités dans le peloton de tête.

    En gros dés que l’on nous demande de faire du dpkg -i sur un fichier téléchargé ça sent le pâté ;-)

    Dans ce sens tu as sûrement raison, le modèle unix n’est sans doute plus adapté à l’agressivité ambiante.

  9. trucmachin

    C’est peut-être pas considéré comme une faille, mais c’est un vrai et gros problème s’il suffit de récupérer un ordi pour obtenir les mots de passes.

    http://xkcd.com/1200/

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.