Discussion :

[Patrick Ruiz]

Firefox et Thunderbird avaient leurs mots de passe principaux mal protégés
Pendant les neuf dernières années

Mozilla et Thundebird ont utilisé un mécanisme de chiffrement insuffisamment robuste pour la fonctionnalité mot de passe principal pendant neuf ans. L’information est de Wladimir Palant – créateur de l’extension Adblock.

Le mot de passe principal de Mozilla et Thunderbird sert à chiffrer chaque chaîne de caractères que l’utilisateur sauvegarde dans son navigateur ou dans un client email en tant que mot de passe. Il suffit que l’utilisateur l’active et, dans ce cas, les mots de passe ne sont plus stockés en clair sur le disque dur, un état de choses qui apporte un plus certain en matière de sécurité.

Wladimir Palant a partagé ses trouvailles après une inspection du code source et a trouvé que malgré l’activation de la fonctionnalité, un attaquant peut quand même retrouver le mot de passe principal sans trop suer. « Je suis tombé sur la fonction sftkdb_passwordToKey() utilisée pour la conversion d’un mot de passe [de site Web] en clé de chiffrement au travers de l’application d’une fonction de hachage SHA-1 […] », a-t-il écrit. À côté du fait que ce soit SHA-1 qui soit utilisé, l’auteur de la célèbre extension antipub a relevé que la fonction n’était appliquée qu’une fois dans le processus de chiffrement. En comparaison, une solution comme LastPass procède à l’application d’une telle fonction des centaines de milliers de fois.

Le faible nombre d’itérations rend une attaque extrêmement aisée à réaliser pour déchiffrer le mot de passe principal et par la suite tous ceux qui ont été stockés dans le navigateur. D’après les chiffres rapportés par Palant, une carte graphique Nvidia GTX 1080 permet de calculer 8,5 milliards de hash par seconde, une puissance de calcul largement suffisante pour retrouver un mot de passe 40 bits en une minute.

Palant n’est pas le premier à relever ces faiblesses. Un contributeur du nom de Justin Dolske a fait les mêmes constats et les a consignés dans la liste de diffusion de bogues il y a neuf ans. Ce dernier avait alors suggéré à l’équipe Mozilla de revoir le nombre d’itérations à la hausse pour une meilleure protection. Ce n’est qu’avec le rapport de Palant que les équipes de Mozilla ont décidé d’apporter réponse à ce problème. Elles travaillent sur une extension dénommée Lockbox. Actuellement au stade d’Alpha, elle est présentée par l’entreprise comme le successeur du gestionnaire intégré de mots de passe. Le test de l’extension est possible sur le canal nightly de Firefox.

Sources

Billet Palant

Bugzilla

Votre opinion

En attendant que la nouvelle extension soit finalisée quelles recommandations donneriez-vous à un profane pour l’aider à se prémunir d’une éventuelle fuite de mots de passe ?

Voir aussi

Mozilla déploie un second correctif pour colmater une faille découverte sur Firefox lors du concours Pwn2Own

[Invité]

En attendant que la nouvelle extension soit finalisée quelles recommandations donneriez-vous à un profane pour l’aider à se prémunir d’une éventuelle fuite de mots de passe?

La recommandation d'adopter KeePass et de renouveler les identifiants sensibles fréquemment, même si c'est pénible au profane.

D’après les chiffres rapportés par Palant, une carte graphique Nvidia GTX 1080 permet de calculer 8,5 milliards de hash par seconde, une puissance de calcul largement suffisante pour retrouver un mot de passe 40 bits en une minute.

A force de lire que nos chères "cartes 3D" sont utilisées pour ci ou ça j'en viens à me demander si la terminologie "carte graphique" a encore un sens...

[Max Lothaire]

Je me posais une question du coup : par quels moyens un attaquant peut-il lire les mots de passe stockés ? En claire ou non.

Si il a besoin d'un accès physique à la machine, il suffit de chiffrer le disque. Si il utilise un spyware, alors ils peut aussi bien copier les mots de passes chiffrés et utiliser un keylogger pour récupérer le mot de passe principal (dans une extensions malveillante par exemple).

[JPLAROCHE]

La recommandation d'adopter KeePass et de renouveler les identifiants sensibles fréquemment, même si c'est pénible au profane. re et re et encore re

[Maxy35]

Même si Mozilla met au point un nouveau dispositif, la meilleure solution consiste quand même à utiliser un vrai gestionnaire de mots de passe indépendant du navigateur (et d'autant plus si vous utilisez plusieurs navigateurs, comme moi). En ce qui me concerne j'utilise aussi Keepass password safe.