Sur le net
Le mot de passe maître utilisé pour chiffrer les mots de passe est vulnérable aux attaques par force brute. Mais chez Mozilla, le sujet n’intéresse pas grand monde.
Si vous stockez vos mots de passe dans Firefox et que vous les chiffrez au moyen d’un mot de passe maître (MPM), sachez que le niveau de sécurité est moins élevé qu’avec un gestionnaire en bonne et due forme comme KeePass ou Lastpass. Le développeur Wladimir Palant, qui a notamment créé AdBlock Plus, a récemment jeté un œil dans le code source du navigateur. Il a découvert que ce MPM n’est que faiblement protégé. Pourquoi ? Car il n’est haché que de manière simple, à l’aide de l’algorithme SHA1 et d’un sel cryptographique.
Si le mot de passe n’est pas long, ni très complexe, un pirate qui a accès à l’ordinateur peut alors assez facilement le retrouver par force brute, par exemple au travers d’une carte graphique. « Les GPU sont extrêmement performants pour calculer des hash SHA1. Une seule carte Nvidia GTX 1080 peut calculer 8,5 milliards de hash SHA1 par seconde », rappelle Wladimir Palant. Un mot de passe avec une entropie de 40 bits est ainsi cassé en l’espace d’une minute.
Un problème faiblement prioritaire
Cette vulnérabilité qui concerne également la messagerie Thunderbird est assez bête car elle est simple corriger. Il suffirait de remplacer SHA1 par un algorithme dédié au stockage de mots de passe comme PBKDF2, Scrypt ou Bcrypt, qui appliquent un nombre élevé d’itérations de hachage ou de chiffrement pour justement empêcher les attaques par force brute. Lastpass, par exemple, utilise PBKDF2 avec 100.000 itérations de SHA256.
Ce qui est étrange, c’est que cette faille a déjà été notifiée… il y a neuf ans. Il suffit, pour s’en rendre compte, de consulter les fiches 524403 et 973756 du logiciel de suivi de faille Bugzilla. Les développeurs n’ont pas réussi à se mettre d’accord ne serait-ce que sur l’importance à accorder à ce sujet de ce sujet. Certains pensent, en effet, qu’à partir du moment où un pirate accède à l’ordinateur, c’est déjà trop tard. En même temps, remplacer l’algorithme serait assez simple. D’autres encore estiment encore que le problème sera résolu de toute manière avec Lockbox, un gestionnaire de mot de passe créé par Mozilla sous forme d’une extension Firefox.
Le code à 7 caractères (précédé de « @ ») à côté du Nom est le Code MediaCongo de l’utilisateur. Par exemple « Jeanne243 @AB25CDF ». Ce code est unique à chaque utilisateur. Il permet de différencier les utilisateurs.
Les plus commentés
Politique Noël Tshiani Muadiamvita : ‘‘La Constitution actuelle empêche la RDC d’aller vite vers le développement’’
19.04.2024, 16 commentairesPolitique Les graves accusations du cardinal Ambongo contre le gouvernement congolais !
20.04.2024, 16 commentairesPolitique Spéculation autour du rôle de Maman Marthe : « Elle incarne la vision prophétique du parti, UDPS, devant guidé l’action politique du Président de la République. » ( Lisanga Bonganga)
19.04.2024, 15 commentairesSociété Justice : l'ancien vice-ministre des Hydrocarbures condamné à 20 ans de prison
17.04.2024, 14 commentaires
Ils nous font confiance
![Infos congo - Actualités Congo - -Le programme de la maternité gratuite pas encore au point ! [Enquête réalisée par Edmond Izuba]](cache/le_programme_de_la_maternite_gratuite_pas_encore_au_point_jpg_50_50_1.jpeg)
