mediacongo.net - Actualités - Firefox : une faille traîne dans le gestionnaire de mots de passe... depuis 9 ans

prev
next


Retour Sur le net

Firefox : une faille traîne dans le gestionnaire de mots de passe... depuis 9 ans

Firefox : une faille traîne dans le gestionnaire de mots de passe... depuis 9 ans 2018-03-24
http://www.mediacongo.net/dpics/filesmanager/actualite/2017-actu/09-septembre/4-10/firefox_mozilla_18_002.jpg -

Le mot de passe maître utilisé pour chiffrer les mots de passe est vulnérable aux attaques par force brute. Mais chez Mozilla, le sujet n’intéresse pas grand monde.

Si vous stockez vos mots de passe dans Firefox et que vous les chiffrez au moyen d’un mot de passe maître (MPM), sachez que le niveau de sécurité est moins élevé qu’avec un gestionnaire en bonne et due forme comme KeePass ou Lastpass. Le développeur Wladimir Palant, qui a notamment créé AdBlock Plus, a récemment jeté un œil dans le code source du navigateur. Il a découvert que ce MPM n’est que faiblement protégé. Pourquoi ? Car il n’est haché que de manière simple, à l’aide de l’algorithme SHA1 et d’un sel cryptographique.

Si le mot de passe n’est pas long, ni très complexe, un pirate qui a accès à l’ordinateur peut alors assez facilement le retrouver par force brute, par exemple au travers d’une carte graphique. « Les GPU sont extrêmement performants pour calculer des hash SHA1. Une seule carte Nvidia GTX 1080 peut calculer 8,5 milliards de hash SHA1 par seconde », rappelle Wladimir Palant. Un mot de passe avec une entropie de 40 bits est ainsi cassé en l’espace d’une minute.

Un problème faiblement prioritaire

Cette vulnérabilité qui concerne également la messagerie Thunderbird est assez bête car elle est simple corriger. Il suffirait de remplacer SHA1 par un algorithme dédié au stockage de mots de passe comme PBKDF2, Scrypt ou Bcrypt, qui appliquent un nombre élevé d’itérations de hachage ou de chiffrement pour justement empêcher les attaques par force brute. Lastpass, par exemple, utilise PBKDF2 avec 100.000 itérations de SHA256.

Ce qui est étrange, c’est que cette faille a déjà été notifiée… il y a neuf ans. Il suffit, pour s’en rendre compte, de consulter les fiches 524403 et 973756 du logiciel de suivi de faille Bugzilla. Les développeurs n’ont pas réussi à se mettre d’accord ne serait-ce que sur l’importance à accorder à ce sujet de ce sujet. Certains pensent, en effet, qu’à partir du moment où un pirate accède à l’ordinateur, c’est déjà trop tard. En même temps, remplacer l’algorithme serait assez simple. D’autres encore estiment encore que le problème sera résolu de toute manière avec Lockbox, un gestionnaire de mot de passe créé par Mozilla sous forme d’une extension Firefox.


01net
958 suivent la conversation
0 commentaire(s)

Faites connaissance avec votre « Code MediaCongo »


Vous avez sans doute remarqué un nouveau code à 7 caractères affiché à droite de votre Nom/Pseudo, par exemple « AB25CDF ».
Il s’agit de Votre Code MediaCongo, unique à chaque utilisateur, et qui permet de faire la différence entre utilisateurs ayant le même Nom ou Pseudo.

Nous avons en effet reçu des réclamations d’utilisateurs se plaignant de confusion dans les commentaires ou dans les « Petites annonces » avec d’autres utilisateurs ayant respectivement les mêmes noms.

Notre seul objectif et engagement est de continuer de vous offrir un service de qualité. N’hésitez pas à écrire à support@mediacongo.net si vous avez des questions ou suggestions.


Merci et excellente expérience sur mediacongo.net

MediaCongo – Support Utilisateurs



right
ARTICLE SUIVANT : Yahoo! réduit la voilure
left
ARTICLE Précédent : Bitcoin en 2021 : un investissement malin ou simplement un effet de mode ?
AUTOUR DU SUJET

Mozilla songerait à mettre de côté son navigateur historique Firefox

Sur le net ..,

Firefox et Chrome se dotent de protections renforcées de la vie privée

Sur le net ..,

Ubuntu a fêté ses 15 ans

MC Geek ! ..,

Les 5 meilleurs navigateurs Web pour protéger votre vie privée, édition 2019

Sur le net ..,