Cracker le mot de passe principal de Firefox

| Nb visites : 2 371 |

FF Firefox 3.5, le navigateur des petits castors en culottes courtes

Quand on utilise Firefox, on peut facilement lui demander de stocker dans sa petite base de données, les mots de passe utilisés sur nos sites web préférés. Du coup, lorsqu’on y retourne (sur un site), Firefox rempli automatiquement le champs Login et Mot de passe. Super pratique et un peu sécurisé car cette fonctionnalité est protégée par un mot de passe principal, un « Master password ».

Mais qu’arrive t il lorsqu’on oublie ce master password ?

Et bien, y’a plus qu’à faire une croix sur tous vos mots de passe enregistrés tendrement depuis des années.

Vraiment ? En réalité, non… Voici comment récupérer votre mot de passe principal sous Firefox.

Il existe un outil baptisé FireMaster qui permet de bruteforer le mot de passe principal de Firefox. Il a été compilé uniquement pour Windows mais son code source est disponible si vous voulez vous lancer dans une adaptation linux ou mac.

  • Télécharger Firemaster
  • Ouvrir une console windows

Voici à titre indicatif les paramètres à passer :

Dictionary Crack Options:

  • -d Perform dictionary crack
  • -f Dictionary file with words on each line

Hybrid Crack Options:

  • -h Perform hybrid crack operation using dictionary passwords.
  • Hybrid crack can find passwords like pass123, 123pass etc
  • -f Dictionary file with words on each line
  • -g Group of characters used for generating the strings
  • -n Maximum length of strings to be generated using above character list
  • These strings are added to the dictionary word to form the password
  • -s Suffix the generated characters to the dictionary word(pass123)
  • -p Prefix the generated characters to the dictionary word(123pass)
  • -b Perform brute force crack
  • -c Character list used for brute force cracking process
  • -m [Optional] Specify the minimum length of password
  • -p [Optional] Specify the pattern for the password
  • -l Specify the maximum length of password
  • Et lancer les commandes suivantes (au choix) :

// Attaque par dictionnaire
FireMaster.exe -d -f c:\dictfile.txt Firefox_Profile_Path

// Attaque hybride
FireMaster.exe -h -f c:\dictfile.txt -n 3 -g « 123″ -s Firefox_Profile_Path

// Attaque par bruteforce
FireMaster.exe -q -b -m 3 -c « abyz126″ -l 10 -p « pa??f??123″ Firefox_Profile_Path

Il est donc possible de faire des attaques par dictionnaire ou par bruteforce (test de toutes les combinaisons) ou hybride (dictionnaire + ajout de suffixe ou postfixe généré)

Si vous vous souvenez de la longueur de votre mot de passe ou de certaines lettres le composants, vous pouvez aussi accélérer le crack en précisant ces informations :

FireMaster.exe -b -c « abyz » -l 12 -p « fire?????123″ c:\testpath

crack firefox password

Vous trouverez + d’infos et d’autres détails sur ce site.

Publicité

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



31 commentaires

  1. Blusky Reply to this comment


    [troll]
    Quoi ???
    Un screenshot sous Windows ??? Diffamation !!!
    [/troll]

    Posté le 7 septembre 2009 à 09:49:09

  2. xbb Reply to this comment


    Mouif… Je connais peu de personnes utilisant le master pwd… (même pas moi…)
    C’est si utile que ça ?

    Posté le 7 septembre 2009 à 10:03:08

  3. PoP Reply to this comment


    Heureusement qu’on peut sécuriser tout ça avec du javascript… :-p

    Posté le 7 septembre 2009 à 10:19:06

  4. lemulot Reply to this comment


    @PoP: un peu a la ramasse ?

    Posté le 7 septembre 2009 à 10:23:52

  5. Rod Reply to this comment


    Perso j’utilise le master password au boulot, parce que j’ai tous mes mots de passe stockés et je voudrais pas que n’importe qui utilise mont firefox au taf.

    Normalement mon mot de passe doit pas être facile à bruteforcer. Je vais essayer quand même !
    Merci Korben pour cette info qui fait pas plaisir :D

    Posté le 7 septembre 2009 à 10:29:13

  6. sebsauvage Reply to this comment


    Il y a encore des gens qui laissent des *LOGICIELS* mémoriser leurs mots de passe ? Sérieusement ?

    Les gens n’apprendront jamais, c’est incroyable.

    Posté le 7 septembre 2009 à 10:37:41

  7. Armetiz Reply to this comment


    Cela reste du bon vieux brute force…

    Posté le 7 septembre 2009 à 10:39:45

  8. Laurent Reply to this comment


    @sebsauvage : je ne stocke pas mon mot de passe PayPal, mais les mdp de mes forums préférés, bof. Faut arrêter la parano, aussi !

    Posté le 7 septembre 2009 à 10:48:31

  9. Moubai Reply to this comment


    mouais ou plutot utiliser l’extension xmarks qui synchronise password et ou favoris (c’est selon le choix)

    de manière cryptée avec un code pin supplémentaire du password.

    ainsi pas de problème si oubli du pass xD

    Posté le 7 septembre 2009 à 12:32:05

  10. MikeZ Reply to this comment


    @Laurent
    Parano oui et non… Le seul risque réel que ses informations sortent si elles sont enregistrées dans les logiciels c’est

    * Trojan et pas de parefeu / parefeu pourrit (Windows?)
    * Accès physique à la machine, mais la de toute façon on peut rien faire

    Ensuite, les nouveaux « voleurs de MDP » décodent très facilement les mdp Firefox..Si ya pas le master password bien entendu !

    La solution pour conserver ses MDP dans firefox ET lutter contre les voleurs de MDP? LES VERSION PORTABLES qui stockent leur config dans le sous-dossier :)

    Et vous seriez surpris du nombre de gens piégés par des trojans par ce qu’il enregistrent tout dans leur logiciel (et du nombre de posteurs de trojan qui sont trop bêtes et laissent des infos en CLAIR dans leur merdouille :)

    Posté le 7 septembre 2009 à 13:29:18

  11. vicnent Reply to this comment


    à 120 000 tests par secondes, pour un mot de passe « bien choisi » de 9 caractères dans un alphabet de 70 lettres (min, maj, chiffres, etc), il y a 70^9 possibilités.

    Si tu lances ton crack le 1 janvier 2010, tu auras ta réponse dans le pire des cas le … tard. En fait, il y en a pour 10663 ans de calculs. Soit un peu plus que 5x fois la distance qui nous sépare de Jésus Christ.

    Bref, vaut mieux attendre l’ordinateur quantique.

    Posté le 7 septembre 2009 à 15:18:42

  12. sebsauvage Reply to this comment


    @vicnent:
    C’est vrai. Sauf que rares sont les utilisateurs à choisir de bons de mots de passe de 9 caractères avec majuscules, chiffres, lettres et symboles.

    Donc dans la vaste majorité des cas, une belle RainbowTable viendra à bout de 70% des mots de passe en quelques minutes (si vous avez déjà essayé 0pthcrack, vous savez de quoi je parle.)

    Je maintiens que laisser un logiciel mémoriser vos mots de passe, c’est une erreur.

    PS: Je parle d’expérience: On a vu sur CCM un guignol distribuer un trojan qui pique la base de mots de passe de Firefox (sites web et FTP), FileZilla, TeamSpeak et Steam. Tout ça dans un même package.
    Je suis moi-même allé sur le site FTP où le programme envoyait ses données volées: Il y avait des *centaines* d’utilisateurs qui s’étaient faits avoir.
    http://www.commentcamarche.net/forum/affich-5833000-alerte-securite-debrideur-free-fr?entiere#0

    NON, NON et NON ! Ne laissez pas des logiciels mémoriser vos mots de passe. Faudra pas venir pleurer le jour où ça pètera.

    Posté le 7 septembre 2009 à 15:42:55

  13. cynoque Reply to this comment


    encore faut-il se servir de cette fonction -du reste intéressante- mais trop peu sécurisée effectivement. On préfèrera taper à la main ses mots de passes quitte à se prendre un peu plus le chou. Enfin c’est ce que je conseille et que je fais. (d’ailleurs des fois on choisit des mots de passes bien carabinés et on a besoin d’un support papier dans les premiers temps ! genre lidu0689,çAB3éèù si c’est pas du mot de passe vicieux ça :p)

    en gros : tout les gadgets de fainéant ne sont pas forcément bons à prendre…
    en tout cas merci korben pour cette astuce.

    Posté le 7 septembre 2009 à 16:10:52

  14. UtOpiK Reply to this comment


    Ouais, enfin bruteforce faut s’accrocher quand même..

    Posté le 7 septembre 2009 à 17:44:10

  15. Trust Reply to this comment


    +1cynoque

    La bonne vieille méthode qui à fait ses preuves : 1 papier / i stylo et puis c’est tout :)

    Posté le 7 septembre 2009 à 17:46:34

  16. Trust Reply to this comment


    ou sinon y a ça => http://www.thinkgeek.com/gadgets/security/91a2/images/2067/

    Posté le 7 septembre 2009 à 17:47:52

  17. qwerty800 Reply to this comment


    C’est le genre de truc qui intéresserait Skype!

    Au cas ou vous sauriez pas, c’est prouvé que, sous linux, skype scanne tout ce qui se trouve dans votre dossier perso de firefox pour les envoyer à sa maison mère.
    Ça inclut mot de passes, favoris, noms d’utilisateurs, comptes en banque…

    Si vous voulez vérifier, vous avez qu’à installer skype et à lancer ceci:
    strace skype|grep firefox

    Lien: http://blog.philpep.org/post/2008/12/20/Skype-%3A-un-logiciel-qui-vous-veut-du-bien

    Note à Korben: ZOMG!!! Korben qui nous parle d’un logiciel Windows-Only??
    Où s’en va le monde? :-(

    Posté le 7 septembre 2009 à 19:02:05

  18. 3psyl0n Reply to this comment


    @sebsauvage

    Idem et entierement daccord,

    En même temps les noob (95% des users du web actuel) ils n’ont même pas conscience du stockage de leur mots de pass.

    Même en revenant sur le site loggué automatiquement, soit ils pensent que c’est normal (en gros ils ont même oublié qu’ils ont un pass), soit ils pensent que le mot de passe revient par le saint esprit, et donc du coup qu’il n’y pas de risque.

    > Tiré de mes propres constats

    De toute facon, ce n’est pas pret de changer, quand tu vois que même avec un permis de conduire 3 pédales et un volant, la plus part ne savant pas conduire, alors un ordinateur avec toutes ses complexitudes a intégré c’est pas pour demains …

    Posté le 7 septembre 2009 à 19:18:41

  19. MikeZ Reply to this comment


    @sebsauvage

    tien c’est marrant, moi je traque les neuneux qui postent des machins comme ca sur des sites **** et les 3/4 du temps on peut remonter à leur ftp/compte mail puisque le mot de passe est en clair….

    Kaarsher Rulez :)

    Posté le 7 septembre 2009 à 19:58:54

  20. Degobiol Reply to this comment


    en même temps, faut pas être bien malin pour stocker des données sensible sur des circuits imprimés (je parle pour un particulier). Que ce soit données bancaires, plan d’attaque de banque ou encore taille de son zguègue, tout ce que vous pourriez piquer chez moi, c’est mes photos de vacances (dont j’ai plusieurs copies sur différents supports), pour le reste, rien ne transite par un PC (à par les m@ils qui sont rarements importants).
    Payment en ligne ? pas confiance (voir les sites d’échange de n° carte)
    Banque en ligne ? ça fout du monde au chômage sans pour autant baisser les frais bancaires, au mieux ça augmente les dividendes des actionnaires.
    Pour le reste ? ben si vous voulez utiliser mon identifiant facebook je m’en tape, pareil pour mon compte QUAKELIVE (que je recommande aux gamers en passant: http://www.quakelive.com valable tous OS)
    Même si physiquement quelqu’un acède à ma (vieille) bécane, rien à piquer (même pas la bête).
    LE problème est plus comportemental, NE PAS faire confiance à la mémoire informatique !!
    Pas sécurisée, pas durable, ne fonctionne pas sans électricité que nous croyons comme acquise. TSS TSS bande de jeunes va.

    Posté le 7 septembre 2009 à 21:01:02

  21. Foudge Reply to this comment


    Oui enfin, arrêtez de rêvez. Je ne sais pas combien de password vous avez à retenir, mais utiliser pour chaque compte/site un password du type lidu0689,çAB3éèù, ça ne me semble pas une méthode raisonnable à conseiller à tout le monde. C’est utopique d’y croire.
    Et marquer ses password sur un post-it (collé sur l’écran), c’est pas non plus à conseiller surtout en entreprise.
    Dans la ralité, lorsqu’on impose aux user de se souvenir de tous leur password, in tombe généralement sur 2 cas :
    1) ceux qui vont utiliser un bon password, mais le même partout (il suffit d’arriver en chopper un, sur le logiciel/site le plus facile à casser, et tu les as tous, un bonheur)
    2) n’utiliser que des password court et simple à retenir (ai-je besoin de dire que la sécurité est proche de zéro)

    Au final, imposer aux user d’utiliser des password différents et impossible à retenir, mais que Firefox retiendra, ce n’est pas une si mauvaise idée… à partir du moment ou t’utilises un master password lui aussi costaud. Et 1 seul bon password à retenir, c’est quelque chose de raisonnable qu’on peut imposer aux utilisateurs. Le reste me parait utopique et dans la pratique on obtient de mauvais résultats.

    Posté le 8 septembre 2009 à 01:25:06

  22. sebsauvage Reply to this comment


    « Oui enfin, arrêtez de rêvez. Je ne sais pas combien de password vous avez à retenir, mais utiliser pour chaque compte/site un password du type lidu0689,çAB3éèù, ça ne me semble pas une méthode raisonnable à conseiller à tout le monde. C’est utopique d’y croire. »

    Ce n’est pas une utopie. J’ai un mot de passe différent pour CHAQUE site sur lequel j’ai un compte. Il y a juste des astuces mnémoniques à connaître.
    Mais bien sûr tant qu’on ne les connaît pas…

    « Ã  partir du moment ou t’utilises un master password lui aussi costaud »

    Tu peux ajouter: « et si l’implémentation de Mozilla est sans faiblesse ».
    Ce qui est un gros paris.
    (Les logiciels sans bug, ça reste assez rare…)

    Posté le 8 septembre 2009 à 08:49:57

  23. grandpublik Reply to this comment


    tout a fait d’accord avec Degolbio, y faut pas faire confiance aux systemes pour les trucs inportants (on s’en passe trés bien) et pour le reste rien a carrer. un bon pseudo genre « pseudo » avec un mot de passe facile à retenir,genre « motdepasse » et le tour est joué car dans une maison ou regne la confiance et ou tout est a dispo les voleurs s’enmerde et vont aillieur

    Posté le 8 septembre 2009 à 10:31:25

  24. Blog de Guillaume YGUEL | Comment cracker le mot de passe de firefox | WorldOfGeek Reply to this comment


    [...] : korben.info et securityxploded.com Tagged with: crack • de • firefox • mot • passe • [...]

    Posté le 8 septembre 2009 à 11:25:26

  25. Moe Reply to this comment


    Il y a une faute de frappe dans l’article : « qui permet de bruteforer »

    Posté le 8 septembre 2009 à 14:40:08

  26. Billyboylindien Reply to this comment


    Avant c’était plus simple…
    http://www.billyboylindien.com/tutos/mdp-principal-firefox.html

    Ca ne marche plus ?

    Posté le 8 septembre 2009 à 23:08:39

  27. Eo Reply to this comment


    @ sebsauvage

    « il y a juste des astuces [...] Mais bien sûr tant qu’on ne les connaît pas… »

    J’aimerai connaître la suite de cette pensée, que ce passe-t-il tant qu’on a pas la connaissance ? On doit vivre avec cette idée qu’on a raté quelque chose comme une majorité des utilisateurs du net aujourd’hui ?

    Ou peut être doit-on attendre que tu veuilles bien nous partager cette solution si alléchante ?

    Après faut aussi ce demander si les gens restent des noobs parce qu’ils le sont destinés ou si c’est simplement un manque d’information…
    On se demandera également si la connaissance est meilleure pour être étalée devant les autres, ou alors partagée avec les autres ;)

    Posté le 9 septembre 2009 à 17:08:18

  28. sebsauvage Reply to this comment


    « Ou peut être doit-on attendre que tu veuilles bien nous partager cette solution si alléchante ? »

    Si c’est demandé gentiment :-)

    Voici le truc: Dérivez votre mot de passe du nom de domaine du site, et ajoutez un invariant. Je donne un exemple:

    == D’abord, l’invariant ==

    Choisissons d’abord un bon invariant: une phrase.
    « Ma Grand Mère Mange Les Pissenlits Par La Racine. »

    Assez bizarre pour être facilement mémorisable. Prenez la première lettre de chaque mot, ajoutez chiffres et symboles: Voilà un bon mot de passe.

    mgmmlpplr568**

    C’est long et ne sera pas attaquable par RainbowTables, mais grâce à votre phrase bizarre, facile à retrouver.

    == Ensuite, utilisez le nom de domaine du site ==

    Ensuite, ajoutez un bout du nom de domaine (ce que vous voulez, quelques lettres)
    Par exemple: korben.info — kni

    Ajoutez cela à votre invariant:
    Le mot de passe pour korben.info: knimgmmlpplr568**
    Le même système pour Commentçamarche.net : cenmgmmlpplr568**
    etc.

    Et voilà: Vous avez un mot de passe particulièrement long et difficile à deviner, résistant aux RainbowTables (utile si un site se fait pirater sa base de données MD5), et différent pour chaque site.

    Et vous n’avez pas besoin de mémoriser le mot de passe de chaque site: Vous êtes capables de le retrouver.

    Libre à vous d’inventer un algo plus ou moins complexe pour mélanger le nom de domaine à votre mot de passe. L’important… c’est de se souvenir de votre algo :-)

    Posté le 9 septembre 2009 à 21:44:24

  29. sebsauvage Reply to this comment


    Tiens justement, j’ai mis au propre l’astuce:
    http://sebsauvage.net/rhaa/index.php?2009/09/11/08/34/55-choisir-de-bons-mots-de-passe

    Posté le 11 septembre 2009 à 10:04:08

  30. martine guilbert Reply to this comment


    je ne sais plus rien regarder sur mes mail et aucun jeu

    Posté le 31 mars 2010 à 07:28:44

  31. martine guilbert Reply to this comment


    je ne sais plus lire mes messa

    Posté le 31 mars 2010 à 07:29:54

(Pensez à personnaliser votre avatar !)