lockwise, ça vaut quoi ? Merci.

[Bob49]

Quant à l’année 2007, elle ne protège pas plus Firefox et son produit LockWise, si les années étaient une protection, cela se saurait.

Quel rapport entre l'année 2007 et LockWise ! On est en 2020, plus en 2007 et il y a eu des améliorations dans la protection des données, depuis... Et LockWise "vient d'arriver"...
Bref, ce n'est pas les années qui sont une protection, c'est le travail qui est fait pour les améliorations. Et en matière de sécurité, les principaux navigateurs web et en particulier Firefox, ont fait bien des avancés. D'où les "hurlements" de certaines personnes sur le fait que Firefox en ferait de trop dans la sécurité et de plus en plus...

Wikipédia ne fait qu'évoquer le cas de 2007 et c'est tout. Wikipédia ne dit pas qu'il y a toujours le même problème en 2020 !

Après que Wikipédia soi considéré par certaines personnes pour un mauvais site d'informations, il y en a tout de même beaucoup de bonnes informations.

Mais après, ce n'est pas sur le forum de Firefox de faire le débat si Wikipédia est bon ou pas !

[Alynx]

Bon, donc si j'essaye de résumer le truc:
Les mots de passe seraient crypté chiffrés sur le disque et j’imagine stockés dans le profils de Firefox.
En théorie, si l'on ne synchronise pas plusieurs appareils, il ne transitent pas, ni ne sont stockés par aucun serveur.
Si l'on synchronise plusieurs appareils, il sont stockés sur les serveurs de Firefox.
L'ANSI, organisme national non gouvernemental ne recommande pas les gestionnaires de mots de passe qui peuvent stocker des infos sur un serveur distant.

Question ajoutée:
Les options de réglage générales de Firefox n'étant pas verrouillées par un mot de passe général, il serait possible (difficile mais possible) qu'une personne active/crée à l'insu du propriétaire la synchronisation, donc une possibilité de récupérer/réutiliser les mots de passe de l'utilisateur à son insu?

En réponse à bob

Personne dans les forums cités ne parle à nouveau de ce problème depuis 2007. Donc laissez ce problème à l'année 2007 !!
Pourquoi absolument vouloir faire croire que le problème est toujours présent ??? Si c'était le cas, tout le monde serait déjà au courant !..

Sur ce point, je ne partage pas ton opinion, une telle question de sécurité mériterait d'être ré-étudiée, peut être en utilisant la même méthode (laquelle??) que celle qui avait été employée à l'époque, soit en utilisant "une machine virtuelle" et en analysant le comportement des programmes installés dans cette machine virtuelle (ça dépasse hélas mes compétences), dans une machine virtuelle, si un programme essaye de lire dans le répertoire ou sont stockés les mots de passe, j'imagine que cela doit se voir...

[Bob49]

En théorie, si l'on ne synchronise pas plusieurs appareils, il ne transitent pas, ni ne sont stockés par aucun serveur.

Bien sûr.

L'ANSI, organisme national non gouvernemental ne recommande pas les gestionnaires de mots de passe qui peuvent stocker des infos sur un serveur distant.

Source de ses propos. Stp ?

Extrait du guide de l'hygienne informatique vu par l'ANSSI :

La complexité, la diversité ou encore l’utilisation peu fréquente de certains
mots de passe, peuvent encourager leur stockage sur un support physique
(mémo, post-it) ou numérique (fichiers de mots de passe, envoi par mail à soi-
même, recours aux boutons « Se souvenir du mot de passe ») afin de pallier
tout oubli ou perte.
Or, les mots de passe sont une cible privilégiée par les attaquants désireux
d’accéder au système, que cela fasse suite à un vol ou à un éventuel partage du
support de stockage. C’est pourquoi ils doivent impérativement être protégés au
moyen de solutions sécurisées au premier rang desquelles figurent l’utilisation
d’un coffre-fort numérique et le recours à des mécanismes de chiffrement.
Bien entendu, le choix d’un mot de passe pour ce coffre-fort numérique doit
respecter les règles énoncées précédemment et être mémorisé par l’utilisateur,
qui n’a plus que celui-ci à retenir.

Et les coffres-forts numériques très sécurisés par un bon chiffrement ne se trouvent pas sur le PC d'un particulier ou du moins de très peu surement, me semble-t-il !
Source (lien qui ouvre un PDF)

Et quand tu lis la première phrase de ma citation, le facteur humain entre bien en jeu... Mais bon, ce n'est pas nouveau !

En réponse à bob

Personne dans les forums cités ne parle à nouveau de ce problème depuis 2007. Donc laissez ce problème à l'année 2007 !!
Pourquoi absolument vouloir faire croire que le problème est toujours présent ??? Si c'était le cas, tout le monde serait déjà au courant !..

Sur ce point, je ne partage pas ton opinion, une telle question de sécurité mériterait d'être ré-étudiée, peut être en utilisant la même méthode (laquelle??) que celle qui avait été employée à l'époque, soit en utilisant "une machine virtuelle" et en analysant le comportement des programmes installés dans cette machine virtuelle (ça dépasse hélas mes compétences), dans une machine virtuelle, si un programme essaye de lire dans le répertoire ou sont stockés les mots de passe, j'imagine que cela doit se voir...

Tu crois que les applications ne sont pas étudiés sur le point de la sécurité ? Sauf erreur de ma part, tous les jours des personnes essayent de trouver des failles de sécurité (même en étant payé pour...)... Ce ne sont pas les développeurs des applications, qui trouvent toutes failles de sécurité dans celles-ci...
Prenons des mesures de sécurité a notre niveau et des bonnes habitudes, sans devenir parano. Et si on devient parano a force de penser aux risques, autant rester chez soi avec un bon livre ou la radio, sans être branché au WEB... Sinon, faisons confiance a des experts de la sécurité pour découvrir si accès si facile aux identifiants stockés dans les navigateurs et à les évoquer...

Pour tester des mots de passe similaires aux siens (au tant ne pas tester ceux qu'on utilise)... https://password.kaspersky.com/fr/

Allez... Bon après-midi.

[Alynx]

L'ANSI, organisme national non gouvernemental ne recommande pas les gestionnaires de mots de passe qui peuvent stocker des infos sur un serveur distant.

Source de ses propos. Stp ?

Défaillance humaine personnelle
J'ai mal mémorisé les propos de Curcubitacé:

Peut-être que l’une des agences partenaires d’un autre État-nation recommande LockWise, il vous faudra alors consulter leur documentation une à une, mais les services, matériels, logiciels recommandés par The common criteria, ne comportent pas, pour l'heure, The Mozilla Foundation et ses produits, dont LockWise. La conservation à distance compromet la sécurité, car elle enclenche un échange d'informations et donc une kyrielle d'intermédiaires.

[Alynx]

J'ai poussé la curiosité jusqu'a aller fouiner dans le dossier du profil Firefox pour essayer de voir le(s) fichier(s) de stockage de Lockwise (dossier ".mozilla" pour un Linuxien) rien vu... déçu!

[Bob49]

A oui, ça peut donner a confusion...

Pour le répéter une fois de plus, Lockwise c'est l'interface et le reste n'est que codes écris "dans le dur" de Firefox, donc en effet tu ne trouvera rien...

[Alynx]

Lockwise c'est l'interface et le reste n'est que codes écris "dans le dur" de Firefox, donc en effet tu ne trouvera rien...

bah, il était concevable que les codes puissent être stockées dans un fichier crypté au nom évocateur. Mais ça n'est pas le cas.
On sort du sujet, mais dans la manip, j'ai bien vu mes clefs de révocations stockées en clair dans le répertoire de config de gnupg (et ça me plaît pas beaucoup)...

[lool_lauris]

Salut,

Les identifiants et mdp sont stockés dans le profil et sont gérés par les fichiers suivants :
key4.db
logins.json
pkcs11.txt

[Alynx]

Ma curiosité est satisfaite!

Excuses-moi, Curcubitacé, concernant ton 2e lien (si j'ai bien compris) il ne dit pas ça:

It can be used to recover passwords from a profile protected by a Master Password as long as the latter is known. If a profile is not protected by a Master Password, a password will still be requested but can be left blank.

Il parle de déchiffrer les mots de passe stockés à condition de connaître le mot de passe principal, ce n'est pas "cracker" les mots de passe, c'est déchiffrer une information avec la clef de déchiffrement valide

je crois que lui, il dit la même chose:

If a master password has been set, provide it using the -p option.

Pour les autres, mon anglais laisse trop à désirer...

[Bob49]

Bah je ne sais pas si tu es beauf, mais en tous cas tu devrais bien mieux lire ce que tu rapportes !!...

En 2018, Wladimir Palant prétendait que l’on pouvait cracker dans Firefox : https://palant.info/2018/03/10/master-p ... ot-bother/

Qu'il prétende où qu'il réussisse, pourquoi pas, mais il dit bien qu'il faut le mot de passe principal... Sans avoir celui-ci, c'est woualou...

Il est de notoriété publique que le stockage de mots de passe sans définition d'un mot de passe principal équivaut à leur stockage en texte brut.

Extrait de la page.

*****************************

Lui avec son petit logiciel aussi disait la même chose en 2018 : https://github.com/unode/firefox_decrypt

Idem, faut le mot de passe principal !..

Cet outil n'essaie en aucun cas de casser ou de forcer le mot de passe maître de manière brute. Si le mot de passe principal n'est pas connu, il ne réussira tout simplement pas à récupérer les données.

• Ensuite, une invite pour entrer le mot de passe principal pour le profil:
• si aucun mot de passe n'a été défini, n'entrez rien - appuyez simplement sur Return ou Enter
• si un mot de passe a été défini et est connu, entrez-le
• si un mot de passe a été défini et n'est plus connu, vous ne pouvez pas continuer

Extraits de la page.

******************************
https://github.com/AlessandroZ/LaZagne
Celui-ci ne fait pas allusion au mot de passe principal de Firefox, c'est donc qu'il pense les récupérer sans avoir celui-ci (comme énormément d'utilisateurs n'ont pas de MdP principal...)...

***************************
https://github.com/lclevy/firepwd
Celui-ci est intégré au précédent, maintenant...
Et il est dit sur cette page...

Si un mot de passe principal a été défini, fournissez-le à l'aide de l'option -p.

Donc si tu n'as pas ce dernier, tu l'as dans "l'baba"...

**************************
Donc oui, il est possible de récupérer des identifiants dans les logiciels ou simplement ceux du système... Si tu me laisses ton PC en ayant déjà entré le mot de passe de ta session, j'arriverai aussi à trouver les identifiants mémorisés par le système, vu qu'il existe des applications pour le faire* ou des lignes de commandes... Si je ne peux rentrer sur ta session, ça sera bien plus dur...
*En version portable, ça peut s’avérer bien pratique...

C'est bien pour cela que l'on demande aux gens de mettre un mot de passe à leur PC ou session... Et si Mozilla se décarcasse pour mettre une fonction se nommant le mot de passe principal, ce n'est pas pour rien !!

Si tu n'avais pas d'identifiants a tes comptes a la banque, bien des escrocs essayeraient de te piquer tes finances... (cela dit rien n'est impossible...)

************************
Pour revenir Firefox Decrypt, il existe tout simplement pour remplacer la défunte extension Password Exporter qui ne fonctionne plus depuis l'arrivée de Firefox Quantum (version 57).
Et oui, les personnes de ses pages que tu cites, "n'ont rien inventé" en la matière... Password Exporter exporte les identifiants en un fichier crypté ou en un simple fichier texte.
Firefox Decrypt pourrait d'ailleurs intéresser une personne qui veut sortir ses identifiants en clair, si elle passe par ici (ou si j'y retrouve son fil)...

Dans tous les cas, il faut avoir le mot de principal de Firefox et bien sûr avoir l'accès directe au PC... Car les outils présentés ne s'utilisent que directement sur PC.

Et ses outils ne sont pas présentés par leurs auteurs pour démontrer qu'il y a problème, mais simplement pour récupérer soi-même ses identifiants ou les exporter en crypté (tout comme l'extension Password Exporter) , ce qui manque selon certains utilisateurs de Firefox.

***********************
Edit.............Grillé par Alynx (j'ai eu un petit problème qui m'a retardé... )

[Alynx]

Ceci étant dis, je point faible de ce chiffrement ça doit bien être le mot de passe principal.
Pour la plupart des personnes, ils utilisent certainement un mot de passe mémorisable donc plus facile à casser que les mots de passe aléatoires qui sont générés par Lockwise. Un mot de passe principal plus faible que les mots de passe qu'il protège...
(le facteur humain... )

Et récupérant leur programme et en le faisant tourner en boucle avec des dictionnaires, les mots de passe inexistant ou bidon, seraient rapidement cassés

j'y vois plusieurs solutions dont:
-stocker les mots de passe les plus sensibles* hors Lockwise sur un support amovible et crypté chiffré ou sur support papier (mais chiant à recopier avec un bon code)
-recréer soit dans son esprit soit avec une autre interface un mot de passe fort avec plusieurs mots de passe faible, et pas par "addition" mais par "insertion" les uns dans les autres.
exemple: 1: hulk (l'énervé tout vert),2: 16/02/85 (ma fausse date de naissance ),3: potiron (un nom commun au pif)
=> h16lk02po85iron (= un mot de passe plus difficile à trouver pour une attaque par dictionnaire )
psit! je fais un gros clin d’œil aux développeurs de Lockwise sur ce coup là...
-une interface qui serait capable de générer un mot de passe fort à partir d'un mot de passe faible + une empreinte digitale (ami James Bond, bonjour...)

*: banque, mot de passe principal du FAI...

[Alynx]

Dans tous les cas, il faut avoir le mot de principal de Firefox et bien sûr avoir l'accès directe au PC... Car les outils présentés ne s'utilisent que directement sur PC.

Par contre, sur ce point je ne partage pas ton avis.
(enfin si on les modifie avec des "mauvaises" intentions )
l'attaque peut se faire en 2 temps:
-1er temps récupération du fichier crypté chiffré par une intervention physique ou un programme malicieux/cheval de Troie ( skype?? )
-2e temps récupération par le "pirate" et "cassage" du fichier crypté en force brute ou par dictionnaire

[Bob49]

Dans tous les cas, il faut avoir le mot de principal de Firefox et bien sûr avoir l'accès directe au PC... Car les outils présentés ne s'utilisent que directement sur PC.

Par contre, sur ce point je ne partage pas ton avis.
(enfin si on les modifie avec des "mauvaises" intentions )
l'attaque peut se faire en 2 temps:
-1er temps récupération du fichier crypté chiffré par une intervention physique ou un programme malicieux/cheval de Troie ( skype?? )
-2e temps récupération par le "pirate" et "cassage" du fichier crypté en force brute ou par dictionnaire

Oui, mais dans le cas des outils proposé, ils le sont pour être utilisé en lignes de commandes sur les PCs.
Et dans le cas d'un piratage, il faudra que le pirate ajoute des options pour réussir a casser le mot de passe principale !.. Ce qui est bien sur pas impossible...

Après tout est possible...

[Bob49]

Allez ça continue, faut que tu inverses les rôles, tu ne peux pas t'en empêcher !!

Personne n’a parlé de faille dans Lockwise !

Toi si ! Tu devrais relire tous tes messages !

_ D'abord je n'ai pas parlé de faille !! Encore une invention de ta part en tant que troll qui ne sait plus quoi dire d’intelligent !!...

Et au contraire, c'est toi qui évoques le fait qu'il est possible de cracker l'accès aux identifiants ( donc LockWise) donc en ramenant des liens que tu es incapable d'argumenter...

...que l’on pouvait cracker dans Firefox...

Et puis c'est toi qui penses donc que LockWise aurait une faille, puisque tu insistes sur le fait que la question principale est la fiabilité LockWise et d'insister en ramenant ses liens évoquant la possibilité de cracker l'accès aux identifiants...Ce n'est pas moi, bien au contraire.
Liens inutiles qui de plus et qui vont à l'encontre de l'idée que tu veux imposer...

D'ailleurs comment cela se fait-il que tu ne trouves pas d'arguments pour contredire le fait qu'il faille le mot de passe principal pour que les applications des personnes de ses liens, puisse fonctionner jusqu'au bout ! Là tu es incapable de reconnaitre que tu as tort ! Et là, je ne suis pas le seul à avoir remarqué cette erreur, Alynx aussi (même s'il dit avoir un anglais qui laisse à désirer).

De toutes façons, je vais me répéter encore (et bien des personnes pourront le dire ), mais LockWise n'est qu'une interface et quelques codes écrits dans le dur de Firefox, donc ce n'est bien sûr pas celle-ci qui serait cracker, mais les fichiers.

Par contre, LockWise renforce depuis Fx 76 la sécurité vis-à-vis de l'entourage de l'utilisateur où s'il n'y a pas de mot de passe principal, il faut le mot de passe du système d'exploitation (a condition qu'il y en est un aussi... et oui !..) pour accéder aux identifiants.

[Agent virtuel]

Bonsoir

Par contre, LockWise renforce depuis Fx 76 la sécurité vis-à-vis de l'entourage de l'utilisateur où s'il n'y a pas de mot de passe principal, il faut le mot de passe du système d'exploitation (a condition qu'il y en est un aussi... et oui !..) pour accéder aux identifiants.

https://support.mozilla.org/fr/kb/lockw ... t-de-passe

viewtopic.php?f=5&t=143941