Firefox - Passoire à mots de passe

[4art6]

Bonjour,

Il y a quelques semaines j’ai signalé ici des problèmes graves dans la gestion des mots de passe par Firefox.

Il y en a qui ont refusé de croire dans mes propos et les ont mêmes contredits.

Pourtant, pourtant, je persévère pour dire qu’il y a de graves problèmes de gestion des mots de passe par Firefox et ce y compris dans la toute dernière version Windows.

En effet, je me suis amusé (si on peut dire) à supprimer la totalité de mes mots de passe enregistrés dans Firefox.

Après avoir tout supprimé. TOUT

J’ai lancé le programme « Firefox Password Exporter ». Et bien figurez-vous que ce programme m’a restauré la totalité des mots de passe précédemment effacés dans un fichier .CSV
Plus grave encore, après avoir supprimé tous mes mots de passe dans Firefox, j’ai essayé de les importer dans Edge et aussi Chrome.
Et bien ces deux programmes ont restitué l’ensemble des PASSWORDS pourtant supprimés de Firefox.
Je dis bien malgré effacement, ils ont été récupérés dans ces deux navigateurs.

En fait, je suis parvenu à mes fins en allant dans c:\Users\monnom\AppData\roaming\Mozilla\Firefox\Profiles\

Où là j’ai effacé deux fichiers « logins.json » et « logins-backup.json »

À partir de là, j’ai pu restaurer depuis Chrome les PassWords que je désirais conserver.
Tout ça pour réitérer mes propos. Firefox est très mal conçu et un vrai danger pour la sécurité des mots de passe.

J’ai cinq PC’s et bien sûr le même problème était constaté sur toutes les machines.

Particularité, il y a un compte « Firefox » commun pour toutes les machines.

Faites un test sur votre machine et vous verrez que les PassWords effacés réapparaissent avec « Firefox Password Exporter »

Alors pardonnez-moi du peu, mais Firefox est une vraie passoire en matière de sécurité des données.

[bigbernie]

Bonne nuit
FF enregistre les passwords dans 2 fichiers differents
key4.db et logins.json
Lorsqu'on supprime classiquement les passwords FF en conserve un double.
Ca a un avantage. En cas d’erreurs on peut toujours recupérer ce qu'on a efface.

Il existe des utilitaires prévus justement pour recuperer les passwords perdu ou effaces
Par exemple

récupération mot de passe firefox
XenArmor Social Password Recovery Pro

A+

[mazda1]

je persévère pour dire qu’il y a de graves problèmes de gestion des mots de passe par Firefox et ce y compris dans la toute dernière version Windows.

salut ,
linux / FF-esr102

Je ne comprends pas ce que la version de Windows a à voir avec la gestion des mdp par FF .

Par contre comme je fais confiance à FF pour gérer mes mots de passe et même si je n'utilise pas Windows ça m'intrigue .

• je viens de tester la fonction exporter et pour la réaliser j'ai besoin de fournir mon mdp principal ce qui me semble être une protection suffisante . Évidemment s'il n'y a pas de mdp principal là il y a un grave problème puisque les mdp exportés apparaissent en clair

• ceci étant dit c'est vrai que supprimé devrait signifier "dont l'existence est terminée" ce qui apparemment n'est pas le cas , au moins dans Windows

Je vais quand même me renseigner plus avant sur ce que je qualifierai d'anomalie , mais je n'imagine pas Mozilla ne pas être au courant de la situation et il est probable que le remède , pour eux pas pour moi , est simple à mettre au point , alors pourquoi ? Sûr qu'il y a une raison sous-jacente . La récupération suite à une erreur ? Hum ... normalement la sauvegarde des informations sensibles est une seconde nature pour un utilisateur de l'informatique , non ? Alors plutôt que de ne pas réellement supprimer ce qui devrait l'être pourquoi ne pas faire apparaître une pop-up avec un avertissement du type " attention vous allez supprimer des données sensibles , nous vous conseillons de réaliser une sauvegarde de votre profil " et on supprime ; réellement . Non ?

[Bob49]

Salut

Firefox Password Exporter

Logiciel ou extension ? Adresse Web ?

Est-ce que ce logiciel ou extension était installé lors de la suppression des identifiants ?

restauré la totalité des mots de passe précédemment effacés dans un fichier .CSV

Il suffit pas de les supprimer dans un seul fichier !!! Il faut les supprimesupprimer depuis l'interface de Firefox, c'est le mieux et le plus efficace !!...

Perso, si je supprime les identifiants d'un profil soi par l'interface, soi en virant les fichiers, aucun autre navigateur ne peut importer des identifiants de Firefox... En tout logique !

Bien évidemment, je n'ai pas "Firefox Password Exporter" ... Peut-être que c'est ce programme qui sauvegarde les identifiants !

Alors pardonnez-moi du peu, mais Firefox est une vraie passoire en matière de sécurité des données.

Cela dit, ton test n'est pas clair et bien expliqué !

[lool_lauris]

Salut,

Alors j'ai fait des essais avec des profils de test, sous Linux et sous win7 et je ne réussis pas à reproduire ce que tu avances. J'ai installé la même appli que toi, FF Password Exporter (enfin j'espère que c'est la même que ce que tu indiques mais comme tu n'as fourni aucun lien...) et j'ai créé plusieurs identifiants et mots de passe :
1/ j'obtiens un fichier .csv dans lequel je retrouve bien les identifiants et mdp créés.
2/ je supprime l'intégralité de ces identifiants et mdp via l'option "Supprimer tous les identifiants" dans about:logins (il est d'ailleurs demandé de confirmer la suppression via une check box).
3/ j'exporte les identifiants et mdp via FF Password Exporter et j'obtiens un fichier .csv de 0 (zéro) octets, soit un fichier vide.

Je n'ai pas compris ce que tu as fait avec les fichiers logins.json & logins-backup.json. D'ailleurs, après suppression des identifiants et mdp, le fichier logins-backup.json n'existe plus et le fichier logins.json qui pesait 3 Ko avant suppression des identifiants et mdp, ne pèse plus que 111 octets.

Il serait bon que tu décrives très précisément comment tu pratiques afin que l'on puisse reproduire !

PS : dans ta précédente discussion que tu cites ( viewtopic.php?p=943133#p943133 ), tu n'as pas daigné donner de suite aux intervenants qui t'ont répondu. J'espère que ce coup-ci tu répondras à nos interrogations (sinon on pourra prendre tes interventions pour de l'infox).
Merci.

[4art6]

Bonjour,
Depuis que j'ai supprimé les fichiers logins.json & logins-backup.json sur les cinq machines incriminées qui toutes étaient avec le même compte Firefox, le problème ne se reproduit plus.
C'est donc du côté du compte Firefox que je pense que le problème se situe.
Parce qu'après avoir supprimé manuellement les PassWords sur une machine et en activant la synchronisation sur une autre, les anciens mots de passe apparaissaient encore et n'avaient été effacés par la synchro.
Donc, j'ai désactivé le compte Firefox et là PLUS de problème.
Voilà !

[Bob49]

Salut

C'est donc du côté du compte Firefox que je pense que le problème se situe.
Parce qu'après avoir supprimé manuellement les PassWords sur une machine et en activant la synchronisation sur une autre, les anciens mots de passe apparaissaient encore et n'avaient été effacés par la synchro.
Donc, j'ai désactivé le compte Firefox et là PLUS de problème.

Ce n'est pas vraiment un problème… Je pense qu'il faut forcer la synchronisation depuis le profil où tu fais la suppression, pour que les identifiants soit supprimé sur tous les appareils que tu utilises…

Si tu supprimes d'un bout, sans effectuer aussitôt la synchronisation et que tu relances plus tard le Firefox d'où tu as effectué la suppression... Les identifiants vont ré-apparaître… Je suppose que là est ton problème (Je n'utilise pas Sync\compte) !

Bref, si l'on utilise la synchronisation des mots de passe, il faut que la suppression se fasse sur tous les appareils.

[lool_lauris]

OK, ce n'est donc pas un problème lié à la sécurité des mots de passe mais c'est en fait lié à l'utilisation de l'outil de synchronisation. Cet outil est assez puissant et nécessite de bien comprendre son utilisation, ce qui n'est pas spécialement évident il faut l'avouer.

Mazda1 qui, après lecture de ton 1er post, s'interrogeait sur la fiabilité et la sécurité des identifiants et mdp, peut donc être rassuré.

[mazda1]

OK, ce n'est donc pas un problème lié à la sécurité des mots de passe mais c'est en fait lié à l'utilisation de l'outil de synchronisation. Cet outil est assez puissant et nécessite de bien comprendre son utilisation, ce qui n'est pas spécialement évident il faut l'avouer.

tellement peu évident en ce qui me concerne , que je l'ai abandonné au profit de l'outil rsync qui fait très bien son boulot et en toute clarté . Faut dire que je n'utilise pas mon mobile pour naviguer , donc rien à synchroniser de ce côté là .

Mazda1 qui, après lecture de ton 1er post, s'interrogeait sur la fiabilité et la sécurité des identifiants et mdp, peut donc être rassuré.

Ouf ! même si je me doutais bien que Mozilla ne pouvait pas laisser planer une telle incertitude sur l'état réel d'une suppression de mots de passe . Re-ouf !

[bigbernie]

A propos de suppressions qu'on croit effectives je vais citer le comportement des Iphones. Pas mieux que Mozilla et les passwords toujours inscrits quelque part.

Dans certains endroits a risque on doit désactiver, que ca soit sur I Phone ou Android, Blutooth et Wifi

Bluetooth fait partie de ces technologies en vogue qui sont poussées par les fabricants, implémentées dans beaucoup d'équipements mais relativement peu comprises ou adoptées par la masse. Les enjeux sécuritaires sont grandement sous-estimés, les menaces ignorées et l'éducation autour du sujet quasi-inexistante:

IPhone a un centre de controle pour ca. On désactive en décochant. Avec Android c'est bien désactive a donf.
Mais pas avec IPhone. On décoche et ca continue. Peu d'utilisateurs le savent.

Apple assume.

Le but est de rendre le Wi-Fi et le Bluetooth toujours accessibles par des fonctions indispensables à un fonctionnement normal d’iOS et iPadOS, AirDrop, AirPlay, le partage de connexion, l’Apple Pencil, l’Apple Watch, ou encore les services de localisation, par exemple.
Il est toutefois possible de désactiver complètement le Wi-Fi et le Bluetooth. Il faut simplement savoir comment faire,

mazda s’inquiétait a juste titre du dédoublage ou detriplage ( avec les synchros) des passwords Firefox.
Avec Iphone de quoi s'inquiter aussi.

On efface les pass Firefox et ils existent encore ailleurs
On décoche BT et WiFi des Iphones, ça affiche désactivé et ils continuent secrètement.

Excusez ce petit un peu HS mais c'est pour la bonne cause.

[lool_lauris]

On efface les pass Firefox et ils existent encore ailleurs

Non, c'est faux !
Par contre, si on utilise la synchronisation, il faut prendre garde de savoir ce qui est synchronisé... d'autant plus si on utilise plusieurs machines (PC, téléphone, tablette, etc...).

[bigbernie]

Bien sur
Mais pour utilisateur lambda ou bien tout simplement pas au courant, pas évident de faire les differences entre les divers modes d'effacement
Il y a l'effacement anéantissement, annihilation ou atomisation. Tu effaces ton password et il est supprime de l'univers.
Ou bien comme tu as si bien dit...sauf si.......
Pareil pour énormément de choses en informatique. C'est incertain.
Si j'atomise mon smartphone, avec le nouveau pas besoin de tout réinstaller. Je vais tout récupérer...ailleurs. Sur le web.
Si j'efface mon HD, ca va pas le faire. Il me faudra utiliser un logiciel qui va effacer 7 fois en permutant les bits pour etre certain que le fisc ne pourra plus rien trouver dedans !
Etc

En informatique "supprimer" n'a pas de sens impératif. Anéantir ou bien permettre de retrouver ça qq part a condition que......

A +

[mazda1]

Par contre, si on utilise la synchronisation, il faut prendre garde de savoir ce qui est synchronisé... d'autant plus si on utilise plusieurs machines (PC, téléphone, tablette, etc...).

rsync -a /source /cible(s) --delete (avec ou sans option) devrait faire le taf , non ? Enfin .... pour tous les appareils qui reconnaissent cet outil .

[4art6]

Bonjour,

Ayant aussi sur mes machines Chrome avec synchro, et aussi Edge et synchro aussi envers 5 machines. Les problèmes que je rapportent avec les mots de passe et Firefox ne se sont JAMAIS, JAMAIS produit avec les navigateurs cités.

Seul Firefox pose les problèmes que j'ai rapporté et sont bien sûr GRAVISSIMES.

Désolé si ça vexe ou frustre certains ici, mais les problèmes sont bien réels.

Il n'est pas normal de devoir se connecter sur tous ses PC's (Avec compte Firefox) pour retirer un à un les Passwords que l'ont désire supprimer, surtout quand on a activé la synchronisation envers toutes ses machines et que la synchro réactive les Passwords supprimés.

J'ai supprimé avec Firefox 37 Passwords passant de 117 à 80 Passwords enregistrés, Firefox me les tous remis. TOUS

J'ai pas rêvé.

J'ai quarante ans de pratique de l'informatique et je n'ai jamais vu une telle incompétence dans la gestion des mots de passe.
JAMAIS.

Le pire c'est qu'ici certains prétendent que mes assertions sont des Infox, je suis désolé ce que je dis est vrai, même si ce programme est votre navigateur préféré.

Si des MILLIONS d'utilisateurs fuient ce navigateur ce n'est pas sans raisons.

Je continue de l’utiliser pour de simples raisons de graves problèmes de santé visuelle.

Firefox me permettant de choisir les fonds et couleurs de caractères des sites visités (En forçant les sites visités à respecter mes choix), ce que je ne sais pas faire avec Edge et Chrome. Mais ça va venir quand je rechercherai comment faire.

Bonne soirée.

[4art6]

Rappelez-vous aussi et j'en ai été victime il y quatre ou cinq ans l'entreprise à l'origine de la création de ce soft avait oublié de renouveler un certificat plongeant des millions, MILLIONS d’utilisateurs avec l’impossibilité d'utiliser le navigateur. Ou tu du moins toutes TOUTES les extensions étaient devenue inopérantes.

Il est des choses qu'on n'oublie pas...!