Si vous stockez vos mots de passe dans Firefox et que vous les chiffrez au moyen d’un mot de passe maître (MPM), sachez que le niveau de sécurité est moins élevé qu’avec un gestionnaire en bonne et due forme comme KeePass ou Lastpass. Le développeur Wladimir Palant, qui a notamment créé AdBlock Plus, a récemment jeté un œil dans le code source du navigateur. Il a découvert que ce MPM n’est que faiblement protégé. Pourquoi ? Car il n’est haché que de manière simple, à l’aide de l’algorithme SHA1 et d’un sel cryptographique.

Si le mot de passe n’est pas long, ni très complexe, un pirate qui a accès à l’ordinateur peut alors assez facilement le retrouver par force brute, par exemple au travers d’une carte graphique. « Les GPU sont extrêmement performants pour calculer des hash SHA1. Une seule carte Nvidia GTX 1080 peut calculer 8,5 milliards de hash SHA1 par seconde », rappelle Wladimir Palant. Un mot de passe avec une entropie de 40 bits est ainsi cassé en l’espace d’une minute.

Un problème faiblement prioritaire

Cette vulnérabilité – qui concerne également la messagerie Thunderbird – est assez bête car elle est simple corriger. Il suffirait de remplacer SHA1 par un algorithme dédié au stockage de mots de passe comme PBKDF2, Scrypt ou Bcrypt, qui appliquent un nombre élevé d’itérations de hachage ou de chiffrement pour justement empêcher les attaques par force brute. Lastpass, par exemple, utilise PBKDF2 avec 100.000 itérations de SHA256.

Ce qui est étrange, c’est que cette faille a déjà été notifiée… il y a neuf ans. Il suffit, pour s’en rendre compte, de consulter les fiches 524403 et 973756 du logiciel de suivi de faille Bugzilla. Les développeurs n’ont pas réussi à se mettre d’accord ne serait-ce que sur l’importance à accorder à ce sujet de ce sujet. Certains pensent, en effet, qu’à partir du moment où un pirate accède à l’ordinateur, c’est déjà trop tard. En même temps, remplacer l’algorithme serait assez simple. D’autres encore estiment encore que le problème sera résolu de toute manière avec Lockbox, un gestionnaire de mot de passe créé par Mozilla sous forme d’une extension Firefox. 

Cet article a été importé d’un feed RSS, cliquez-ici pour voir l’article original