5Jul
L'un des outils les plus pratiques offerts par les navigateurs est la possibilité de sauvegarder et de pré-remplir automatiquement vos mots de passe sur les formulaires de connexion. Parce que tant de sites requièrent des comptes et qu'il est bien connu( ou devrait l'être au moins) que l'utilisation d'un mot de passe partagé est un gros non-non, un gestionnaire de mot de passe est presque essentiel.
Donc, si vous êtes un utilisateur IE et répondez "oui" pour permettre au navigateur de se souvenir de votre mot de passe, quelle est la sécurité de cette information?
Où sont-ils sauvegardés?
A partir d'Internet Explorer 7, les mots de passe sont stockés dans le registre système( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) et chiffrés par rapport au mot de passe de l'utilisateur Windows utilisant l'API Data Protection qui utilise le cryptage Triple DES.
Quelle est la sécurité de ces données?
Au moment d'écrire ces lignes, Triple DES est pratiquement incassable par des méthodes de force brute. Cependant, il n'est vraiment pas nécessaire de forcer le cryptage une fois que vous êtes connecté au compte Windows où vos données de mot de passe sont stockées car Windows suppose qu'une fois connecté, les applications peuvent accéder à ces données en toute sécurité.En conséquence, IE n'utilisant pas de mot de passe principal( tel que celui proposé par Firefox) pour protéger ses mots de passe enregistrés, le mot de passe du compte Windows correspondant est la clé de décryptage Triple DES.
Autrement dit, si vous pouvez vous connecter à Windows avec le compte et le mot de passe, vous pouvez voir les mots de passe du navigateur enregistrés. En utilisant un utilitaire disponible gratuitement tel que IE PassView de NirSoft, vous pouvez afficher et exporter chaque mot de passe IE enregistré.
Donc, les logiciels malveillants peuvent-ils accéder à cela?
Après avoir vu à quel point il est facile d'accéder à ces données, la prochaine question logique est de savoir si les malwares peuvent facilement accéder à ces données. Je ne suis pas un développeur de logiciels malveillants, mais je ne vois aucune raison pour laquelle il ne pourrait pas. Si je scanne l'utilitaire IE PassView à l'aide de Total Virus, vous pouvez voir que 55% des scanners qu'ils utilisent détectent qu'il s'agit d'un logiciel malveillant( dont Security Essentials).
Alors que dans notre cas, le résultat est un faux positif, cela montre qu'il est possible qu'un maliciel accède à ces données non détectées même lorsque le système fonctionne avec un anti-virus. De plus, étant donné que les données chiffrées sont spécifiques à l'utilisateur, aucune invite de l'UAC ne sera déclenchée par une application essayant d'accéder à ces données. Avant de penser que c'est une faille dans le système d'exploitation, c'est vraiment la façon dont il doit être autrement IE et une foule d'autres applications Windows qui utilisent le stockage protégé déclencherait une invite UAC chaque fois qu'ils ouvrent.
Que faire si mon ordinateur est volé?
La réponse simple est que ces données sont aussi sécurisées que le mot de passe de votre compte Windows. Comme nous l'avons montré ci-dessus, lorsque vous vous connectez au compte en utilisant le mot de passe approprié, toutes ces données sont facilement accessibles. Si vous n'utilisez pas de mot de passe, vous n'avez aucune protection.
Pour aller un peu plus loin, j'ai fait une réinitialisation du mot de passe du compte pour voir ce qui se passerait si le mot de passe était modifié de force en dehors de Windows. Après la réinitialisation, j'ai enregistré un nouveau mot de passe d'adresse Gmail( blah @) et j'ai lancé IE PassView. J'ai pu voir le nom d'utilisateur précédent( myemail @) qui a été sauvegardé avant la réinitialisation du mot de passe, mais comme les mots de passe du compte( "master password") utilisés pour enregistrer les données sont différents, il n'a pas pu déchiffrer l'IEmot de passe enregistré sous le mot de passe du compte Windows précédent. C'est vraiment une bonne chose.
Conclusion
À la fin de la journée, la sécurité de vos mots de passe IE enregistrés dépend totalement de l'utilisateur:
- Utilisez un mot de passe de compte Windows très fort. Gardez à l'esprit qu'il existe des utilitaires capables de déchiffrer les mots de passe Windows. Si quelqu'un obtient le mot de passe de votre compte Windows, il a accès à vos mots de passe IE enregistrés.
- Protégez-vous contre les logiciels malveillants. Si les utilitaires sont en mesure d'accéder facilement à vos mots de passe enregistrés, pourquoi ne pas les logiciels malveillants?
- Enregistrez vos mots de passe dans un système de gestion de mot de passe tel que KeePass. Bien sûr, vous perdez la commodité d'avoir le navigateur remplir automatiquement vos mots de passe.
- Utilisez un utilitaire tiers qui s'intègre à IE et utilise un mot de passe principal pour gérer vos mots de passe.
- Cryptez votre disque dur entier en utilisant TrueCrypt. Ceci est complètement optionnel et pour l'ultra protection, mais si quelqu'un ne peut pas décrypter votre disque, ils peuvent sûrement en tirer quelque chose.
Bien sûr, ces deux choses vont de soi, mais cela ne fait que renforcer l'importance de prendre des mesures pour assurer la sécurité de votre système.
Télécharger IE PassView à partir de NirSoft