Le mot de passe principal de Mozilla et Thunderbird sert à chiffrer chaque chaîne de caractères que l’utilisateur sauvegarde dans son navigateur ou dans un client email en tant que mot de passe. Il suffit que l’utilisateur l’active et, dans ce cas, les mots de passe ne sont plus stockés en clair sur le disque dur, un état de choses qui apporte un plus certain en matière de sécurité.
Wladimir Palant a partagé ses trouvailles après une inspection du code source et a trouvé que malgré l’activation de la fonctionnalité, un attaquant peut quand même retrouver le mot de passe principal sans trop suer. « Je suis tombé sur la fonction sftkdb_passwordToKey() utilisée pour la conversion d’un mot de passe [de site Web] en clé de chiffrement au travers de l’application d’une fonction de hachage SHA-1 […] », a-t-il écrit. À côté du fait que ce soit SHA-1 qui soit utilisé, l’auteur de la célèbre extension antipub a relevé que la fonction n’était appliquée qu’une fois dans le processus de chiffrement. En comparaison, une solution comme LastPass procède à l’application d’une telle fonction des centaines de milliers de fois.
Le faible nombre d’itérations rend une attaque extrêmement aisée à réaliser pour déchiffrer le mot de passe principal et par la suite tous ceux qui ont été stockés dans le navigateur. D’après les chiffres rapportés par Palant, une carte graphique Nvidia GTX 1080 permet de calculer 8,5 milliards de hash par seconde, une puissance de calcul largement suffisante pour retrouver un mot de passe 40 bits en une minute.
Palant n’est pas le premier à relever ces faiblesses. Un contributeur du nom de Justin Dolske a fait les mêmes constats et les a consignés dans la liste de diffusion de bogues il y a neuf ans. Ce dernier avait alors suggéré à l’équipe Mozilla de revoir le nombre d’itérations à la hausse pour une meilleure protection. Ce n’est qu’avec le rapport de Palant que les équipes de Mozilla ont décidé d’apporter réponse à ce problème. Elles travaillent sur une extension dénommée Lockbox. Actuellement au stade d’Alpha, elle est présentée par l’entreprise comme le successeur du gestionnaire intégré de mots de passe. Le test de l’extension est possible sur le canal nightly de Firefox.
Sources
Billet Palant
Bugzilla
Votre opinion
En attendant que la nouvelle extension soit finalisée quelles recommandations donneriez-vous à un profane pour l’aider à se prémunir d’une éventuelle fuite de mots de passe ?
Voir aussi
Mozilla déploie un second correctif pour colmater une faille découverte sur Firefox lors du concours Pwn2Own