Utilisation du master password avec Firefox

12/06/2017 Mickael Dorigny 1 commentaire

Sommaire

I. Présentation
II. Qu'est ce qu'un mot de passe principal (Master Password)
III. Mise en place du master password
IV. Utilisation courante
V. Pour aller plus loin

I. Présentation

Dans cet article, nous allons étudier la mise en place et l'utilisation d'un mot de passe principal (master password) sous Firefox. Comme vous le savez certainement, Firefox propose depuis bien longtemps une fonctionnalité appellée Password Manager permettant aux utilisateurs de sauvegarder leurs identifiants et mots de passe pour leurs sites web favoris.

Le fonctionnement de ce Password Manager est de proposer, à la suite de la soumission d'un formulaire d'authentification, l'enregistrement des identifiants soumis pour un remplissage automatique la prochaine fois que l'utilisateur visitera cette page d'authentification. Il s'agit d'une fonctionnalité bien pratique car elle évite d'avoir à saisir constamment ses identifiants.

Cependant, cette fonctionnalité met les identifiants des utilisateurs en danger car ceux-ci se retrouvent enregistrés sur le disque presque sans protection. En effet, lorsqu'un attaquant infecte un poste utilisateur, le déchiffrement des mots de passe enregistrés dans le Password Manager devient trivial.

J'expose plus en détails ce type d'attaque dans cet article, ainsi que l'utilisation d'un outil prévu à cet effet (firefox_decrypt) : Firefox et le stockage des identifiants web

Comme vous pourrez le voir dans cet article, il est trés facile de lire les mots de passe enregistrés dans un Password Manager Firefox. Afin d'éviter cela, il est recommandé par Firefox d'utiliser un "Master Password", un "anneau pour les gouverner tous", en quelque sorte.

II. Qu'est ce qu'un mot de passe principal (Master Password)

Bien ! Nous allons donc nous pencher sur la mise en place d'un Master Password sous Firefox pour sécuriser notre Password Manager.

Le principe est simple, à chaque fois que l'utilisateur aura besoin d'accéder au Password Manager, pour le modifier où lire son contenu, il devra saisir son mot de passe principal (Master Password). Ainsi, Firefox pourra être certains qu'il s'agit bien du propriétaire du Password Manager, et non d'un attaquant ayant volé la base du Password Manager, ou encore un voisin qui profite d'une session non verrouillée.

Egalement, le mot de passe principal permettra de chiffrer les identifiants contenus sur le disque avec une clé non stockée sur le disque (qui est justement le mot de passe principal lui même), ce qui augmente le niveau de sécurité des identifiants stockés.

III. Mise en place du master password

Rendez-vous donc dans Firefox, et plus précisément dans la partie "Options" :

Il faut ensuite se rendre dans "Sécurité" et cocher la case "Utiliser un mot de passe principal" :

Activation du mot de passe principal (Master Password) dans Firefox

Il vous sera alors demandé de saisir votre mot de passe principal (Master Password) :

Initialisation du mot de passe principal (Master Password)

Et voila ! Votre Master Password est configuré. 🙂

IV. Utilisation courante

L'utilisation courante est plutôt simple à comprendre. Le mot de passe principale (Master Password), vous sera demandé à chaque fois que vous souhaiterez modifier ou lire une information à l'intérieur de votre Password Manager. Si vous avez enregistré vos identifiants pour le site deezer.com, alors le mot de passe principal vous sera demandé dés l'accés à la page d'authentification de deezer.com. L'intéret est triple :

vous n'avez besoin de vous souvenir que d'un seul mot de passe qui est le Master Password ;
vous pourrez appliquez sans contrainte la mesure de sécurité qui consiste à utiliser un mot de passe différent pour chaque accés ;
les mots de passe stockés sur votre système sont maintenant chiffrés et un attaquant aura plus de mal à les consulter.

Voici la demande de saisie du mot de passe principal lorsqu'un utilisateur souhaite enregistrer un nouveau mot de passe par exemple :

En suivant la même procédure que celle exposée dans le chapitre III, vous pourrez modifier le mot de passe principal si nécessaire.

V. Pour aller plus loin

Au sein d'une entreprise, les utilisateurs utilisant le Password Manager Firefox sont soumis aux mêmes dangers. Pire encore, ils peuvent y enregistrés les identifiants qu'ils possèdent sur le domaine, si un site web interne à l'entreprise utilise les identifiants Active Directory par exemple.

Ainsi, il est intéressant pour aller plus loin dans cette démarche de sécurisation, d'étudier la question des GPO pour Firefox afin d'empêcher les utilisateurs d'utiliser ce Password Manager, où, de forcer l'utilisation d'un Master Password tel que vu dans cet article.

Egalement, je vous recommande de vous pencher sur la note technique rédigée par L'ANSSI qui traite du déploiement sécurisé de Firefox en entreprise : Recommandations pour le déploiement sécurisé du navigateur Mozilla Firefox sous Windows

Mickael Dorigny Co-founder

Co-fondateur d'IT-Connect.fr. Auditeur/Pentester chez Orange Cyberdéfense.

See Full Bio

1 commentaire sur “Utilisation du master password avec Firefox”

Yann

28/02/2018 à 13:06

Top merci pour l’info je ne connaissais pas l’option, j’ai désormais sécurisé ma banque de MDP avec le MasterPassword, merci IT Connect !
Répondre