Firefox - Synchonisation

erresse · Le 03/04/2023, à 11:20

Je ne pensais pas déchaîner une telle tempête de controverses en posant ma question...
Je m'en excuse platement auprès de l'auteur de la conversation que ça ne doit pas aider beaucoup, du coup.
Quant moi, je vais suivre la suggestion de Cœur Noir et retourner dans mon 20.04 faire une réparation de FF, on verra bien ce que ça donne, et ça ne saurait faire de mal. Je reviendrai poster ici le résultat et clore mon intervention sur le sujet.
Merci à tous et à bientôt !

Coeur Noir · Le 03/04/2023, à 12:12

@beuguissime

Tu fais bien de le mentionner car je ne l'ai pas précisé ! ( je corrige ).
À noter que c'est le même fonctionnement pour les « Trousseaux de clés » ( seahorse, kwallet… ) voire pire :
ici pas de mot de passe maître = mots de passe stockés en clair - ce qui devrait inquiéter les gens en login de session automatique…

Avec le bon outil, il est déchiffré sans effort en moins d'une seconde.
Avec les bons outils on finit souvent par arriver à ses fins, il n'y a pas de solution à jamais infaillible.
Et si une personne illégitime accède ( physiquement ) à un ordinateur allumé, forcément, y'a plus grand' chose qui protège…

Dernière modification par Coeur Noir (Le 03/04/2023, à 12:13)

Qid · Le 03/04/2023, à 12:37

Coeur Noir a écrit :

À noter que c'est le même fonctionnement pour les « Trousseaux de clés » ( seahorse, kwallet… ) voire pire :
ici pas de mot de passe maître = mots de passe stockés en clair - ce qui devrait inquiéter les gens en login de session automatique…

Perso même sans cet argument je n'ai jamais cautionné les login auto... D'ailleurs quand je fais des installations je ne laisse même plus le temps au public de se poser la question de cocher ou non la case...

Coeur Noir · Le 03/04/2023, à 12:51

@B_Peter

C'est parti un peu en hors-sujet ou disons sujet connexe à partir du message #8.

En lisant jusqu'au #7 ça devrait répondre à ton interrogation initiale.

erresse · Le 03/04/2023, à 13:05

Re,
En fait, je pense que c'est lool_lauris qui avait subodoré le souci, et je suis confus de la... confusion que j'ai engendrée.
La demande de mot de passe dans le FF de mon 20.04 vient tout simplement du fait que j'ai activé le mot de passe principal dans les options de sécurité, ce que je n'avais bêtement pas fait dans les autres versions de système installées.
Du coup les Firefox de ces versions, quelle qu'en soit l'origine, ne demandaient pas de mot de passe voilà tout !
En fait, la notion de mot de passe principal n'est pas synchronisée entre les différents FF (c'est expliqué dans l'aide concernant ce mot de passe principal, mais je l'avais zappée).
Donc, j'ai lancé tout le monde sur une fausse piste et la synchronisation, qui fonctionne par ailleurs très bien, n'a strictement rien à y voir !!! Désolé !
Je me retire de la discussion (sur la pointe des pieds pour ne pas me faire remarquer d'avantage).

beuguissime · Le 03/04/2023, à 20:41

à Coeur noir

désolé mais ton ajout dans le message 24 ne me paraît pas suffisamment explicite.

Coeur Noir a écrit :

Chiffrement rendu beaucoup plus robuste lorsqu'un mot de passe maître est utilisé

Sans mot de passe-maître et en supposant un accès au profil Firefox, tout se passe comme s'il n'y avait pas de chiffrement. Certes, techniquement, le mot de passe apparaît chiffré dans la base de données du fichier logins.json mais d'un point de vue sécurité, on doit faire comme s'ils étaient toujours en clair car les déchiffrer ne demande aucune connaissance secrète dès lors que l'attaquant a accès à logins.json, key4.db et cert9.db.

Alors ta phrase est techniquement juste mais je trouve qu'elle laisse penser que le chiffrement sans mot de passe-maître pourrait être satisfaisant. Ce n'est pas tout à fait le cas: sans mot de passe-maître, Firefox fait au mieux de l'obfuscation lorsque l'attaquant a accès à logins.json, key4.db et cert9.db. C'est le degré zéro de la protection.

Par contre si l'attaquant ne récupère que logins.json, alors il ou elle sera bloquée.

Quand je dis "avec le bon outil, on peut déchiffrer le fichier key4.db logins.json sans effort", c'est littéralement ça. Il ne s'agit pas ici de chercher une faille quelconque. L'outil pour déchiffrer la base de mots de passe Mozilla existe déjà et sans mot de passe-maître, il n'y a pas à ce casser la tête pour l'exécuter. Mais à nouveau, même sans cet outil, il suffit de lancer Firefox et d'aller lire les mots de passe du gestionnaire.

Edit: je me rends compte que je me suis planté dans les noms de fichiers et dans ce qui est nécessaire. J'avais regardé le détail de l'histoire il y a trop longtemp.. C'est logins.json qui contient les mots de passe chiffrés et c'est key4.db qui contient le mot de passe-maître. Je corrige mon autre message. Il faut trois fichiers pour exploiter la base de mots de passe: logins.json, key4.db et cert9.db.

Edit 2: Le mot de passe-maître "vide" est vraisemblablement initialisé à chaque création de profil. Ce qui fait qu'on ne peut pas coller simplement le logins.json (sans mot de passe-maître) dans un autre profil Firefox construit sans mot de passe-maître et espérer l'exploiter dans ce nouveau profil. Il faut donc trois fichiers (logins.json, key4.db et cert9.db) pour lire les mots de passe du gestionnaire de Firefox même lorsqu'aucun mot de passe-maître n'a été défini.

Dernière modification par beuguissime (Le 04/04/2023, à 08:24)

Coeur Noir · Le 04/04/2023, à 03:44

Si, si, c'est suffisant ;-)

C'est passionnant de regarder tout ça d'un point de vue « informatique », comment fonctionne le chiffrement, quels sont les fichiers impliqués, etc.
Note au passage que Firefox te permet de comprendre ce mécanisme, et donc de savoir où « placer » des verrous.
Maintenant faut le traduire en termes « humains ».

Je suis l'humain A.
J'ai une session utilisateur A dans mon OS.
Dans cette session j'ai un Firefox dont le profil par défaut concerne A, sans mot de passe maître.
Quand je lance Firefox, il déchiffre l'accès aux mots de passe contenus dans le profil de A.
Je fais ma tambouille, je quitte Firefox puis je m'absente quelques minutes pour… qu'importe.

Là si un humain B se pointe devant cette session - physiquement ou à distance - et qu'il ouvre Firefox, il utilise alors mon profil A, depuis ma session dans l'OS, et les mots de passe de FF seront déchiffrés dès le lancement de ce Firefox ( puisque pas de mot de passe maître ).

Dans cette description d'une banalité confondante, où sont les failles de sécurité ?
Pas dans le fait que les mots de passe soient chiffrés ou pas, ni même dans l'absence d'un mot de passe maître…
…mais dans le fait qu'on ne sait pas dans quel état j'ai laissé l'ordi pendant mon absence : allumé ? connecté à ma session ? sans verrouillage d'écran ?

Le chiffrement pour qu'il apporte un quelconque bénéfice implique que les autres mécanismes de sécurité ( même très ) basiques soient là au préalable.
Sinon il ne sert à rien.

On est limite hors du sujet initial, comme là.

Dernière modification par Coeur Noir (Le 04/04/2023, à 03:55)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 03/04/2023, à 11:20

Re : Firefox - Synchonisation

#27 Le 03/04/2023, à 12:12

Re : Firefox - Synchonisation

#28 Le 03/04/2023, à 12:37

Re : Firefox - Synchonisation

#29 Le 03/04/2023, à 12:51

Re : Firefox - Synchonisation

#30 Le 03/04/2023, à 13:05

Re : Firefox - Synchonisation

#31 Le 03/04/2023, à 20:41

Re : Firefox - Synchonisation

#32 Le 04/04/2023, à 03:44

Re : Firefox - Synchonisation

Pied de page des forums