La sécurité des fonctions de synchronisation de Chrome et Firefox épinglée

Stéphane Moussie |

Peut-on avoir confiance dans les fonctions de synchronisation de Chrome et Firefox pour retrouver ses mots de passe et autres données de navigation sur tous ses appareils de manière sécurisée ? Wladimir Palant répond par la négative.

Ce développeur qui a notamment créé Adblock Plus (il n’est plus impliqué dans son développement depuis un moment) a trouvé des faiblesses dans les systèmes de synchronisation proposés par Google et Mozilla.

Pour commencer, celui de Chrome n’impose pas la création d’une phrase secrète chiffrant les données de telle sorte que même Google ne puisse pas lire les données.

Mais même si vous paramétrez une phrase secrète, il apparaît que les techniques de chiffrement et de salage (PBKDF2-HMAC-SHA1) utilisées ne sont pas les plus fortes qui soit. Si un malandrin parvenait à dérober les données de synchronisation des serveurs de Google — ce qui n’est sûrement pas une mince affaire, tout de même —, il pourrait les déchiffrer en quelques jours seulement, voire moins, avec un ordinateur classique, selon Wladimir Palant.

Du côté de Firefox Sync, la faiblesse tient dans le fait qu’une partie du chiffrement est réalisée côté serveur, or quelqu’un qui se placerait entre le client et le serveur pourrait deviner relativement facilement les mots de passe. Le développeur a notifié Google et Mozilla de ces risques qui ne sont pas immédiats, mais qui remettent en cause la confiance que l’on peut placer en eux.

Et Safari ? Wladimir Palant n’a pas étudié la fonction de synchronisation du navigateur d’Apple qui exploite iCloud. Les mots de passe sont synchronisés dans le Trousseau iCloud qui est chiffré de bout en bout et qui ne peut donc être lu par Apple. Le Trousseau est chiffré en AES 256-bits, un algorithme réputé fort.

avatar ovea | 

Peut-on utiliser le trousseau sans iCloud ?

avatar C1rc3@0rc | 

Ovea
«Peut-on utiliser le trousseau sans iCloud ?»

A priori oui, mais il faut redoubler de vigilance avant d’entrer des mots de passe dans un nouvel appareil (ou lors d’une réinstallation - et faire attention lors des mises a jour de l’OS) et bien désactiver toutes les synchronisations - dont le backup - et cela avec tous ses appareils

Depuis le début je répète qu’il ne faut jamais permettre a des données sensibles de se retrouver sur le cloud.
On a ici une démonstration de plus de ce que j’affirme depuis toujours: une données dans le cloud c’est une donnée qui doit être considérée comme publique!!!

Il faut noter que Chrome et Firefox utilisent leur propre système de gestion de mots de passe, donc indépendant de celui de l’OS.

Pour rappel pour qu’une donnée soit sécurisée un minimum elle doit être :
- chiffrée par l’application qui l’utilise en interne
- chiffrée le plus tôt et longtemps possible
- déchiffrée le plus tard possible et de manière éphémère
- chiffrée avec une clé complexe et un algorithme fiable
- déchiffrée uniquement dans la partition de mémoire de l’application
- Evidement chiffrée dans les fichiers et flux réseaux
- la cle ne doit jamais etre affichée en meme temps que l'identifiant...

A ajouter a cela qu’il faut faire attention au mécanisme de mise en cache qui peut stocker sur fichier ce qu’il y a en mémoire…
Ne jamais se fier aux services de l’OS: communication inter-application, système de fichier, gestionnaire de mot de passe
Ne jamais se fier aux protocoles reseaux (attention a HTTPS)
- Evidemment ne jamais sortir de la machine non chiffrée
- Ne pas accorder de confiance aux systèmes d’authentification et « tunnel » (VPN…)
- Ne jamais sortir la clé de chiffrement de l’application.

Apres, ça fait des années que les outils de hacking basiques intègrent des fonctions pour récupérer les données des gestionnaires de mots de passe (et données bancaires…) des navigateurs Web (mais aussi clients mail et de messageries).

avatar iGeek07 | 

La synchronisation des mots de passe est l'une des rares données iCloud (avec les iMessages… mais pas leur sauvegarde iCloud) qui sont chiffrés de bout en bout de manière à ce qu'Apple n'y ait pas accès. Pour Photos, les documents, etc Apple à toutes les clés… je trouve ça un peu dommage.

avatar Sgt. Pepper | 

@iGeek07

👍
A cause du service iCloud associé

Il y a déjà les notes qui peuvent être chiffrée et dont il faut le mot de passe pour accéder côté iCloud..

On pourrait imaginer la même chose pour le reste des Data : photos ,...

On peut aussi ajouter des photos aux notes chiffrées

avatar iGeek07 | 

@Sgt. Pepper

On peut se connecter à 1Password depuis un navigateur web, mais le déchiffrement est fait en local par le navigateur, tous les mots de passe sont chiffrés de bout en bout.
C'est sur que c'est techniquement possible, mais il faut le vouloir :)

Le seul inconvénient, c'est que comme Apple n'a plus accès aux données, elle ne peut plus "réinitialiser" le mot de passe de l'utilisateur : si le mot de passe est perdu, tout est perdu… on a rien sans rien ¯\_(ツ)_/¯
Du coup je verrai bien ça comme une option opt-in

CONNEXION UTILISATEUR