Un bug de Mozilla Firefox pourrait permettre la copie de mots de passe enregistrés sans mot de passe principal.
Mozilla a corrigé une grave faille de sécurité dans son navigateur Firefox. La vulnérabilité pourrait avoir exposé les mots de passe enregistrés à partir du navigateur. Toute personne ayant un accès local au système pourrait exploiter ce bogue de Mozilla Firefox sans avoir besoin d’un mot de passe principal.
Le navigateur Firefox de Mozilla présentait une vulnérabilité sérieuse qui pourrait permettre à un attaquant de révéler les mots de passe enregistrés. Comme indiqué dans l'avis de Mozilla, toute personne ayant un accès physique à l'appareil peut copier les mots de passe enregistrés dans le navigateur.
Le problème est devenu apparent lorsque la copie de mots de passe est devenue possible même lorsqu'un utilisateur avait activé le mot de passe principal. Idéalement, lorsque le mot de passe principal est activé, il n'est pas possible d'accéder à la boîte de dialogue «Connexions enregistrées» sans entrer le mot de passe. Cependant, le bogue activé contournant cette vérification de sécurité. Selon Mozilla :
Il a été constaté que les mots de passe stockés localement peuvent être copiés dans le Presse-papiers à l'aide de l'élément de menu contextuel «Copier le mot de passe» sans entrer d'abord le mot de passe principal, ce qui permet un vol potentiel des mots de passe stockés.
Mozilla a considéré qu'il s'agissait d'un bogue de gravité moyenne ayant reçu l'ID CVE CVE-2019-11733
Firefox 68.0.2 porte le correctif
Avec la sortie de la version de navigateur Firefox 68.0.2, Mozilla a apparemment corrigé la faille. Désormais, toute personne ayant un accès local au navigateur ne peut afficher ou copier des mots de passe enregistrés sans saisir le mot de passe principal. Mozilla a également corrigé la même vulnérabilité dans Firefox ESR avec la publication de Firefox ESR 60.8.2. Cependant, avec le correctif de ce bogue, les utilisateurs qui avaient activé le mot de passe principal sont à l’abri du vol potentiel de mots de passe. Cependant, ceux qui n'ont pas encore activé le mot de passe principal préfèrent enregistrer les connexions sur le navigateur restent vulnérables. C'est parce que la fonctionnalité «Enregistrer les mots de passe» de Firefox est active par défaut. De plus, il ne demande jamais vraiment à l'utilisateur de définir un mot de passe principal. Par conséquent, les utilisateurs de Firefox doivent s’assurer d’activer cette fonctionnalité de sécurité et de protéger leur connexion contre toute exposition intentionnelle ou accidentelle à des utilisateurs non autorisés.
Comment faire pour activer le Mdp principal dans Firefox ?
En haut à droite vous ouvrez le menu (les trois petite barres), vous descendez à la ligne «Options» et vous cliquez dessus.
Une page s'ouvre dans Firefox. Dans le menu à gauche vous cliquez sur la ligne «[wp-svg-icons icon="lock" wrap="i"] vie privée et sécurité».
Ensuite vous descendez jusqu'à «Identifiants et mots de passe». (voir capture)
À l'option «utiliser un mot de passe principal» vous cliquez sur «changer de mot de passe principal...».
Ensuite vous installez un mot de passe efficace, il faut bien entendu qu’il soit compliqué à éviter le nom de votre chien/ chat ou 12345, ou 00000 etc.
N'oubliez pas de cocher la case en fermant la fenêtre et comme il est écrit «Faites attention à ne pas oublier le mot de passe principal» car c'est là que commence les ennuis.
C'est bien sûr valable pour n'importe quel mot de passe. Perso j'ai une feuille de papier avec tous mes MDP, c'est un peu vieillot mais ainsi elle est non-numérisée, ce qui m'évite de la laissé trainer dans mon PC.
Voilà c'est tout !
Traduction de l'article : mozilla-firefox-bug-could-allow-copying-saved-passwords-without-master-password
Autrice : Abeerah Hashim.