Un bug de Mozilla Firefox pourrait permettre la copie de mots de passe enregistrés sans mot de passe principal.
Mozilla a corrigĂ© une grave faille de sĂ©curitĂ© dans son navigateur Firefox. La vulnĂ©rabilitĂ© pourrait avoir exposĂ© les mots de passe enregistrĂ©s Ă partir du navigateur. Toute personne ayant un accĂšs local au systĂšme pourrait exploiter ce bogue de Mozilla Firefox sans avoir besoin dâun mot de passe principal.
Le navigateur Firefox de Mozilla présentait une vulnérabilité sérieuse qui pourrait permettre à un attaquant de révéler les mots de passe enregistrés. Comme indiqué dans l'avis de Mozilla, toute personne ayant un accÚs physique à l'appareil peut copier les mots de passe enregistrés dans le navigateur.
Le problĂšme est devenu apparent lorsque la copie de mots de passe est devenue possible mĂȘme lorsqu'un utilisateur avait activĂ© le mot de passe principal. IdĂ©alement, lorsque le mot de passe principal est activĂ©, il n'est pas possible d'accĂ©der Ă la boĂźte de dialogue «Connexions enregistrĂ©es» sans entrer le mot de passe. Cependant, le bogue activĂ© contournant cette vĂ©rification de sĂ©curitĂ©. Selon Mozilla :
Il a Ă©tĂ© constatĂ© que les mots de passe stockĂ©s localement peuvent ĂȘtre copiĂ©s dans le Presse-papiers Ă l'aide de l'Ă©lĂ©ment de menu contextuel «Copier le mot de passe» sans entrer d'abord le mot de passe principal, ce qui permet un vol potentiel des mots de passe stockĂ©s.
Mozilla a considéré qu'il s'agissait d'un bogue de gravité moyenne ayant reçu l'ID CVE CVE-2019-11733
Firefox 68.0.2 porte le correctif
Avec la sortie de la version de navigateur Firefox 68.0.2, Mozilla a apparemment corrigĂ© la faille. DĂ©sormais, toute personne ayant un accĂšs local au navigateur ne peut afficher ou copier des mots de passe enregistrĂ©s sans saisir le mot de passe principal. Mozilla a Ă©galement corrigĂ© la mĂȘme vulnĂ©rabilitĂ© dans Firefox ESR avec la publication de Firefox ESR 60.8.2. Cependant, avec le correctif de ce bogue, les utilisateurs qui avaient activĂ© le mot de passe principal sont Ă lâabri du vol potentiel de mots de passe. Cependant, ceux qui n'ont pas encore activĂ© le mot de passe principal prĂ©fĂšrent enregistrer les connexions sur le navigateur restent vulnĂ©rables. C'est parce que la fonctionnalitĂ© «Enregistrer les mots de passe» de Firefox est active par dĂ©faut. De plus, il ne demande jamais vraiment Ă l'utilisateur de dĂ©finir un mot de passe principal. Par consĂ©quent, les utilisateurs de Firefox doivent sâassurer dâactiver cette fonctionnalitĂ© de sĂ©curitĂ© et de protĂ©ger leur connexion contre toute exposition intentionnelle ou accidentelle Ă des utilisateurs non autorisĂ©s.
Comment faire pour activer le Mdp principal dans Firefox ?
En haut à droite vous ouvrez le menu (les trois petite barres), vous descendez à la ligne «Options» et vous cliquez dessus.
Une page s'ouvre dans Firefox. Dans le menu à gauche vous cliquez sur la ligne «[wp-svg-icons icon="lock" wrap="i"] vie privée et sécurité».
Ensuite vous descendez jusqu'à «Identifiants et mots de passe». (voir capture)
à l'option «utiliser un mot de passe principal» vous cliquez sur «changer de mot de passe principal...».
Ensuite vous installez un mot de passe efficace, il faut bien entendu quâil soit compliquĂ© Ă Ă©viter le nom de votre chien/ chat ou 12345, ou 00000 etc.
N'oubliez pas de cocher la case en fermant la fenĂȘtre et comme il est Ă©crit «Faites attention Ă ne pas oublier le mot de passe principal» car c'est lĂ que commence les ennuis.
C'est bien sûr valable pour n'importe quel mot de passe. Perso j'ai une feuille de papier avec tous mes MDP, c'est un peu vieillot mais ainsi elle est non-numérisée, ce qui m'évite de la laissé trainer dans mon PC.
VoilĂ c’est tout !
Traduction de l'article : mozilla-firefox-bug-could-allow-copying-saved-passwords-without-master-password
Autrice : Abeerah Hashim.
A propos de l'auteur
