Avast AV pourrait lire les mots de passe enregistrés de Firefox
Mon ami utilise la fonction intégrée de gestionnaire de mots de passe de Firefox pour enregistrer les mots de passe des sites. Plus tard, après avoir installé Avast Free Antivirus, il y avait une fonctionnalité appelée Mots de passe sur l'interface utilisateur d'Avast. Une fois accédé, il a lu tous les mots de passe stockés de Firefox et a donné ce rapport.
Cela montre clairement que les mots de passe ont été lus et comparés par un outil tiers (Avast). Comment Firefox enregistre-t-il les mots de passe? Est-ce un bug qui est exploité par Avast? 
Comment Firefox enregistre-t-il les mots de passe?
Les réponses précédentes ont déjà présenté l'idée générale, mais une explication plus approfondie peut être fournie.
Firefox stocke toutes les informations utilisateur dans le dossier de profil. Sous Windows, il se trouve sous %APPDATA%\Mozilla\Firefox\Profiles\; et sous Linux, ~/.mozilla/firefox/.
Le dossier de profil est créé au premier démarrage de Firefox pour l'utilisateur actuel et porte généralement un nom cryptique, comme y7ogrp85.default dans mon cas. Ce nom est censé être unique.
Depuis la version 32 de Firefox, deux fichiers résidant sous le dossier de profil sont responsables de la gestion des mots de passe enregistrés dans le navigateur. Ce sont: logins.json et key3.db .
Le premier fichier, logins.json , contient des informations réelles telles qu'une liste de noms d'utilisateurs, mots de passe, noms de domaine, etc. Il répertorie également les sites Web pour lesquels vous choisi de ne PAS enregistrer de mot de passe. Cependant, ceux-ci sont cryptés. Vous pouvez vérifier par vous-même.
Le deuxième fichier, key3.db , contient la clé pour décrypter les informations sensibles trouvées dans le fichier précédent, telles que les noms d'utilisateur et les mots de passe.
Maintenant, cette implémentation n'est pas un secret (après tout, Firefox est open source), et n'importe qui peut développer ses propres moyens pour obtenir les mots de passe de quelqu'un en lisant ces fichiers. En fait, c'est déjà fait. Je connais un outil de Nirsoft appelé PasswordFox pour cela.
Il y a une mise en garde possible, et c'est la possibilité pour l'utilisateur d'avoir implémenté un mot de passe principal dans Firefox; cela chiffrera le key3.db fichier lui-même. Mais il existe également des moyens autour de cela, en forçant brutalement le fichier avec des utilitaires conçus à cet effet, comme John the Ripper et d'autres.
Est-ce un bug qui est exploité par Avast?
Non, pas un bug. C'est juste la façon dont le navigateur a été conçu (pas à partir de zéro cependant - il a beaucoup évolué depuis les premières versions). Je pense que c'est assez pratique et sûr. Aussi longtemps que:
- Votre système n'est pas compromis;
- Personne en qui vous n'avez pas confiance n'a un accès physique à votre ordinateur, ou même un accès illimité à vos fichiers/votre compte utilisateur;
- Vos fichiers sont protégés par Full Disk Encryption, en cas de vol de votre PC,
ça devrait aller. Dans tous les cas, je recommande de définir un mot de passe maître fort ou encore mieux, en passant à un gestionnaire de mots de passe dédié tel que KeepassXC.
( Je ne suis pas personnellement connecté à Nirsoft, Firefox ou KeepassXC. Je suis juste un utilisateur.)
Les mots de passe enregistrés par Firefox ne sont pas cryptés (ils sont cryptés mais la clé peut être lue) jusqu'à ce que vous définissiez un mot de passe principal. Je ne pense pas que ce soit un bug, mais chaque virus pourrait néanmoins lire ces mots de passe
Firefox peut décrypter les mots de passe sans que vous n'entriez de mot de passe. Cela signifie qu'il doit avoir la clé de déchiffrement - ce qui signifie que tout programme qui sait comment Firefox stocke les choses peut les trouver. Cela s'applique à tout programme qui stocke des informations sur votre système. Le chiffrement n'est une défense solide que si vous devez fournir la clé de déchiffrement avant d'accéder aux données stockées. (Notez que cela est accompli en utilisant le mot de passe fourni comme clé de déchiffrement - pas de mot de passe, pas de déchiffrement, pas d'accès aux données chiffrées. Cela signifie intrinsèquement qu'il n'y a pas de récupération du mot de passe autrement que par un stockage externe quelque part.)
Le cryptage des mots de passe empêche quelqu'un d'utiliser le Bloc-notes pour lire vos mots de passe, il n'empêche pas une tentative sérieuse de les trouver.
Malheureusement, si tout ce qui est nécessaire pour obtenir le mot de passe de votre site est stocké sur votre ordinateur, il est potentiellement vulnérable aux logiciels malveillants. La seule façon d'éviter cela est d'avoir une entrée utilisateur (sous une forme ou une autre). Il s'agit essentiellement d'un compromis entre commodité et sécurité.
Si vous n'avez pas de gestionnaire de mots de passe en qui vous avez confiance et que vous êtes prêt à faire des efforts pour générer des mots de passe uniques au site (ce qui est mieux que d'utiliser un seul mot de passe pour tout ou de les écrire tous ou d'essayer de tous les mémoriser), je suggère d'utiliser les mots de passe qui impliquent le cryptage du nom du site via quelque chose comme le chiffre Playfair ( https://en.wikipedia.org/wiki/Playfair_cipher ). C'est assez simple pour que vous puissiez le faire à la main (par exemple lorsque vous n'êtes pas devant votre propre ordinateur) ou peut être facilement programmé (comme une application distincte qui nécessite que vous saisissiez la clé). Si vous devez augmenter la force, répétez le résultat ou ajoutez des préfixes ou suffixes. Évidemment, ne vous contentez pas de générer automatiquement ces mots de passe uniques sur le site ou de faire en sorte que votre navigateur s'en souvienne.