in

Dans quelle mesure vos mots de passe Internet Explorer enregistrés sont-ils sécurisés?

L’un des outils les plus pratiques offerts par les navigateurs est la possibilité d’enregistrer et de pré-remplir automatiquement vos mots de passe sur les formulaires de connexion. Parce que de nombreux sites nécessitent des comptes et qu’il est bien connu (ou devrait être du moins) que l’utilisation d’un mot de passe partagé est un grand non-non, un gestionnaire de mots de passe est presque essentiel.

Donc, si vous êtes un utilisateur IE et que vous répondez «oui» pour permettre au navigateur de se souvenir de votre mot de passe, quelle est la sécurité de ces informations?

Où sont-ils sauvés?

À partir d’Internet Explorer 7, les mots de passe sont stockés dans le registre système (KEY_CURRENT_USER Software Microsoft Internet Explorer IntelliForms Storage2) et chiffrés par rapport au mot de passe de connexion de l’utilisateur Windows à l’aide de l’API Data Protection qui utilise le cryptage Triple DES.

Dans quelle mesure ces données sont-elles sécurisées?

Au moment d’écrire ces lignes, Triple DES est pratiquement incassable par les méthodes de force brute. Cependant, il n’est vraiment pas nécessaire de forcer le cryptage une fois que vous êtes connecté au compte Windows où vos données de mot de passe sont stockées, car Windows suppose qu’une fois connecté, les applications peuvent accéder à ces données en toute sécurité. Comme IE n’utilise pas de mot de passe principal (comme ce que propose Firefox) pour protéger ses mots de passe enregistrés, le mot de passe du compte Windows respectif est la clé de déchiffrement Triple DES.

En termes simples, si vous pouvez vous connecter à Windows avec le compte et le mot de passe, vous pouvez voir les mots de passe du navigateur enregistrés. En utilisant un utilitaire disponible gratuitement tel que IE PassView de NirSoft, vous pouvez afficher et exporter chaque mot de passe IE enregistré.

Les logiciels malveillants peuvent-ils donc y accéder?

Après avoir vu à quel point il est facile d’accéder à ces données, la question logique suivante est de savoir si les logiciels malveillants peuvent facilement accéder à ces données. Je ne suis pas un développeur de logiciels malveillants, mais je ne vois aucune raison pour laquelle il ne le pourrait pas. Si j’analyse l’utilitaire IE PassView à l’aide de Virus Total, vous pouvez voir 55% des scanners qu’ils utilisent détectent qu’il s’agit d’un malware (dont l’un est Security Essentials).

Alors que dans notre cas, le résultat est un faux positif, cela montre qu’il est possible pour un logiciel malveillant d’accéder à ces données sans être détecté même lorsque le système exécute un antivirus. De plus, étant donné que les données chiffrées sont spécifiques à l’utilisateur, aucune invite UAC ne sera déclenchée par une application essayant d’accéder à ces données. Avant de penser que c’est une faille dans le système d’exploitation, c’est vraiment la façon dont il doit en être autrement IE et une foule d’autres applications Windows qui utilisent le stockage protégé déclencheraient une invite UAC à chaque ouverture.

Et si mon ordinateur est volé?

La réponse simple est que ces données sont aussi sécurisées que le mot de passe de votre compte Windows. Comme nous l’avons montré ci-dessus, lorsque vous vous connectez au compte en utilisant le mot de passe approprié, toutes ces données sont facilement accessibles. Si vous n’utilisez aucun mot de passe, vous n’avez aucune protection.

Pour aller plus loin, j’ai réinitialisé le mot de passe du compte pour voir ce qui se passerait lorsque le mot de passe était modifié de force en dehors de Windows. Après la réinitialisation, j’ai enregistré un nouveau mot de passe d’adresse Gmail (blah @) et j’ai exécuté IE PassView. J’ai pu voir le nom d’utilisateur précédent (myemail @) qui avait été enregistré avant la réinitialisation du mot de passe, mais comme les mots de passe du compte (c’est-à-dire «mot de passe principal») utilisés pour enregistrer les données sont différents, il n’a pas été en mesure de déchiffrer l’IE mot de passe enregistré sous le mot de passe du compte Windows précédent. C’est définitivement une bonne chose.

Conclusion

En fin de compte, la sécurité de vos mots de passe enregistrés dans IE dépend totalement de l’utilisateur:

  • Utilisez un mot de passe de compte Windows très fort. Gardez à l’esprit qu’il existe des utilitaires qui peuvent déchiffrer les mots de passe Windows. Si quelqu’un obtient le mot de passe de votre compte Windows, il a accès à vos mots de passe IE enregistrés.
  • Protégez-vous contre les logiciels malveillants. Si les utilitaires peuvent accéder facilement à vos mots de passe enregistrés, pourquoi les logiciels malveillants ne le peuvent-ils pas?
  • Enregistrez vos mots de passe dans un système de gestion de mots de passe tel que KeePass. Bien sûr, vous perdez la commodité de laisser le navigateur remplir automatiquement vos mots de passe.
  • Utilisez un utilitaire tiers qui s’intègre à IE et utilise un mot de passe principal pour gérer vos mots de passe.
  • Cryptez l’intégralité de votre disque dur à l’aide de TrueCrypt. C’est complètement optionnel et pour l’ultra protecteur, mais si quelqu’un ne peut pas déchiffrer votre lecteur, il peut sûrement en retirer quelque chose.

Bien sûr, ces deux éléments vont de soi, mais cela ne fait que renforcer l’importance de prendre des mesures pour assurer la sécurité de votre système.

Téléchargez IE PassView depuis NirSoft

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

5 façons de taper plus rapidement sur le clavier tactile de votre smartphone

5 façons de taper plus rapidement sur le clavier tactile de votre smartphone

Qu’est-ce que le RNG dans les jeux vidéo et pourquoi les gens le critiquent-ils?