Firefox Windows - Passoire à mots de passe

[CJandCo]

Bonjour,

Firefox est une vraie passoire concernant les mots de passe enregistrés.

En effet, je me suis amusé (si on peut dire) à supprimer la totalité de mes mots de passe enregistrés dans Firefox.

Après avoir tout supprimé. TOUT et rebooté

J’ai lancé le programme « Firefox Password Exporter ». Et bien figurez-vous que ce programme m’a restauré la totalité des mots de passe précédemment effacés dans un fichier .CSV

Plus grave encore, après avoir supprimé tous mes mots de passe dans Firefox, j’ai essayé de les importer dans Edge et aussi Chrome.
Et bien ces deux programmes ont restitué l’ensemble des PASSWORDS pourtant supprimés de Firefox.
Je dis bien malgré effacement, ils ont été récupérés dans ces deux navigateurs.

En fait, je suis parvenu à mes fins en allant dans c:\Users\monnom\AppData\roaming\Mozilla\Firefox\Profiles\

Où là j’ai effacé deux fichiers « logins.json » et « logins-backup.json »

À partir de là, j’ai pu restaurer depuis Chrome les PassWords que je désirais conserver.

Tout ça pour réitérer mes propos. Firefox est très mal conçu et un vrai danger pour la sécurité des mots de passe.

J’ai cinq PC’s et bien sûr le même problème était constaté sur toutes les machines.

Particularité, il y a un compte « Firefox » commun pour toutes les machines. (Et même déconnecté le problème s'est produit)

Faites un test sur votre machine et vous verrez que les PassWords effacés réapparaissent.

Alors pardonnez-moi du peu, mais Firefox est une vraie passoire en matière de sécurité des données.

Modifié le 4 septembre 2023 par CJandCo
Précsion

[Tulburite]

Bonjour,

De mon côté, je ne trouve rien d'anormal... si tu ne supprimes pas le profil crée à l'installation, du moment que tu restaures, tu vas retrouver, dans ton cas, tes mots de passe, tu peux essayer avec Thunderbird, Outlook, etc. C'est partout pareil.

[CJandCo]

Bonsoir,

Je ne suis parvenu à supprimer totalement les PassWord enregistés qu'en supprimant les fichiers cités plus haut.
"Firefox Password Exporter" lui savait les retrouver.
Testé sur cinq machines et j'avais déjà constaté ce problème il y plusieurs semaines.

[CJandCo]

Bonsoir,
Pour parvenir à mes fins et supprimer enfin les mots de passe, il m'a fallut désactiver la synchronisation de mes cinq PC's et smartphones avec Firefox et c'est donc cette SYNCHRO qui est responsable de tout.

Les mots de passe supprimés d'une machine réapparaissaient systématiquement quand une autre machine était connectée, la synchro remettait tous les mots de passe supprimés d'une machine pour les remettre sur celle sur lesquels ils avaient été effacés.

Je sais que c'est difficile à admettre, mais les faits sont là.

La Synchro de Firefox est une vrai calamité et je l'ai donc désactivée sur tous mes appareils et smartphones.

Et depuis...

Plus de problème !

[Yves B.]

Salut @CJandCo,

Il y a 2 heures, CJandCo a dit :

la synchro remettait tous les mots de passe supprimés d'une machine pour les remettre sur celle sur lesquels ils avaient été effacés.

C'est tout à fait normal, peu importe le navigateur, que ce soit Edge, Google ou autres navigateurs qui sont synchronisés, ça va être la même histoire 🤷‍♂️ !!

Et puis, je dirais que c'est encore pire avec Google, avec lequel tes mots de passe peuvent être capturés par une extension.

Citation

Une équipe de chercheurs de l'université du Wisconsin-Madison a téléchargé sur le Chrome Web Store une extension qui permet de voler des mots de passe en clair à partir du code source d'un site web.

Un examen des champs de saisie de texte dans les navigateurs web a révélé que le modèle d'autorisation à gros grain qui sous-tend les extensions Chrome viole les principes du moindre privilège et de la médiation complète.

En outre, les chercheurs ont découvert que de nombreux sites web fréquentés par des millions de personnes, dont certains portails Google et Cloudflare, stockent les mots de passe en clair dans le code source HTML de leurs pages web, ce qui permet aux extensions de les récupérer.

source : https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/

Et voici la réponse de Google à ce problème

Citation

Un porte-parole de Google a confirmé que l'entreprise examinait la question et a renvoyé à la FAQ sur la sécurité des extensions de Chrome, qui ne considère pas l'accès aux champs de mots de passe comme un problème de sécurité tant que les autorisations correspondantes sont correctement obtenues.

Franchement, c'est pas fort !!

Jamais, au grand jamais je ne ferai confiance à un navigateur pour garder mes mots de passe, j'utilise Bitwarden.

A+

Modifié le 5 septembre 2023 par Yves B.

[MateLeot]

Salut @Yves B.

Il y a 22 heures, Yves B. a dit :

Jamais, au grand jamais je ne ferai confiance à un navigateur pour garder mes mots de passe, j'utilise Bitwarden.

C'est pas tellement mieux du côté de Bitwarden ! ( pour ceux qui active la saisie automatique !)

https://www.it-connect.fr/bitwarden-a-cause-de-la-saisie-automatique-vos-identifiants-peuvent-fuiter/

J'ai l'impression qu'il n'y a que trop peu de gestionnaire de mots de passe fiable ( j'utilisais keepass mais trop de faille en peu de temps !)

Bonne soirée

[Yves B.]

Salut @MateLeot,

il y a 43 minutes, MateLeot a dit :

C'est pas tellement mieux du côté de Bitwarden ! ( pour ceux qui active la saisie automatique !)

Ça fait déjà un bon p'tit bout de temps que ce problème existe, d'ailleurs, après l'installation de Bitwarden, il y avait un avertissement à ce propos, qui invitait l'utilisateur à ne pas activer la saisie automatique (ce que j'ai appliqué). On ne peut pas leurs reprocher cette transparence, surtout lorsque nous avons vu que certain gestionnaire de mot de passe attende seulement à la dernière minute pour signaler et informer ses utilisateur d'une fuite de données 🤷‍♂️!??

Entre Bitwarden et le gestionnaire de mot de passe d'un navigateur, je choisi le premier sans hésitation !!

A+

 

Modifié le 6 septembre 2023 par Yves B.
fôtes