Quel est le niveau de sécurité de vos mots de passe Internet Explorer enregistrés?
L'un des outils les plus pratiques offerts par les navigateurs est la possibilité de sauvegarder et de pré-remplir automatiquement vos mots de passe sur les formulaires de connexion. Parce que beaucoup de sites nécessitent des comptes et qu'il est bien connu (ou devrait l'être du moins) que l'utilisation d'un mot de passe partagé est un non-non, un gestionnaire de mot de passe est presque essentiel..
Donc, si vous êtes un utilisateur d'IE et répondez «oui» pour permettre au navigateur de se souvenir de votre mot de passe, dans quelle mesure ces informations sont-elles sécurisées??
Où sont-ils sauvés?
À partir d'Internet Explorer 7, les mots de passe sont stockés dans le registre du système (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) et cryptés avec le mot de passe de connexion de l'utilisateur Windows à l'aide de l'API de protection des données utilisant le cryptage Triple DES..
Quel est le niveau de sécurité de ces données?
Au moment d'écrire ces lignes, le Triple DES est pratiquement indestructible grâce aux méthodes de force brute. Cependant, il n'est pas vraiment nécessaire de forcer brutalement le cryptage une fois que vous êtes connecté au compte Windows sur lequel vos données de mot de passe sont stockées, car Windows présume qu'une fois connecté, les applications peuvent accéder à ces données en toute sécurité. En raison du fait que IE n'utilise pas de mot de passe principal (tel que celui proposé par Firefox) pour protéger ses mots de passe enregistrés, le mot de passe du compte Windows correspondant est la clé de décryptage Triple DES..
En termes simples, si vous pouvez vous connecter à Windows avec le compte et le mot de passe, vous pouvez voir les mots de passe du navigateur enregistrés. À l'aide d'un utilitaire disponible gratuitement, tel que IE PassView de NirSoft, vous pouvez afficher et exporter chaque mot de passe IE enregistré..
Les logiciels malveillants peuvent-ils accéder à cette?
Après avoir constaté à quel point il est facile d'accéder à ces données, la question logique suivante est de savoir si un logiciel malveillant y parvient facilement. Je ne suis pas un développeur de logiciels malveillants, mais je ne vois aucune raison pour laquelle il ne pourrait pas. Si j'analyse l'utilitaire IE PassView à l'aide de Virus Total, vous pouvez voir que 55% des analyseurs qu'ils utilisent détectent qu'il s'agit d'un logiciel malveillant (dont l'un est Security Essentials)..
Bien que dans notre cas, le résultat soit un faux positif, cela montre qu'il est possible à un programme malveillant d'accéder à ces données sans être détectés, même lorsque le système utilise un antivirus. De plus, étant donné que les données cryptées sont spécifiques à l'utilisateur, aucune invite UAC ne sera déclenchée par une application essayant d'accéder à ces données. Avant de penser qu’il s’agit d’une faille dans le système d’exploitation, c’est vraiment comme cela qu’il devrait être autrement IE et une foule d’autres applications Windows qui utilisent le stockage protégé déclencheraient une invite UAC à chaque ouverture..
Et si mon ordinateur est volé?
La réponse simple est que ces données sont aussi sécurisées que le mot de passe de votre compte Windows. Comme nous l'avons montré ci-dessus, lorsque vous vous connectez au compte avec le mot de passe approprié, toutes ces données sont facilement accessibles. Si vous n'utilisez pas de mot de passe, vous n'avez aucune protection.
Pour aller plus loin, j'ai réinitialisé le mot de passe du compte pour voir ce qui se produirait si le mot de passe était modifié de force en dehors de Windows. Après la réinitialisation, j'ai enregistré un nouveau mot de passe d'adresse Gmail (blah @) et lancé IE PassView. J'ai pu voir le nom d'utilisateur précédent (myemail @) qui avait été enregistré avant la réinitialisation du mot de passe, mais comme les mots de passe du compte (c.-à-d. «Mot de passe principal») utilisés pour enregistrer les données sont différents, il n'a pas été possible de décrypter IE. mot de passe enregistré sous le mot de passe du compte Windows précédent. C'est définitivement une bonne chose.
Conclusion
En fin de compte, la sécurité de vos mots de passe enregistrés IE dépend totalement de l'utilisateur:
- Utilisez un mot de passe très fort pour votre compte Windows. N'oubliez pas qu'il existe des utilitaires capables de déchiffrer les mots de passe Windows. Si quelqu'un obtient le mot de passe de votre compte Windows, il aura accès à vos mots de passe IE enregistrés..
- Protégez-vous contre les logiciels malveillants. Si les utilitaires peuvent accéder facilement à vos mots de passe enregistrés, pourquoi les logiciels malveillants ne peuvent-ils pas?
- Enregistrez vos mots de passe dans un système de gestion de mots de passe tel que KeePass. Bien sûr, vous perdez la commodité de laisser le navigateur saisir automatiquement vos mots de passe..
- Utilisez un utilitaire tiers qui s'intègre à IE et utilise un mot de passe principal pour gérer vos mots de passe..
- Cryptez l'intégralité de votre disque dur à l'aide de TrueCrypt. Ceci est complètement optionnel et très protecteur, mais si quelqu'un ne peut pas déchiffrer votre disque, il peut sûrement en retirer quelque chose..
Bien sûr, ces deux choses vont sans dire, mais cela ne fait que renforcer l’importance de prendre des mesures pour protéger votre système..
Téléchargez IE PassView de NirSoft