Protection des mots de passe par Firefox et Thunderbird : analyse par la pratique

Magazine
Marque
MISC
Numéro
69
|
Mois de parution
septembre 2013
|
Domaines


Résumé
Lorsque l'on demande à Firefox de mémoriser des mots de passe, il est connu que ceux-ci sont stockés dans le fichier signons.sqlite, chiffrés via 3DES avec une clé située dans key3.db [1]. Mais se posent alors plusieurs questions. Par exemple, comment cette clé est-elle dérivée du 'mot de passe principal' ? Une recherche par force brute est elle possible? Cet article propose justement de décrire les formats de données et algorithmes utilisés afin de protéger vos mots de passe dans Firefox et Thunderbird.

La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Cold Attacks

Magazine
Marque
MISC
Numéro
37
|
Mois de parution
mai 2008
|
Domaines
Résumé

L'exécution d'un algorithme cryptographique est une source constante de problèmes pour les ingénieurs, administrateur système... L'équipe d’Edward Felten [1] vient de démontrer à nouveau ce principe dans un article récent [2, 3] en exploitant la rémanence temporaire des mémoires DRAM.

Les technologies par courants porteurs (CPL) sont-elles vraiment sécurisées ?

Magazine
Marque
MISC
Numéro
37
|
Mois de parution
mai 2008
|
Domaines
Résumé

Les technologies CPL se font de plus en présentes dans le domaine des télécoms domestiques comme dans le domaine industriel. Leur utilisation soulève les mêmes questions que celles posées avec l'utilisation de la technologie Wi-Fi. Aussi, cet article va à la fois préciser le fonctionnement des niveaux de sécurité dans les technologies en question et la sécurité afférente du média physique.

Interceptions des communications vocales : techniques analogiques

Magazine
Marque
MISC
Numéro
37
|
Mois de parution
mai 2008
|
Domaines
Résumé

Dans l’article précédent [2], nous avons présenté les techniques de codage de la voix et montré comment cette dernière était représentée et traitée. Nous allons à présent considérer les techniques analogiques de chiffrement de la voix. Ces dernières consistent à modifier structurellement le signal selon divers procédés, mais sans en modifier la nature profonde contrairement aux techniques numériques. Très efficaces, elles requièrent cependant un art extrême de la part de l’ingénieur pour s’assurer qu’aucune intelligibilité résiduelle ne permettra à un attaquant de retrouver tout ou partie du signal vocal originel. La principale difficulté tient au fait que la validation de telles techniques réside au final sur des tests humains d’audition, subjectifs par nature, même si la théorie garantit l’optimalité des procédés mis en œuvre et des paramètres utilisés. C’est la raison pour laquelle, du fait de l’importance du savoir-faire de l’ingénieur dans la mise au point d’un système de cryptophonie analogique, il n’existe que très peu d’information sur ces techniques analogiques.

Par le même auteur

Protection des mots de passe par Firefox et Thunderbird : analyse par la pratique

Magazine
Marque
MISC
Numéro
69
|
Mois de parution
septembre 2013
|
Domaines
Résumé
Lorsque l'on demande à Firefox de mémoriser des mots de passe, il est connu que ceux-ci sont stockés dans le fichier signons.sqlite, chiffrés via 3DES avec une clé située dans key3.db [1]. Mais se posent alors plusieurs questions. Par exemple, comment cette clé est-elle dérivée du 'mot de passe principal' ? Une recherche par force brute est elle possible? Cet article propose justement de décrire les formats de données et algorithmes utilisés afin de protéger vos mots de passe dans Firefox et Thunderbird.

Mécanisme de contrôle d'authenticité des photographies numériques dans les réflexes Canon

Magazine
Marque
MISC
HS n°
Numéro
6
|
Mois de parution
novembre 2012
|
Domaines
Résumé

Comment prouver qu'une photographie numérique n'a pas été modifiée avant publication ? En ajoutant des données d'authenticité à l'image, fonction disponible depuis plusieurs années chez Canon et Nikon. Dmitry Sklyarov de la société ElcomSoft a décrit en novembre 2010 [1] le principe général utilisé par les boîtiers de la marque rouge, mais sans livrer suffisamment de détails pour recréer ces données, appelées ici « Original Decision Data », ou ODD. Cet article se propose de décrire comment trouver les secrets de son appareil (sans fer à souder) et comment recalculer ces données. Le constructeur a depuis janvier 2011 supprimé cette fonctionnalité, sans doute en réaction à la présentation précédemment citée, et émis un avis produit [2]. Les pages suivantes se veulent didactiques et en prolongement de la présentation d'ElcomSoft et ne sauraient en aucun cas la remplacer. Elles décrivent des expérimentations faites début 2010, puis achevées en novembre 2010, grâce à la pièce manquante du puzzle...