Firefox et Thunderbird : vulnérabilité dans le gestionnaire de mots de passe depuis 9 ans (don't SHA-1) !

Bien loin de l'époque glorieuse où chaque projet était une fête, le panda de feu, depuis quelques années et suite à différentes restructurations ou priorités internes (pour ne pas citer le quasi-abandon de Thunderbird au niveau développement beaucoup moins régulier qu'avant...) est passé en mode veilleuse quitte à laisser de côté quelques fonctionnalités ou mises à jour, permettant ainsi par mégarde de laisser traîner moultes bugs dont un de taille, ici : une vulnérabilité existante depuis 9 ans dans le mot de passe "maître" (master password) du gestionnaire de mots de passe du navigateur.

 

 

Et, cette découverte, on la doit à l'un des développeurs d'Adblock Plus, Wladimir Palant qui a constaté avec surprise, sur simple analyse du code (fonction sftkdb_passwordToKey()) que le master password usitait encore le hachage de type SHA-1, alors que la norme d'encryptage a depuis bien évolué (SHA-3 pour cette famille de hachage) avec des logiciels tiers permettant d'abuser à l'infini et de manière automatisé, au besoin, de clé d'encryptage comme KeyPass, par exemple.

Du coup, forcément, avec un chiffrement aussi faible (128 bits ce qui peut apparaître bien selon l'époque ou avec un GPU peu performant......), la probabilité de forcer la manipulation et le verrou sécuritaire du mot de passe maître est assez forte (99,99 % selon Wladimir Palant). Braise finale à ce problème, aucune solution n'a été apporté depuis 9 ans alors qu'un bug - 524403 - dédié à bien été ouvert dans ce sens mais personne ne semble vouloir le résoudre : là aussi, Wladimir Palant préconiserait une extension (dérivation) comme Argon2 ou PBKDF2 qui viendraient corser l'ensemble pour avoir un mot de passe ainsi plus résistant ou du moins une librairie NSS (Network Security Services) moins mise à "nue" surtout pour un mot de passe englobant d'autres mots de passe... Gloups !

 

La faille touche Firefox mais également Thunderbird et, en attendant une réponse officielle de Mozilla (?), si vous utilisez l'option arrêtez-tout en désactivant l'option ("vie privée et sécurité" - "utilisez un mot de passe principal" : désactivez l'option) ou bien, moins radical, optez pour une extension Web gérant ce type de fonctionnalité comme Lockbox, actuellement en version alpha (non stable) et uniquement (?) en desktop en notant que la fonctionnalité est aussi développée par "Modzilla" :D... A réfléchir !

 

Source : Wladimir Palant - Mot de passe maître dans Firefox et Thunderbird - 10 Mars 2018.