Comment extraire les mots de passe Chrome - quand on connaît le mot de passe du compte PC

1272mots ·6min
https://fr.andytips.com/security/chrome-password-extraction-with-pc-password/
Sommaire

Ceci est la deuxième partie de la série sur le piratage des mots de passe Chrome.

La fonction de saisie automatique des mots de passe du navigateur Chrome est très pratique,
mais elle peut être exposée étonnamment facilement.

Si quelqu’un connaît le mot de passe de votre compte PC, c’est comme si vous partagiez tous vos mots de passe Chrome.
Cette attaque n’est pas une attaque à distance, mais une attaque locale (Local Attack) menée par une personne proche.

Vulnérabilités de la saisie automatique des mots de passe Chrome

La fonction de saisie automatique de Chrome réduit considérablement les désagréments de connexion.
Cependant, si on examine attentivement la structure de cette fonction, elle présente des vulnérabilités significatives du point de vue de la sécurité.

Cet article explique quand quelqu’un connaît le mot de passe du compte PC,
à quel point il est facile de consulter les mots de passe enregistrés dans Chrome
et à quelle vitesse ils peuvent être extraits vers l’extérieur.

Pour comprendre à quel point la fonction de saisie automatique de Chrome peut être dangereuse,
examinons d’abord les méthodes de manipulation de base, étape par étape.

L’importance du mot de passe du compte PC

Chrome protège les mots de passe enregistrés en demandant le mot de passe du compte Windows
lorsque vous souhaitez afficher un mot de passe en clair.
À première vue, il semble y avoir une étape d’authentification supplémentaire, mais en réalité, cette structure dépend entièrement du mot de passe du compte PC.

Autrement dit, quiconque connaît le mot de passe du compte PC
peut consulter en clair tous les mots de passe enregistrés dans Chrome sans outil de piratage ni compétence technique.

Si vous partagez le mot de passe de compte entre membres de la famille à la maison,
ou si vous donnez occasionnellement le mot de passe de votre PC à un autre employé au travail,
vous devez considérer que tous les mots de passe enregistrés dans Chrome peuvent être exposés.

Méthode 1 : Consulter les mots de passe individuellement

Voici comment consulter en clair les mots de passe enregistrés dans Chrome.
C’est très simple, n’importe qui peut le faire.

  1. Dans Chrome, cliquez sur les trois points (icône Plus) en haut à droite.
  2. Lorsque le menu s’ouvre, cliquez sur Paramètres.
  3. Dans les paramètres, regardez le menu de gauche et vous verrez Saisie automatique et mots de passe ou Saisie automatique.
    Le nom peut varier légèrement selon la version de Chrome, sélectionnez cet élément.
  4. Cliquez sur le menu Gestionnaire de mots de passe Google ou Mots de passe.
    Tous les sites que vous avez enregistrés jusqu’à présent s’affichent.
  5. Trouvez le site que vous souhaitez vérifier dans la liste.
    L’adresse du domaine et l’identifiant s’affichent ensemble.
  6. Cliquez sur cet élément pour ouvrir l’écran des informations détaillées.
    Vous y verrez l’adresse du site, le nom d’utilisateur et le champ du mot de passe.
  7. Cliquez sur l’icône en forme d’oeil à droite du mot de passe.
    À ce stade, le mot de passe est encore masqué par des astérisques.
  8. Windows affiche une fenêtre demandant le mot de passe du compte PC.
    Entrez alors le mot de passe du compte PC.
  9. Une fois l’entrée du mot de passe terminée,
    le mot de passe qui était masqué par des astérisques s’affiche en clair.

Méthode 2 : Extraire tous les mots de passe en une seule fois

Chrome offre une fonction pour exporter tous les mots de passe enregistrés en fichier CSV pour la commodité des utilisateurs.
Grâce à cette fonction, des dizaines ou des centaines de mots de passe peuvent être extraits en quelques secondes seulement.

Et si ce fichier est copié sur une clé USB ou transmis en ligne,
après l’avoir copié discrètement, on peut examiner tous les mots de passe tranquillement ailleurs.
C’est pourquoi si quelqu’un connaît le mot de passe du compte PC, les mots de passe peuvent être exposés à tout moment.

Voyons maintenant comment extraire tous les mots de passe.

  1. Accédez à l’écran de gestion des mots de passe dans les paramètres Chrome comme suit :
    ParamètresSaisie automatique et mots de passeGestionnaire de mots de passe Google
  2. Sur l’écran de la liste des mots de passe,
    cliquez sur l’icône en forme d’engrenage (icône des paramètres) en haut à droite.
  3. Dans le menu des paramètres,
    sélectionnez l’option Exporter les mots de passe ou Export passwords.
  4. Un message d’avertissement peut s’afficher une fois.
    C’est juste une indication que cette fonction d’exportation concerne des informations sensibles.
    Choisissez de continuer.
  5. Windows affiche à nouveau
    une fenêtre demandant le mot de passe du compte PC.
    Entrez le mot de passe du compte PC.
  6. Une fois l’entrée terminée,
    un fichier CSV nommé quelque chose comme passwords.csv est téléchargé.

Dans ce fichier CSV, l’adresse de chaque site, l’identifiant et le mot de passe sont tous enregistrés en clair.
Si vous l’ouvrez avec Excel ou le Bloc-notes, toutes les informations de compte apparaissent clairement organisées.

En copiant simplement ce fichier sur une clé USB ou en l’envoyant par e-mail,
tous les mots de passe enregistrés sur le PC peuvent être emportés à l’extérieur.

Les limites de la fonction de commodité de Chrome

Le processus de vérification des mots de passe Chrome ne nécessite aucun outil de piratage professionnel.
Avec seulement les fonctions de base fournies par Chrome, en effectuant une manipulation au niveau de l’exploration des paramètres par un utilisateur ordinaire,
tous les mots de passe enregistrés peuvent être consultés en clair.

C’est aussi une fonction de base de Chrome et cela semble si facile que certains pourraient se demander si c’est vraiment du piratage.
Mais en réalité, le piratage et la fuite d’informations proviennent souvent des personnes les plus proches.

Quoi qu’il en soit, si quelqu’un connaît le mot de passe du compte PC, toutes les informations de compte enregistrées dans Chrome peuvent être exposées en une seule fois,
et du point de vue des dommages réels, ce n’est pas différent d’une prise de contrôle de compte classique.

Dans un environnement domestique où les mots de passe de compte sont partagés ou dans un environnement de bureau où l’accès physique est facile,
on peut considérer que la fonction de sauvegarde de mots de passe de Chrome ne joue pas réellement un rôle de protection.

C’est une fonction très utile créée pour la commodité de connexion,
mais nous devons clairement comprendre qu’elle n’offre pas une protection suffisante du point de vue de la sécurité.

Dans le prochain article, nous allons encore plus loin pour vous montrer comment,
même sans connaître le mot de passe du compte PC,
les mots de passe peuvent être exposés lorsque certaines conditions sont remplies.

Liste de la série :

💡 Article connexe

La saisie automatique des mots de passe Chrome est-elle vraiment sûre ? Les risques réels des mots de passe enregistrés

La fonction de saisie automatique de Chrome est pratique, mais les mots de passe enregistrés peuvent être exposés plus facilement qu'on ne le pense.
Cet article explique la structure de la saisie automatique et ses vulnérabilités de sécurité.

💡 Article connexe

Comment extraire les mots de passe Chrome - sans connaître le mot de passe du compte PC

Si l'écran n'est pas verrouillé, les mots de passe Chrome peuvent être exposés même sans connaître le mot de passe PC.
Deux méthodes sont expliquées : via les outils de développement et la fonction d'importation de Firefox.

💡 Article connexe

Gestion des mots de passe avec KeePassXC - une méthode beaucoup plus sûre

En utilisant KeePassXC, vous pouvez utiliser la saisie automatique des mots de passe de manière beaucoup plus sûre.
Gérez tous vos mots de passe en toute sécurité avec un mot de passe maître.