Comment extraire les mots de passe Chrome - sans connaître le mot de passe du compte PC
Ceci est la troisième partie de la série sur le piratage des mots de passe Chrome.
Dans l’article précédent, nous avons confirmé que si quelqu’un connaît le mot de passe du compte PC,
les mots de passe enregistrés peuvent être facilement extraits.
Dans cet article, nous allons découvrir comment extraire tous les mots de passe enregistrés dans Chrome
même sans connaître le mot de passe du compte PC.
Cette attaque n’est pas une attaque à distance, mais une attaque locale (Local Attack) menée par une personne proche.
Une autre vulnérabilité de la saisie automatique des mots de passe Chrome
La fonction de saisie automatique des mots de passe du navigateur Chrome
est une fonctionnalité pratique qui réduit les désagréments de connexion.
Cependant, si on examine attentivement la structure de cette fonction,
même sans connaître le mot de passe du compte PC,
il existe une vulnérabilité supplémentaire permettant d’exposer les mots de passe
tant que l’écran est allumé.
Cet article explique comment même une personne ne connaissant pas le mot de passe du compte PC,
si elle peut s’asseoir brièvement devant un PC laissé sans surveillance,
peut récupérer les mots de passe enregistrés dans Chrome.
Commençons par examiner les situations qui peuvent se produire dans un environnement d’utilisation quotidienne.
Les dangers de l’attaque locale (Local Attack)
Nous essayons généralement de verrouiller l’écran lorsque nous quittons notre poste.
Mais pendant un travail chargé, un moment pour aller chercher un café,
ou un court instant pour répondre à un appel téléphonique,
oublier de verrouiller l’écran peut arriver à n’importe qui.
La fonction de verrouillage automatique de Windows
est également généralement configurée avec un délai généreux de 5 ou 10 minutes.
Mais l’attaque locale (Local Attack)
exploite précisément ces courts instants.
Si l’écran du PC est allumé et le navigateur ouvert,
l’attaquant peut récupérer les mots de passe sans aucune information supplémentaire.
Structure des mots de passe en saisie automatique
Les champs de mot de passe remplis par la saisie automatique
apparaissent masqués à l’écran sous forme de ●●●●,
mais à l’intérieur du navigateur, le mot de passe existe déjà en clair.
L’élément HTML <input type="password">
ne fait que “masquer visuellement” le mot de passe,
la valeur réelle étant stockée telle quelle dans l’attribut value de l’élément DOM.
Par conséquent, cette valeur peut être directement lue
via les outils de développement ou des scripts.
Cette structure elle-même est l’élément clé qui rend possible l’attaque locale.
Méthode 1 : Utilisation des outils de développement
Cette méthode utilise les outils de développement web (Developer Tools)
pour consulter directement le mot de passe rempli automatiquement.
Même sans connaître JavaScript, vous pouvez suivre ces étapes.
- Accédez à une page de connexion où le mot de passe a été rempli automatiquement.
- Vérifiez que le champ du mot de passe est rempli sous forme de ●●●●.
- Faites un clic droit sur le champ de saisie du mot de passe.
- Sélectionnez le menu
Inspecter (Inspect). - Les outils de développement s’ouvrent et le code HTML correspondant est mis en surbrillance.
- Vérifiez l’élément
<input type="password" ...>. - Notez la valeur
idouname. - Cliquez sur l’onglet Console en haut des outils de développement.
- Entrez la commande suivante.
※ Remplacez la partie ‘password’ par l’ID réel que vous venez de vérifier.console.log(document.getElementById('password').value); - Appuyez sur Entrée et le mot de passe s’affiche tel quel.
Cela peut sembler long, mais une fois que vous l’avez fait, le processus prend moins de 30 secondes.
Méthode 2 : Utilisation de Firefox
Cette méthode utilise la fonction “Importer les données d’un autre navigateur” de Firefox.
Comme c’est une fonction de base de Firefox, elle est très facile à suivre.
- Téléchargez et installez Firefox.
- Au premier lancement, l’écran “Importer les données d’un autre navigateur” apparaît.
- Sélectionnez Chrome.
- Cochez les informations de connexion (Passwords) parmi les éléments à importer.
- Cliquez sur “Suivant” et les mots de passe de Chrome sont transférés vers Firefox.
- Ouvrez les mots de passe (about:logins) dans le menu de Firefox.
- Les identifiants et mots de passe de tous les sites s’affichent en clair.
- En sélectionnant “Exporter les mots de passe (Export)”,
vous pouvez enregistrer tous les mots de passe dans un fichier CSV.
Ce qui est particulier, c’est que Firefox ne demande pas le mot de passe du compte PC pour consulter les mots de passe enregistrés.
De plus, les mots de passe enregistrés dans Chrome peuvent être facilement transférés vers Firefox
en utilisant la fonction d’importation de données fournie par Firefox.
Risque structurel créé par la fonction de commodité
Les deux méthodes ci-dessus
n’utilisent absolument aucune technique ou outil de piratage professionnel.
C’est une situation absurde, mais en utilisant Firefox, on peut consulter tous les mots de passe enregistrés dans Chrome.
Cependant, il y a la condition préalable que l’écran du PC doit être ouvert.
Donc, si quelqu’un autour de vous a vraiment l’intention de voler les mots de passe Chrome,
cette personne profitera du moment où vous quittez brièvement votre poste.
En un instant pendant votre courte absence, Firefox peut être installé et tous les mots de passe Chrome peuvent être exposés.
Un court moment où vous ne verrouillez pas l’écran peut conduire à une prise de contrôle de compte,
et cela peut facilement se produire dans des environnements comme les PC partagés, les PC de bureau ou les PC familiaux.
La fonction de saisie automatique n’est qu’une fonctionnalité de commodité,
elle n’est pas conçue pour fournir une sécurité solide. Nous devons le comprendre clairement.
Alors, que faire ?
On ne peut pas renoncer à la fonction de saisie automatique des mots de passe.
Dans le prochain article, nous expliquerons en détail
un outil de gestion de mots de passe dédié (KeePassXC)
qui permet d’éviter ces risques et de gérer les mots de passe en toute sécurité.
Liste de la série :