Firefox et la protection de ses mots de passe

, par  Genma , popularité : 1%

Firefox est un navigateur sécurisé, de qualité, rapide et fiable, et possédant de nombreuses fonctionnalités, parmi lesquelles la possibilité d’enregistrer les mots de passe, afin de ne pas avoir à les retaper à chaque fois. Cet enregistrement entraîne donc une trace de ce mot de passe sur le disque dur de l’ordinateur, et donc la possibilité de le récupérer. En effet, dès lors que l’on a un accès physique à une machine, on peut récupérer les données que l’on souhaite. L’ordinateur aura beau être protégé par un mot de passe, un simple live-cd permettra d’accéder aux données du disque dur. Il n’y a guère que deux solutions : chiffrer la totalité de l’environnement, ce qui n’est pas facilement réalisable et forcément possible de faire quand on n’est pas sur sa propre machine. Ou alors utiliser TrueCrypt et se créer un disque virtuel chiffré et y mettre les données les plus confidentielles : c’est cette seconde solution qui sera une fois de plus retenue, pour cette fois-ci, créer un Firefox cloisonné.

Petits rappels sur la gestion de ses mots de passe sous Firefox

Afficher un mot de passe

Quand on a enregistré un mot de passe dans Firefox et qu’on ne s’en rappelle plus (cas où on utilise le mot de passe enregisté), il reste toujours la possibilité de l’afficher en clair : il suffit pour cela d’aller dans : Options/Preferences -> Securité -> Bouton "Mot de passe enregistrés" et on peut alors demander d’afficher les mots de passe.

Transférer ses mots de passe

Quand on a un certain nombres que l’on souhaite transférer dans "un autre" Firefox (une installation de Firefox sur une autre machine), il est possible de faire appel une extension, PassWord Exporter. Cette extension permet de sauvegarder ses mots de passe et login dans un fichier XML ou CSV, en vue de les importer (via la même extension) dans un autre Firefox.

Firefox Sauvegarde Mot de Passe

Une fois l’extension installée, on peut la trouver dans Firefox Options/Preferences -> Securité -> Bouton d’Import/Export des Mots de Passe ou Outils -> Modules Complémentaires. On sélectionne l’extension et on clique sur Option. On alors un fichier contenant une série d’adresse de sites, de logins et de mot de passe correspondants.

Firefox Sauvegarde Mot de Passe

Et c’est là qu’intervient le chiffrement : IL EST IMPORTANT DE CHIFFRER LE FICHIER RESULTANT, surtout si les mots de passes sont en clair.. Ce chiffrement pourra se faire via GPG.

On voit donc que tous les mots de passe (avec un certains nombres d’autres fichiers dont l’historique etc.) sont stockés sur le disque dur. Sous Windows, ils sont dans :
C :\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\bkk1yrl7.Utilisateur par défaut\
Sous Linux, ce sera dans /home/utilisateur/.mozilla/Firefox/Profiles/

Comme dit dans l’introduction, c’est ce répertoire entier qu’il faut chiffrer pour permettre un cloisonnement de Firefox.

Création d’un profil chiffré

Firefox Creation Profil

La solution se base sur la création d’un profil particulier dans Firefox, dont on déplace le répertoire contenant les informations sensibles (contenu dans un ensemble de répertoires et fichiers gérés par Firefox) dans un répertoire chiffré. Les différentes étapes sont les suivantes :

Création du répertoire chiffré et un .bat de montage/démontage
Pour ces pré-requis, je vous invite à lire ces articles :
 
savoir créer un répertoire crypté avec TrueCrypt

 mon article TrueCrypt : Script, Automatisation et Sauvegarde sous Windows. Ce second article vous permettra de créer un fichier .bat contenant la ligne : TrueCrypt /v FIREFOXCHIFFRE /l K /m rm /auto /q
FIREFOXCHIFFRE étant un disque virtuel chiffré par TrueCrypt, monté sur le lecteur K, qui contiendra toutes les données utilisées par Firefox (les données associées au profil).

Création du répertoire d’accueil : une fois le disque virtuel K monté via TrueCrypt, on crée dedans le répertoire K :\ProfilFirefox et on utilisera ce chemin pour définir le chemin dans lequel Firefox enregistrera les informations du profil chiffré.

Création du profil : pour les explications sur les profils, je vous invite à lire cette page.

La création du profil se fait en plusieurs étapes, de façon assez simple. Pour ne pas alourdir cet article, j’ai créée une page dédiée Création d’un profil sous Firefox, que vous pouvez voir ici. L’idée est de lancer Firefox avec l’option -p ("firefox.exe -p") au démarrage, ce qui permet de lancer la fenêtre de création de profil. On crée le profil, ici "Profil Chiffré" et on déplace le répertoire de ce profil sur "K :\ProfilFirefox".

Si le répertoire chiffré n’est pas monté, le profil "Profil Chiffré" ne peut s’exécuter, bien qu’il apparaisse dans la liste des profils disponibles. On pourra toutefois utiliser (et on utilisera) le profil par défaut, qui ne contient pas d’extension, pas de thème, pas de login/mot de passe enregistré, mais dont toutes les données seront enregistrées dans le répertoire par défaut (non chiffré).

Si le répertoire chiffré est monté, on choisira le profil "Profil Chiffré" . Toutes les données liées à ce profil (dont les mots de passe) seront conservés dans un dossier chiffré, sans perte de performance.

Cas d’un profil existant : dans le cas où on aurait déjà un profil de créer que l’on utilise quotidiennement, il suffit de déplacer les fichiers manuellement du répertoire par défaut vers le répertoire chiffré. On lance ensuite la gestion des profils ("Firefox -p"), n renomme le profil et on le modifie pour que les données pointent vers ce nouveau dossier (on modifie le profil existant, on n’en crée pas un nouveau).

Rq : Sous Windows, une fois que j’ai un Firefox de lancé, toutes les autres fenêtres (que ce soit par ouverture d’une nouvelle fenêtre ou lancement d’une nouvelle instance de Firefox en cliquant sur l’icône se trouvant sur le bureau) se lancement sous le même profil. Si l’on souhaite avoir une fenêtre Firefox sous un autre profil, il faut fermer toute les instances ouvertes actuellement. Et à la relance de Firefox, on aura de nouveau le choix du profil.

Autres solutions possibles

Une autre solution est l’utilisation d’un Firefox Portable, comme celui de la Framakey, la clef USB en elle même étant chiffrée via TrueCrypt.

On peut également s’amuser à faire un .bat qui contiendra le lancement de Truecrypt avec montage du répertoire Firefox chiffré, puis le lancement du Firefox. On peut y ajouter une sauvegarde sur clef USB externe (elle même chiffrée avec TrueCrypt)...

Conclusion

Même si l’idéal reste d’avoir un système d’exploitation / un environnement complet chiffré, il existe des solutions de compromis quand cela n’est pas possible. Cet article présente une nouvelle illustration de l’utilisation de TrueCrypt, un logiciel puissant et pourtant simple d’utilisation, qui une fois de plus, permet de "résoudre" un problème de sécurité (du moins de réduire), en mettant le chiffrement à la portée de tous.

Notre Firefox est sécurisé : on peut enregistrer tous nos mots de passe, conserver notre historique, il n’y a qu’un mot de passe à retenir, on peut garder tous les autres dans Firefox, vu qu’ils sont en sécurité.

En bon geek, je constate donc qu’une fois de plus, tout est possible techniquement, de façon plus ou moins complexe, la seule limite étant mon imagination.