13 liens privés
Si vous utilisez 1Password, Bitwarden, LastPass, Enpass, iCloud Passwords ou LogMeOnce, mauvaise nouvelle : ils sont tous vulnérables. En fait, sur les 11 gestionnaires de mots de passe testés, tous présentaient cette faille. Certains ont déjà patché (Dashlane, Keeper, NordPass, ProtonPass et RoboForm), mais pour les autres, c’est toujours open bar pour les hackers.
Selon l’analyse de Marek Tóth, les attaquants exploitent la façon dont les extensions de navigateur injectent leurs éléments dans les pages web. Ils créent une couche invisible par-dessus les boutons du gestionnaire de mots de passe et quand vous pensez cliquer sur un élément tout à fait innocent de la page, vous activez en réalité l’auto-remplissage (autofill) de votre gestionnaire.
Un seul clic suffit. Les pirates peuvent alors récupérer vos identifiants de connexion, vos codes de double authentification, vos numéros de carte bancaire avec le code de sécurité, et même dans certains cas, détourner vos passkeys. Le tout sans que vous ne vous rendiez compte de quoi que ce soit.
Et Keepass ? Ils n'en parlent pas 🤨
Procédure pour retrouver un mot de passe en clair stocké dans WinSCP.
- Menu Option > Préférences
- Dans le cadre de gauche, sélectionner, selon la langue de l'application : Logging (EN) / Rapports (FR)
- Cocher ensuite les 2 cases suivantes :
- Enable session logging on level (EN) / Activer l'enregistrement de session avec un niveau (FR)
- Log passwords and other sensitive information (EN) / Enregistrer les mots de pass et d'autres informations sensibles (FR)
À partir de là, toutes les connexions ouvertes depuis WinSCP laisseront une trace dans le répertoire %TEMP%. Il suffit de trier les fichiers par ordre de dates décroissantes pour retrouver le dernier fichier modifié, qui contiendra le mot de passe en clair de la connexion.
Une fois que les mots de passes ont été récupérés (et mis en sécurité), ne surtout pas oublier de :
1) décocher les options de rapports dans WinSCP,
2) supprimer les fichiers de logs de connexions contenant les mots de passes en clair.
NIST : nouvelles directives sur la sécurité des mots de passe. Découvrez les recommandations 2025 et les différences avec les pratiques traditionnelles.
Le fameux duo clef privée + clef publique. Il est automatiquement et aléatoirement définit de manière unique pour chaque site, et nécessite juste le déverrouillage via smartphone (biométrique, facial, schéma, PIN).
C'est le moment de changer son mot de passe de la CAF !
- les clés de chiffrement BitLocker sont envoyées à Microsoft.
- Un document Word/PowerPoint ouvert envoie son contenu aux serveurs Microsoft.
- avec le nouvel Outook, Microsoft a tous vos mails et tous vos mots de passe mail.
- Edge envoie les URLs visitées à Microsoft.
- OneDrive récupère par défaut tous vos fichiers.
- Recall enregistre tout.
Les identifiants de connexions aux BDD sous DBeaver sont stockés chiffrés. Pour les récupérer/extraire, il y a quelques manipulations à réaliser.
La procédure décrite ici vaut pour Windows. Il faut l'adapter pour les autres OS.
Il y a 2 fichiers json :
- Emplacement %AppData%\DBeaverData\workspace6\General.dbeaver\
- Fichier n°1 :
data-sources.jsoncontient les noms et paramètres de connexion. - Fichier n°2 :
credentials-config.jsoncontient les credentials (user + password) associés.
Les paramètres de connexion du fichier data-sources.json ressemblent à :
[...]
"db2_luw_old-18217802401-33405f2d599592fe": {
"provider": "generic",
"driver": "db2_luw_old",
"name": "TST24 Exemple",
"save-password": true,
"folder": "TEST",
"configuration": {
"host": "pp-db2.serveur.bidon.org",
"port": "50000",
"database": "exemple",
"url": "jdbc:db2://pp-db2.serveur.bidon.org:50003/exemple",
"configurationType": "MANUAL",
"type": "dev",
"auth-model": "native"
}
},
[...]Après déchiffrement, les credentials du 2nd fichier ressemblent à :
[...]
"db2_luw_old-18217802401-33405f2d599592fe": {
"#connection": {
"user": "utilisateur",
"password": "mot_de_passe_en_clair"
}
},
[...]Il faut :
1) Chercher le nom de la connexion dans data-sources.json. Ici TST24 Exemple (cf. entrée name).
2) Cette connexion est encapsulée dans une entrée au nom "bizarre" et unique dans le fichier, ici db2_luw_old-18217802401-33405f2d599592fe.
3) Chercher ce nom bizarre dans le fichier credentials-config.json déchiffré pour y trouver les user et password associés.
Pour déchiffrer le fichier de credientials, il faut, sur une machine linux, passer la commande suivante : openssl aes-128-cbc -d -K babb4a9f774ab853c96c2d653dfe544a -iv 00000000000000000000000000000000 -in "%AppData%\DBeaverData\workspace6\General\.dbeaver\credentials-config.json" | dd bs=1 skip=16 2>/dev/null | jq | less
Explication de la commande :
openssldéchiffre le contenuddrécupère la partie contenant les user + passwordjqmet en forme le json pour le rendre lisiblelesspermet de visualiser la sortie pour y rechercher tous les mots de passe à récupérer. Les commandes/et?servent à rechercher en avant et en arrière. Taperqpour quitter.
Stocker mes mots de passes en ligne ? FBI ! Fausse Bonne Idée
On peut commencer à parler d'une passphrase à partir de 16 caractères
[...]
Une passphrase est plus facile à retenir qu'un mot de passe, tout en étant plus facilement robuste ! On retient plus facilement une liste de mots qu'une suite de caractères aléatoires. Par exemple, le mot de passe "f=X5nx`j|rC~DqN" sera beaucoup plus difficile à retenir que la passphrase "J'habite-en-Normandie-en-France" qui en plus a une meilleure entropie (très légèrement). Dans le cas présent, on note qu'à entropie quasi égale, la passphrase est beaucoup plus longue, mais plus facile à retenir.
Une passphrase peut répondre plus facilement à la politique de mots de passe de votre entreprise, notamment lorsqu'il y a une longueur minimale à respecter. Le fait d'inclure des mots et de les séparer par un caractère ou un espace permet aussi d'utiliser plus facilement au moins trois types de caractères : minuscules, majuscules et caractères spéciaux.
