C’est une “astuce” simple mais inquiétante que vient de dévoiler Zataz.com: il est possible de voir votre mot de passe Facebook, Twitter ou Gmail sur votre ordinateur. Seule condition: que votre mot de passe soit enregistré dans votre navigateur.

La manipulation est finalement assez simple – et, pour avoir essayé, efficace: sur la page de connexion du site, il faut “inspecter l’élément” qui correspond au mot de passe et changer le “password” dans le code. Et hop, le mot de passe s’affiche à l’écran.

On rassure, il n’est pas possible de voler des mots de passe à distance par ce biais-là. Et pour éviter toute mésaventure du genre, il suffit de ne pas enregistrer de mot de passe dans le navigateur. Un rien plus contraignant à l’usage, mais avec plus de sécurité à la clé.

Le détail dans la vidéo de Zataz:

[youtube D_cXcQCSwoY]

Source

17 Commentaires

  1. houlala, Zataz découvre le HTML…

    Autre scoop: une personne qui a physiquement accès à votre ordinateur peut tout vous voler. Un petit article ? 🙂

  2. Si Zataz découvre cela seulement maintenant… Ca fait des lustres que ça existe cette “astuce”.

    Une autre solution que de ne pas enregistrer ses mots de passe, c’est d’utiliser un “master mot de passe” (dans firefox)

  3. Copainjack a raison.
    Mieux: même pas besoin de faire tout ce cirque. Si le mot de passe est enregistré par le browser, il suffit de se connecter et d’aller changer mot de passe et l’adresse e-mail associée au compte. Et voilà: compte volé!

  4. Pfff y a plus simple, dans Firefox:
    Options -> Sécurité -> Mots de passe enregistrés -> Afficher les mots de passe

    et vous les avez tous, pas seulement Facebook.

    Il n’y a rien de nouveau là dedans, ni même d’inquiétant, c’est comme ça depuis longtemps.

  5. Oula merci Jan, j’ignorais cette astuce…ca fait peur tout de même, surtout quand on surfe de son pc du boulot :s

  6. Pas sérieux ! Comme on le fait observer plus haut, il suffit d’aller voir la liste des mots de passe enregistrés pour que tous les mots de passe apparaissent en clair. Ce qu’il est prudent de faire c’est de choisir un “master password” qui protège l’ensemble de mots de passe sauvegardés et qui sera demandé à chaque démarrage du browser. Par contre, je rencontre beaucoup de gens qui ne se rendent pas compte du risque de se connecter à un Wi-Fi ouvert et sans SSL.

  7. WebBrowserPassView, de Nirsoft, fait ça très bien.
    En plus il est portable et peut donc être démarré d’une clé USB que vous enfichez dans le PC à inspecter – pour peu qu’il soit allumé bien sûr 🙂 et que l’utilisateur soit loggé (je dis ça pour les PCs partagés).
    Comme les résultats peuvent être dirigés vers un fichier texte, vous pouvez partir avec le résultat d’un scan en quelques secondes et l’analyser tranquillement.

  8. “. Un rien plus contraignant à l’usage, mais avec plus de sécurité à la clé.”

    quand on ne s’y connait pas, on se tait .

    keyloger,trojan…n’importe quel pyjama de 10 ans peut apprendre à les utiliser.

  9. Il suffit d’aller dans les options de Firefox pour afficher les mots de passe enregistrés.
    Et c’est normal puisque l’option d’enregistrement des mots de passe sert justement à les enregistrer.
    Mais bon, ça fait des clicks, hein. 🙁

  10. * Considered a military alliance threat by NATO, Anonymous has successfully hacked various countries’ websites, including: Turkey, Iran, Chili, Libya, Columbia and Egypt. There exists now $20 from the pot, and its $10 to call up, so you might be finding two:one (33%) on your own facebook poker chips, and therefore the odds of earning your hand are about 11:one or 8%. To the accomplished hacker or to any computer expert in general, hacking can be a relatively basic action that can be accomplished with minimum effort.

Comments are closed.