SOSPC

Leçons de hacking de mots de passe Vol.1, par Azamos

[Abonnés] Leçons de hacking de mots de passe Vol.1, par Azamos.

Aujourd’hui je vous propose d’enfiler la tenue d’un hacker. Oui, vous, et vous allez découvrir qu’avec les bons outils et techniques on peut faire beaucoup de choses très facilement, sans connaissances particulières.

Dépanneur informatique on m’amène parfois des PC bloqués par un mot de passe au démarrage, ou bien des systèmes qui ne démarrent plus mais dont les navigateurs contiennent une foultitude de pass enregistrés depuis si longtemps que leurs propriétaires ne se rappellent plus quoi taper, ou encore des messageries qui ne donnent quasi aucun support, telle Laposte.net.

Alors avec le temps j’ai accumulé une tonne d’astuces, techniques et petits logiciels qui me permettent de répondre à la demande, et je vais ici en partager quelques uns avec vous.

Intéressés ? Alors suivez le guide !  :-)

***

Leçons de hacking de mots de passe Vol.1, par Azamos.

AVERTISSEMENT

 

Il va de soit que les différentes techniques qui seront exposées ici ne doivent servir qu’à un dépannage de votre propre ordinateur ou celui d’un proche et avec son autorisation.

Elles ne doivent pas servir pour tenter de contourner ou outrepasser des accès à des données et sites auxquels vous n’avez légitimement pas lieux d’obtenir.

SOSPC et moi-même dégageons toute responsabilité en cas d'usage frauduleux et inadapté que vous pourriez faire des astuces contenues dans ce tutoriel.

Ceci clairement énoncé, poursuivons  :-)

***

 Leçons de hacking de mots de passe

MOTS DE PASSE SUR NAVIGATEUR

 

Faut-il encore le répéter ? Allez, je m’y colle : N’ENREGISTRER JAMAIS VOS MOTS DE PASSE SUR UN NAVIGATEUR !!!

C'est d'ailleurs l'un des conseils que vous a donné Christophe dans l'une de ses dernières vidéos sur la Chaîne d'Sospc.

Les 2 techniques que je vais vous présenter ici vont vous prouver que SANS AUCUN LOGICIEL et sans connaissances en programmation on peut en quelques dizaines de secondes récupérer TOUS vos mots de passe !

1er TECHNIQUE : l’aspirateur.

Cette technique est on ne peut plus simple : on utilise un navigateur pour aspirer les mots de passe des autres navigateurs.

Comme aspirateur on peut choisir Chrome ou Firefox, permettant d’aller pomper les mots de passe des autres navigateurs tels Edge, Internet Explorer, Safari, Opéra, … et j’en passe.

Je vais détailler ici la méthode sous Firefox :

  1. S’il n’est pas présent, installez-le, puis lancez-le. Cliquez ICI pour le télécharger.
  1. Une fois dessus on va faire une petite modification rapide en faisant un clic-droit sur une zone vide de la barre tout en haut du navigateur =>

Leçons de hacking de mots de passe Vol.1 image 1

Dans le menu déroulant on clique sur « Barre des menus » ; on pourrait très bien se passer de cette modification en passant par les 3 bandes horizontales (entourées en orange), mais elle permet un accès bien plus rapide à ce que l’on veut atteindre  ;-)

  • Une fois fait on se retrouve avec un accès facile à plein de choses =>

Leçons de hacking de mots de passe Vol.1 image 2

  • On clique sur « Outils », et dans le menu déroulant sur « Options » =>

Leçons de hacking de mots de passe Vol.1 image 3

  • Sur la page qui s’affiche on va sur l’onglet « Vie privée et sécurité » =>

Leçons de hacking de mots de passe Vol.1 image 4

  • Arrivé là on descend à l’aide de l’ascenseur à droite pour tomber sur la partie « Formulaires et mots de passe » =>

Leçons de hacking de mots de passe Vol.1 image 5

  • Et voilà ! Nous découvrons que 21 sites sont répertoriés =>

Leçons de hacking de mots de passe Vol.1 image 6

Signalés par des flèches rouges les sites les plus sensibles :

  • Un cabinet d’avocat où l’on peut accéder aux dossiers du propriétaire du navigateur
  • Une clinique où l’on peut accéder au dossier médical du propriétaire du navigateur
  • Un site de conseil personnalisé en droit du travail, et comme les autres avec les données et demandes faites par l’entreprise
  • Un compte Facebook
  • Une boite mail Orange
  • La boutique LaPoste, où l’on peut faire des achats sur compte
  • Un compte sur la Laposte.fr
  • Un compte Paypal, avec une carte bancaire enregistrée dessus !!!!

Bref, un pirate rien qu’à voir ça doit déjà en avoir l’eau à la bouche….

  • On clique donc sur le bouton en bas à droite « Afficher les mots de passe », et s’en suit un message d’avertissement que l’on valide =>

Leçons de hacking de mots de passe Vol.1 image 7

  • Et TADAMMM !!!! =>

Leçons de hacking de mots de passe Vol.1 image 8

Me voilà en possession de la grande majorité des mots de passe des sites ! tropbien

J’ai bien entendu masqué partiellement sur mes captures les données trop confidentielles, mais pour l’anecdote il n’y a que 5 mots de passe différents, dont 1 revient très souvent.

Pas mal déjà, hein ?  :-)

….mais on va faire BEAUCOUP mieux !!!!  :yes:

On va aller aspirer les mdp (mots de passe) des autres navigateurs présents sur le PC.

  • Pour cela on va retourner sur notre barre de menus et cliquer sur « Marque-page » =>

Leçons de hacking de mots de passe Vol.1 image 9

Une fois là on clique sur « Afficher les marque-pages »…

  • … et sur la nouvelle fenêtre on ouvre « Importation et sauvegarde » =>

Leçons de hacking de mots de passe Vol.1 image 10

  • Puis l’on sélectionne « Importer des données d’un autre navigateur »

Leçons de hacking de mots de passe Vol.1 image 11

  • Et nous voilà avec comme choix les 2 autres que sont Internet Explorer et Chrome. Si j’avais fait la capture sous Windows 10 j’aurais eu Edge en prime =>

Leçons de hacking de mots de passe Vol.1 image 12

  • On prend le premier et on clique sur « Suivant » =>

Leçons de hacking de mots de passe Vol.1 image 13

  • On laisse tout coché, et « Suivant » à nouveau =>

Leçons de hacking de mots de passe Vol.1 image 14

Çela n’a pris qu’une poignée de seconde.

  • Je recommence l’opération avec les autres navigateurs (dans mon cas présent ils avaient TOUS des mdp enregistrés dessus), et voici ce que cela m’a donné à la fin =>

Leçons de hacking de mots de passe Vol.1 image 15

Plusieurs dizaines de sites et comptes récupérés, 128 au total !!!

 

Combien de temps la totalité des opérations m’ont prise ?

Tout compris moins d’1 minute et 30 secondes en mode manuel.

MIEUX, j’aurais pu utiliser une clé USB avec un petit fichier batch qui m’aurait automatisé tout cela et ne m’aurait pris qu’entre 15 à 30 secondes grand max !

ET ENCORE MIEUX, un petit fichier batch qui me récupère les dossiers spécifiques à chaque navigateur contenant les paramètres et cie de chaque navigateur : 30 secondes maximum… et avec ça je peux tranquillement chez moi faire des clones parfaits des navigateurs de mes « victimes » et exploiter tout cela à loisir pendant des mois sans que l’on ne s’aperçoive de rien  :yes:

Bon, moi je ne suis pas un pirate, mon éducation et ma conscience m’en empêche, mais des gens sans scrupules eux utilisent des techniques similaires, voir plus élaborées, sans vergogne.

Passons à la seconde technique.

2ème TECHNIQUE : démasquer les points.

Ici on va employer une méthode moins connue que la première, mais redoutable d’efficacité car elle fonctionne sur TOUS les navigateurs, et sans aucun logiciel non plus !

Il s’agit de faire apparaître en clair la suite de points noirs qui dissimulent le mot de passe.

On les retrouve souvent sur les sites dits sociaux ainsi que sur les boites mails des FAI par exemple.

Eh oui, beaucoup ne pensent jamais à se déconnecter de leur session sur certains sites, et lorsque l’on ouvre un navigateur on peut très facilement visualiser un mot de passe camouflé derrière une série de point.

Pour se faire il vous faut simplement ne retenir qu’un seul et unique mot : « text » (pas compliqué, hein !  ;-) )

  • Voici un exemple concret sur un site dit social très connu =>

Leçons de hacking de mots de passe Vol.1 image 16

  • On voit le site épinglé, juste à cliquer dessus et on arrive sur la page d’identification =>

Leçons de hacking de mots de passe Vol.1 image 17

Tout est déjà pré-rempli : je pourrais donc me connecter directement sur le compte, mais impossible pour moi d’y revenir depuis un autre ordinateur vu que je n’ai que l’adresse mail et pas le mdp.

On va (très) vite récupérer cela !

  • Un petit clic droit sur la zone blanche où se trouve les points noirs =>

Leçons de hacking de mots de passe Vol.1 image 18

  • Et on sélectionne « Examiner l’élément », ce qui va faire apparaître (sous Firefox) un encart en bas de page (sous Chrome ce sera normalement à droite) =>

Leçons de hacking de mots de passe Vol.1 image 19

  • Sur la ligne bleutée on va rechercher le tronçon « type = "password" »

Leçons de hacking de mots de passe Vol.1 image 20

  • On double-clic sur le mot « password », et on le remplace simplement par le mot « text » =>

Leçons de hacking de mots de passe Vol.1 image 21

Et on valide par la touche « Entrée ».

  • Et magique, en haut apparaît le mot de passe en clair !!!!  :yahoo:

Leçons de hacking de mots de passe Vol.1 image 22

Temps de réalisation de ce « hack » : une dizaine de secondes avec un peu d’entrainement.  :yes:

Le pire, c’est que c’est quasiment invisible et ne laisse pas de trace, et aucun antivirus ou autre ne protège de ce genre de manipulation !

Alors à retenir : TOUJOURS se déconnecter !

***

Leçons de hacking de mots de passe FAQ

 

« Quels sont les moyens pour se protéger de tout cela ? »

On ne peut pas se protéger totalement face à quelqu’un qui a les bonnes techniques et outils, tenez-le-vous pour dit.

En revanche on peut quand même rendre la tâche plus difficile à accomplir :

  • Avoir un très bon antivirus (ou suite antivirale)
  • Ne JAMAIS enregistrer ses mots de passe
  • Faire le nettoyage de TOUS les navigateurs : et oui, on peut en avoir à un moment ou un autre sauvegardé des mots de passe sur un autre navigateur que l’on n’utilise plus ; pour cela le lien vers le tutoriel de Christophe qui vous donnera les manipulations à effectuer => 
  • Ne jamais laisser son ordinateur sans surveillance, même quelques minutes. Le petit frère revanchard ou le collègue de bureau pourrait bien vous pourrir la vie. Verrouillez votre session si vous avez à vous absenter.
  • Si l’on prête son PC, verrouiller sa session à l’aide d’un mot de passe, et créer une session « utilisateur standard », ou mieux « invité », cette dernière malheureusement plus disponible sous Windows 10 [quelle bande de cr*tins ! mur ].

« Ce n’est pas trop dangereux de donner ces techniques de hack aux lecteurs d’SOSPC ? »

J’ai longtemps hésité à fournir de telles astuces ; mais j’ai pris en compte 2 paramètres !

  1. On est ici sur la zone Premium d’SOSPC, et donc face à un nombre limité de membres, et la lecture est donc restreinte à des personnes adultes, responsables et qui soutienne par leur participation le site. Kevin-le-kikou-lol-le-hacker-du-fond-du-jardin restera à la porte et ne voudra pas « perdre » quelques euros pour un contenu hypothétique.
  2. Ces astuces ne sont pas non plus un secret d’état et trouvables en cherchant un peu sur le Net. Je n’ai fait que les mettre en forme et les présenter de façon explicite avec un pas-à-pas compréhensible par tous  ;-)
  3. Vu que vous êtes Premium, et que donc vous soutenez par vos deniers Christophe pour qu’il maintienne à flot le site, je trouve juste de vous fournir de quoi vous sortir de l’embarras (ou vos proches) en cas de perte de mot de passe, vous évitant parfois le passage vers un professionnel (donc payant) qui utilisera ce type de méthode  :-)
  4. Ce tuto a aussi un but éducatif par la démonstration : s’il en était encore besoin vous avez pût constater que sans aucun logiciel et très simplement, on peut récupérer beaucoup de choses, parfois confidentielles, auxquelles on n’aimera pas que d’autres aient accès.

« Il y a marqué « Vol.1 » dans le titre : il y aura une suite ? »

Et oui ! Ce sera là l’utilisation de 1, ou 2, ou 3… logiciel(s) permettant de passer outre un mot de passe de session, même sur un compte Windows 10 autre que local. Ou encore forcer l’entrée sur un gestionnaire de messagerie (Outlook du pack Office ou bien encore Thunderbird), réputés à tort comme sûr.

Je n’ai pas encore définit réellement le contenu du volume 2, donc si vous avez des suggestions je vous écoute  :yes:

***

Fin de ce tutoriel ! Vous pouvez retirer vos cagoules et lunettes noires. bg

La prochaine fois on partira sur des trucs plus techniques, mais intéressants à connaitre ;-)

Merci encore de ne pas diffuser ces astuces auprès de n’importe qui, et je le rappel, vous êtes seuls responsables de l’usage que vous en ferez.

Je vous dis à très bientôt  :bye:

AZAMOS

Azamos Contributeur Sospc

Les autres articles d'AZAMOS :  

 

autres articles

SOSPC c'est plus de 2000 articles,

Rejoignez la Communauté à partir de 2 € par mois !

Plus d'infos sur les avantages en cliquant ICI.

Christophe, Administrateur

S’abonner à cette discussion
Notifier de
39 Commentaires
le plus récent
le plus ancien le plus populaire
Inline Feedbacks
View all comments
Pascaloup

Bonjour, J'ai une question qui est peut être idiote mais bon je le lance !  Dans Firefox par exemple on peut mettre un mot de passe maître qui empêche de voir les mots de passe enregistrés si on a pas rentré le mot de passe principal avant.  Quand on clique sur afficher les mots de passe une fenêtre s'affiche et demande le mot de passe principal et si celui ci n'est pas rentré ou est faut, les mots de passe ne s'affichent pas ! Est ce que vous pensez que ça apporte une sécurité en plus ou votre technique fonctionne quand même ?… Lire la suite »

Bouzoukis

Merci beaucoup Azamos pour ce premier article d'une série que j'espère longue … et merci aussi pour la confiance que tu nous accordes :good:
Je vais me servir de ton article pour démontrer à mes proches pourquoi il ne faut jamais enregistrer ses mots de passe dans le navigateur : ils vont "flipper leur race" :yahoo:
Plus sérieusement, est-ce que les outils comme Dashlane, Last Pass ou autres, sont une alternative sécure ?
Joyeux Noël et bonnes fêtes de fin d'année !

Hugh

Bonjour AZAMOS,
Merci pour ton article à la fois instructif et quand même très flippant !
Suite à l'article de Christophe sur l'élimination des mots de passe dans les navigateurs, j'ai désactivé cette fonction sous firefox !
Je ne pensais vraiment pas qu'il était si facile d'afficher un mot de passe en clair !
Merci de rééquilibrer la balance de la justice pour les gens honnêtes qui n'ont pas forcément les connaissances d'un pro en informatique comme toi et Christophe. :good: :good:

Joyeux Noel à tous :bye: :bye:

Robert

Bonjour,
Suite à vos conseils sur le site , j'utilise Dashlane. Je viens de tester la méthode présentée dans cet article et je n'avais pas de trace .
Merci pour cet article très intéressant.

Patrick

Salut Azamos,
A l'époque où j'intervenais sur Windows, ce qui m'arrive de moins en moins, j'utilisais je crois ReCall qui révélait pas mal de choses, en particulier les mots de passe messagerie nécessaires pour différentes paramétrages. Sous Linux, en clin d’œil, il n'y a aucune des options que tu signales, sous Firefox en tous cas. Merci quoi qu'il en soit pour ces "trucs" qui peuvent faciliter la vie quand on ne peut pas joindre le Propriétaire de la bécane.
Patrick

Mia

:bye:

Je n'utilise pas l'enregistrement des mots de passe dans le navigateur pour les sites sensibles, mais uniquement pour l'inscription sur les sites non marchands et les forums.

Je connais bien l'astuce n° 1, j'imprime l'ensemble de mes MP depuis cet endroit afin de les avoirs sous la main pendant les vacances.

C'est pourquoi je suis étonnée par par le commentaire de Patrick : je suis pourtant sous Linux Mint (seul OS sur le PC) et j'utilise Firefox :scratch:

comment image

stephane

salut et un grand merci !! pouvoir apprendre certaines techniques bien pratique en cas de besoin est devenus rare ! la norme est devenus de cacher au gens honnête ce que les malhonnêtes connaissent pour nous piéger ! au nom de notre sécurité ils ont pas de mal,eux ! nous c'est plus dur de connaitre certaines manip du faite que l'on ne cherche pas à nuire ! on ne risque pas de connaitre ce que l'on ne cherche pas ! sans quelques raisonnements de partage comme cet article ! nous resterions vulnérables face à ceux qui veulent nuire !!! ou simplement utile ! j'ai pus… Lire la suite »

Ermo

Bonjour Azamos, Fantastique ! J'ai enfin trouvé le moyen, grâce à ton article, de retrouver mes mots de passe sans avoir recours à KeePass, manœuvre assez pénible à la longue J'exagère à peine: après t'avoir lu, j'ai ouvert le paramètre "mots de passe" de Chrome, je te dis pas les surprises ! J'ai donc désactivé la proposition systématique d'enregistrement des mots de passe qui a sans doute donné lieu à quelques clics malheureux. Après c'est tellement confortable qu'on ne remarque même pas qu'on accède directement à un site. Cela dit je ne me vois pas taper un mdp chaque fois je… Lire la suite »

Joseph

Ça alors !! Azamos le p'tit " fuineur " de SOSPC ! tg

Vraiment formidable ta trouvaille, comme quoi , pas toujours besoin d'être un super ingénieur en informatique afin de nous sortir des trucs de derrière les fagots ! :good:

Grand merci Mister Azamos d'être là pour nous ! Tu es génial et je me réjouis à chaque fois de la réception d'un mail venant de SOSPC, ils sont TOUS plus intéressants les uns que les autres !

Bonne continuation en 2019 les gars ! vv :good: :bye:

Obtenez Office 2021 et Windows 11 à petits prix, cliquez ICI.

Les Bons Plans Accessoires informatiques du moment, cliquez ICI.

ChronoCode, un live fantastique se déroulant dans l'univers informatique, cliquez ICI.

[Vidéo] testez la rapidité de vos navigateurs, cliquez ICI.

[Vidéo] Quels sont les 2 meilleurs Antivirus en 2024 ? Cliquez ICI pour le savoir.

Réparer Windows 10 sans perdre vos données, cliquez ICI.

Relay Live #35, on a répondu à vos questions en direct, cliquez ICI.

39
0
Seuls les abonnés peuvent déposer un commentaire.x