# Le club des professionnels en informatique > La taverne du Club : Humour et divers >  [pirates !] Rcuprer le mot de passe !

## NorocBzh

Alors que je procrastinais tranquillement sur le net, j'ai dcouvert qu'on pouvait rcuprer un mot de passe avec une mthode extrmement simple  :8O: 

Avant de se logger sur developpez.com par exemple, j'ai mon user qui est reconnu et mon pwd aussi. Je n'ai donc plus qu' cliquer sur "se connecter".
En faisant clic droit sur le pwd (*****) puis "inspecter l'lment", on tombe sur "type=password" [blablabla] ...
Il suffit de remplacer "password" par "text", de faire "entre" et pouf ! Mon mot de passe apparat comme par enchantement en dur  :8O: 

J'y connais rien en code (je visite plutt la partie BI de dveloppez), mais c'est si facile de rcuprer un mot de passe ??
Il doit bien avoir une mthode pour empcher a j'imagine ? (Sur un site comme dveloppez, ce serait pas mal de la mettre en oeuvre nan ? Avec tous les boss du code qu'on trouve par ici  ::):  )

Merci pour vos claircissements  ::P:

----------


## mala92

En fait, tu mlange un peu tout.
Ce que tu expliques c'est ce qui se passe sur ta machine *en local*, a ne dpend pas de Developpez mais du webbrowser. Tu peux faire exactement la mme chose avec des clients lourds dvelopp dans n'importe quels langages.

Quand tu entres un mot de passe dans un formulaire, il faut bien ce que formulaire (en local) connaisse ce mot de passe en clair pour pouvoir l'envoyer crypt au serveur web.




> mais c'est si facile de rcuprer un mot de passe ??


 Oui, mais il faut avoir accs aux donnes locales de ton PC. Mais l ce n'est plus le problme de Developpez mais celui de l'OS et du navigateur.

Les spcialistes de la scurit expliqueront srement mieux que moi.

----------


## javamine

> Quand tu entres un mot de passe dans un formulaire, il faut bien ce que formulaire (en local) connaisse ce mot de passe en clair pour pouvoir l'envoyer crypt au serveur web.


Hum, je viens d'essayer sur d'autres sites, je n'ai pas ce soucis.
Du coup il doit y avoir un vrai problme sur developpez.

Heureusement que mon mot de passe sur developpez est unique et que je ne l'utilise pas ailleurs, car a mennuierait que quelqu'un qui utilise mon poste puisse trouver aussi facilement mon mot de passe.

----------


## Bousk

http://danstonchat.com/13182.html

Cette manip' fonctionnera sur tous les sites. Elle ne fait que changer l'affichage *local*.
Enfin pour lire les mot de passe, pas besoin de se "faire autant chier", tu vas lire la liste des mot de passe enregistrs par l'utilisateur sur son browser.  ::mrgreen:: 
Sur chrome en tous cas la liste est trs accessible
Options > donnes personnelles > grer les mot de passe enregistrs > afficher

----------


## thelvin

> Hum, je viens d'essayer sur d'autres sites, je n'ai pas ce soucis.
> Du coup il doit y avoir un vrai problme sur developpez.


Nan, c'est juste que sur les autres sites, tu n'as pas demand  ton navigateur de retenir le mot de passe.

Personnellement, je ne demande jamais  mon navigateur de retenir aucun mot de passe, nulle part, justement  cause de a. Je me contente de demander  garder la session ouverte, et quand elle expire, ben je retape le mot de passe.

Mais "retenir le mot de passe" c'est une fonctionnalit du navigateur, et c'est comme a qu'elle marche.

----------


## Anomaly

> Hum, je viens d'essayer sur d'autres sites, je n'ai pas ce soucis.
> Du coup il doit y avoir un vrai problme sur developpez.


Euh non il n'y a aucun problme.  ::nono:: 

Vous cherchez  bidouiller localement le code pour changer le masquage du mot de passe pour qu'il passe en clair, cela n'affecte que votre propre machine d'une part, et d'autre part, il se passera exactement la mme chose sur tous les sites, sauf pour ceux qui demandent un clavier virtuel pour se connecter, comme votre banque ou votre compte Free Mobile.

Ici le mot de passe a t mmoris par ton navigateur (suite  ta demande), nous n'y sommes pour rien. En effet le mot de passe est envoy une fois au serveur  la connexion et aprs ce n'est seulement qu'un identifiant de session (et un mot de passe hash si "se souvenir de moi" est coch) qui est renvoy au client, stock et r-expdi  chaque requte.

Sachez de toute faon que si vous laissez l'accs  votre machine locale  une personne qui n'est pas de confiance, elle peut faire des choses terribles, vous voler tous vos mots de passe, vos fichiers et installer un keylogger  votre insu, ce qui est largement plus facile et rentable que de s'amuser  bidouiller le code HTML local de Developpez.

Si tu as peur que quelqu'un puisse venir sur ta machine  l'insu de ton plein gr, ne stocke aucun mot de passe dans ton navigateur et ne coche jamais "se souvenir de moi".

Sachez que je reste  votre disposition pour tout claircissement.

----------


## NorocBzh

Merci  tous de ces explications, c'est beaucoup plus clair  ::ccool::

----------


## Anomaly

Je prcise galement que le mot de passe hach qui est stock en cookie n'est pas un simple MD5 du mot de passe, mais il s'agit d'une formule plus complexe faisant intervenir un salage. Cela veut notamment dire que quelqu'un qui trouve le moyen de rcuprer le cookie du mot de passe hash n'aura aucun moyen de retrouver le mot de passe en clair. Par contre il pourrait ventuellement poster sur votre compte avec, certes, puisqu'il s'agit de l'information d'identification. Il ne pourra pas cependant vous priver de votre compte car pour changer de mot de passe il faut fournir l'ancien en clair, le mot de passe hash en cookie ne suffit pas.

En gros, pour dmystifier un peu tout cela :
- Si vous acceptez que votre *navigateur* enregistre vos mots de passe, c'est un danger si quelqu'un peut accder  votre ordinateur directement ou indirectement car il est facile voir trivial de voir les mots de passes enregistrs en clair.

- Si vous acceptez que le *forum* se souvienne de vous, cela provoque l'insertion d'un cookie contenant votre mot de passe hash. Il est possible que quelqu'un vous vole votre information d'identification et donc se connecte sur votre compte en cas d'accs direct  votre machine, ou indirect si un virus ou cheval de troie est sur votre machine pour rcuprer et transmettre ces informations. Il n'est pas possible en revanche que le voleur puisse connatre votre mot de passe en clair ou changer votre mot de passe. De plus, si vous changez votre mot de passe, cela invalide toutes les autres sessions ventuellement voles et donc votre voleur n'aura plus qu' refaire son larcin.

- En connexion non permanente, le risque de vol par rapport  la connexion permanente existe toujours mais est rduit. En revanche l'exprience de navigation est fortement diminue parce qu'il faut passer son temps  se reconnecter. Si vous deviez choisir entre connexion permanente sur le forum, ou connexion temporaire avec mmorisation de vos identifiants dans le navigateur, choisissez sans hsiter la connexion permanente sur le forum qui est plus sre.

- Le mot de passe est transmis en clair  nos serveurs, mais il ne l'est qu'une fois par connexion manuelle. Tous les accs suivants ne transmettent pas de mot de passe en clair, y compris en cas de connexion plus tard alors que votre connexion est marque comme permanente. Cela ne pose donc un problme potentiel que si vous vous connectez manuellement sur un rseau dont vous n'tes pas sr, exemple un Wifi non scuris. Une solution  ceci serait de notre ct d'imposer le HTTPS, trs gourmand en ressources systmes ce qui est un problme si cela doit affecter les performances du forum, et qui ncessite galement l'achat d'un certificat. De votre ct si votre rseau n'est pas sr, passez par un tunnel chiffr. Je rappelle que ceci ne concerne que la connexion manuelle, l o vous validez vos identifiants et mot de passe. Si vous avez choisi une connexion permanente depuis une connexion sre, puis que vous vous connectez automatiquement au forum depuis une connexion non sre, il n'y a pas de danger de vol de mot de passe en clair.

- Si vous deviez retenir qu'un seul vrai danger, ce sont les malwares. Si vous avez reu un cheval de Troie sur votre systme, tout peut arriver, que a soit un keylogger qui enregistre les frappes de votre clavier, ou un fouineur qui va rechercher les fichiers de mot de passe et cookies pour les transmettre sur Internet. C'est vraiment la mthode la plus courante de vol de compte, que a soit sur Developpez ou ailleurs. Et a de notre ct nous ne pouvons rien y faire. Par contre, du vtre, c'est simple, installez Linux.

En esprant que ce complment d'informations soit clair pour tout le monde.  ::D:

----------


## javamine

> sauf pour ceux qui demandent un clavier virtuel pour se connecter


C'est effectivement ce que j'avais test.  ::bravo:: 

En tout cas merci pour les explications, c'est toujours bon un petit rappel sur la scurit. Quand on voit ce qu'on peut rcuprer d'une faon enfantine...

----------

