Quand on utilise Firefox, on peut facilement lui demander de stocker dans sa petite base de données, les mots de passe utilisés sur nos sites web préférés. Du coup, lorsqu’on y retourne (sur un site), Firefox rempli automatiquement le champs Login et Mot de passe. Super pratique et un peu sécurisé car cette fonctionnalité est protégée par un mot de passe principal, un “Master password”.

Mais qu’arrive t il lorsqu’on oublie ce master password ?

Et bien, y’a plus qu’à faire une croix sur tous vos mots de passe enregistrés tendrement depuis des années.

Vraiment ? En réalité, non… Voici comment récupérer votre mot de passe principal sous Firefox.

Il existe un outil baptisé FireMaster qui permet de bruteforer le mot de passe principal de Firefox. Il a été compilé uniquement pour Windows mais son code source est disponible si vous voulez vous lancer dans une adaptation linux ou mac.

• Télécharger Firemaster
• Ouvrir une console windows

Voici à titre indicatif les paramètres à passer :

Dictionary Crack Options:

• -d Perform dictionary crack
• -f Dictionary file with words on each line

Hybrid Crack Options:

• -h Perform hybrid crack operation using dictionary passwords.
• Hybrid crack can find passwords like pass123, 123pass etc
• -f Dictionary file with words on each line
• -g Group of characters used for generating the strings
• -n Maximum length of strings to be generated using above character list
• These strings are added to the dictionary word to form the password
• -s Suffix the generated characters to the dictionary word(pass123)
• -p Prefix the generated characters to the dictionary word(123pass)
• -b Perform brute force crack
• -c Character list used for brute force cracking process
• -m [Optional] Specify the minimum length of password
• -p [Optional] Specify the pattern for the password
• -l Specify the maximum length of password

• Et lancer les commandes suivantes (au choix) :

// Attaque par dictionnaire FireMaster.exe -d -f c:dictfile.txt Firefox_Profile_Path

// Attaque hybride FireMaster.exe -h -f c:dictfile.txt -n 3 -g “123” -s Firefox_Profile_Path

// Attaque par bruteforce FireMaster.exe -q -b -m 3 -c “abyz126” -l 10 -p “pa??f??123” Firefox_Profile_Path

Il est donc possible de faire des attaques par dictionnaire ou par bruteforce (test de toutes les combinaisons) ou hybride (dictionnaire + ajout de suffixe ou postfixe généré)

Si vous vous souvenez de la longueur de votre mot de passe ou de certaines lettres le composants, vous pouvez aussi accélérer le crack en précisant ces informations :

FireMaster.exe -b -c “abyz” -l 12 -p “fire?????123” c:testpath

Vous trouverez + d’infos et d’autres détails sur ce site.