Bonjour à tous,  
 
Dans le cadre d'une migration de plateforme Citrix vers VMware Horizon, je souhaiterais récupérer (de préférence automatiquement via un script !) les mots de passe Internet Explorer des utilisateurs. Actuellement, notre plateforme Citrix est sous Server 2008 R2, et notre plateforme Horizon sous Server 2016.  
 
Après beaucoup de recherches, j'ai trouvé que les mots de passe étaient stockés uniquement dans le registre (HKEY_CURRENT_USER\Software\Microsoft\Internet  Explorer\IntelliForms\Storage2), et rien dans AppData comme j'ai pu le lire. Le problème, c'est qu'il est impossible de les réinjecter tel quel dès que l'utilisateur se connecte pour la première fois sur le 2016, vu qu'Internet Explorer n'enregistre plus les mots de passe dans le registre, mais dans Windows Vault. Du peu d'informations que j'ai trouvé sur le sujet, le hachage des données entre ces deux versions d'OS non plus rien à voir, donc impossible de transférer quoi ce soit dans tous les cas.  
 
Y'a t'il une solution (logicielle ou autre) pour les récupérer ou c'est forcément perdu ?  
 
Merci de vos réponses

J'y connais honnêtement pas grand chose à Windows, mais si les hashs ne sont plus générés de la même manière, tu devras forcément commencer par obtenir les mots de passe en clair si tu veux faire ce que tu souhaites. J'ai du mal à voir comment tu peux faire ça sans avoir accès à la session de l'utilisateur, et encore plus à voir comment tu peux l'automatiser ?

 
Des logiciels permettent de récupérer les mots de passe en clair, mais ce n'est pas automatisé, puis impossible de les remettre automatiquement dans le Windows Vault de Server 2016.  Certes c'est toujours mieux que rien, mais c'est quand même dommage que Microsoft n'est rien prévu en cas de migration, surtout qu'on parle d'Internet Explorer 11 dans les deux cas.  
 
Pour l'instant, je suis parti à faire générer manuellement à l'utilisateur un fichier texte, en clair, avec tous les mots de passe dedans.

 
   
 
Vous avez pas un password manager ?

 
Si évidemment qu'on a un password manager.  
Cela ne change pas le fait que l'utilisateur (ou moi   ), on doit rentrer tout le contenu à la main.

salut
 
je ne sais pas si ça peut t'aider
mais j'ai ça pour récupérer les mots de passe
 
[Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,ContentType=WindowsRuntime]
 
(new-object Windows.Security.Credentials.PasswordVault).RetrieveAll() | sort-object -Property username | %{$_.RetrievePassword(); $_ } |
Select-Object -Property username, password, resource | add-Content c:\testresultat.txt

 
Tout est bon à prendre en tout cas    
 
De ce que j'en lis, il récupère les mots de passe venant de Windows Vault. Me confirme-tu que tu exécute ce script que dans un environnement Windows 2012R2/2016/8.1/10 et non pas sur du Windows 2008R2/2012/7/8.1 ?

Mais quel genre de mots de passe veux-tu récupérer ? Pour de bêtes raisons de sécu j'éviterai toute manip de ce type et je m'appuierai sur du SSO.

je récupère les mots de passe sur Windows 7 et 10 avec ce script
pour le reste, aucune idée
a tester xD

Mais c'est quoi l'intérêt ? Des connexions à des sites externes ?

quand tu fais la migration de windows 7 à 10
pour que les utilisateurs récupèrent leurs mots de passe enregistré dans le navigateur (ici c'est pour IE) depuis des années et qu'ils les auraient oubliés

Tu vas donc reproduire une faille de sécu sur une infra toute neuve ? Super idée
Vous n'avez pas prévu de SSO dans votre nouvelle infra ?

on a deja du SSO pour les outils métier, mais pas pour tout
et puis c'est pas ça la question
 
et tu vas encore dire de réunir les responsables pour changer tout ça?

 
Tout les mots de passe qu'Internet Explorer a enregistré jusqu'à présent.  
 
On a actuellement SSOX, et faut déclarer le site qu'on souhaite enregistrer ... pour qu'il l'enregistre !  
Si tu as un bon logiciel, payant ou non, à me recommander, je suis preneur.  
 

 
Je vais tester oui. Je te ferais un retour.  
 

 
Dont les utilisateurs connaissent même plus leurs identifiants, et encore moins leur mot de passe.
Et dont aucun souvent même pas qu'ils se servent de cette plateforme.  
 

 
Le problème du SSO, c'est que cela enregistre tout, même si l'utilisateur va sur des sites perso, c'est là que cela devient plus compliqué. Meme si ils sont pas sensé le faire  

C'est simple, tu migres pas les mots de passe.
Le mec fait un reset de mot de passe ou contacte le support s'il a besoin.
Problem solved

Si c'est pas du pro tu t'en fous, ça pourrait même te mettre en défaut vis-à-vis de a RGPD.

 
Si c'était si simple
 
J'ai de nombreux cas d'utilisateurs qui vont sur des sites, depuis des années, qui seraient incapables de te dire leurs noms, alors imagine leurs identifiants/mots de passe.  
En plus du fait d'ignorer qu'ils utilisent certains sites, donc aucune information sur le support, ni sur la façon de reset leur mot de passe.  
Cela sera l'occasion de faire un gros ménage, même si j'aurais préféré éviter.  
 

 
C'est sensé être que du pro pour tout le monde. Mais y'a forcément quelques cas qui doivent bien s'en servir pour du perso.

Sauvegarder les mots de passe dans le navigateur est déjà en soit une mauvaise pratique. Ne les reprend pas, vraiment.

 
Ton script fonctionne bien sous 2012 R2/2016, mais pas sous 2008 R2 qui affiche un beau message d'erreur :  
 
Type [Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials, ContentType=WindowsRuntime] introuvable : assurez-vous que l’assembly contenant ce type  
est chargé.
Au caractère C:\Users\toto\Desktop\export_motdepasse.ps1:4 : 1
+ [Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,Content ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation : (Windows.Securit...=WindowsRuntime:TypeName) [], RuntimeException
    + FullyQualifiedErrorId : TypeNotFound
 
new-object : Le type [Windows.Security.Credentials.PasswordVault] est introuvable : vérifiez que l'assembly dans lequel il se trouve est chargé.
Au caractère C:\Users\toto\Desktop\export_motdepasse.ps1:6 : 2
+ (new-object Windows.Security.Credentials.PasswordVault).RetrieveAll() | sort-obj ...
+  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidType: ( [New-Object], PSArgumentException
    + FullyQualifiedErrorId : TypeNotFound,Microsoft.PowerShell.Commands.NewObjectCommand
 

 
C'est une mauvaise pratique, sans aucun doute là dessus. Le problème, c'est que sans solution technique, le service support va se prendre énormément d'appels, sans solution non plus, vu qu'on a pas de liste de ce qu'ils peuvent utiliser. Mais on se dirige de toute façon vers cette situation.

bonjour,
escusez moi d'y mettre ma sauce.
chez nous : nous avons une gpo qui interdit la sauvegarde des mots de passe sous IE.
Nous l'avons indiqué dans notre charte.
 
Car si on suit l'anssi, ce n'est pas une bonne pratique.
https://www.ssi.gouv.fr/guide/mot-de-passe/
 
 
rom-16 si j'etais a ta place, je communiquerai sur cela aupres des utilisateurs.
en indiquant que le nouveau systéme ne sauvegardera pas les mots de passe, tu met le logo de l'anssi, ça permet de calmer les velléités de certains. Tu indique aux utilisateurs comment recuperer leur mot de passe. et tu met le script qui sauvegarde sur leur homeshare (mais faut trouver le script )

Suffit de communiquer là-dessus au préalable. En rappelant que le support n'est pas là pour dépanner les incidents non professionnels...

+1 pour la communication en amont, et même des rappels si besoin. Ca éliminera au moins 90% des boulets. Il y en aura toujours quelqu'uns qui appelleront parce qu'ils ont perdus leur mot de passe avec l'excuse "ah bah non j'ai pas lu vos mails, c'était pas important", mais tu auras éliminé la plus grosse partie.

 
Tous les avis est bon à prendre de mon coté  
 
Jusqu'à interdire la sauvegarde des mots de passe, cela ne passera jamais après de mes collègues/supérieurs, car la diversité des utilisateurs et du nombre de sites qu'on gère, fait que cela sera trop compliqué à gérer. Déjà qu'on passe officiellement d'Internet Explorer à Chrome, cela fait déjà un gros changement, et on va avoir beaucoup d'appels sur le sujet. Je récupère juste les mots de passe et les favoris, le reste n'est pas gardé sur Chrome/Internet Explorer.  
 

 
Meme si je communique dessus, je peux espérer à 20/30% de lecture au grand maximum. Par contre, des rappels peut améliorer le nombre de lectures.  
 
Tout le problème, c'est que je ne connais n'y l'impact, n'y la répercussion que cela peut avoir, et cela peut vite mal tourner. Je vais de toute façon mettre au courant l'intégralité de mes responsables, pour que cela me retombe pas dessus, et que tout le monde garde un avis similaire. Car en terme de mauvaises habitudes chez les utilisateurs, j'ai du haut niveau ...  
 
 

bonjour,
la sécurité. ... c'est des contraintes
mais si tu explique a tes supérieurs la note de l'anssi  https://www.ssi.gouv.fr/guide/mot-de-passe/  
ils ne pourront l'ignorer.
ce probléme, tu l'auras a chaque migration de système

Mais c'est votre solution technique qui n'est pas adaptée. Si tu as besoin de gérer l'authentification sur un grand nombre de sites, tu fais du SSO, pas de la sauvegarde de mots de passe. Si vous n'avez pas le budget pour ça il faut alerter là-dessus et lister les risques et impacts.
Sans compter que tu vas rattraper un gap de dix ans avec ta migration, donc il y aura forcément des œufs cassés. C'est aussi le prix à payer pour attendre aussi longtemps entre deux migrations.

 
La solution actuelle n'a pas évoluée depuis début 2011, donc autant dire que oui il va y avoir beaucoup d’œufs cassés, dont des sujets qu'on ne pense même pas. Cela dit, c'était assumé par la DSI et la direction de rien changer, mais maintenant, c'est très urgent de migrer.  
 
Pour le SSO, faut changer de produit, vu que notre actuel n'est adapté. En plus, certains pourraient justement pallier à mon problème de mots de passe Internet Explorer, vu qu'ils sont capables de gérer plusieurs OS/version à la fois. Mais cela demande un certain temps à mettre en place, que je n'ai hélas pas.

bonjour,
rom-16
va lire cet article
par pour le coté "porno"
https://www.lemonde.fr/pixels/artic [...] 08996.html
 
mais le stockage des login et mot de passe n'est pas sécurisé sur les navigateurs. Il semble que cela soit particulièrement ciblé.