Déchiffrer les cookies Chrome et Edge dans votre navigateur
2026-06-17 · 3 min
Ceci est le compagnon pratique des deux analyses approfondies sur le chiffrement des cookies et la chaîne DPAPI hors ligne. Il détaille le déchiffrement des valeurs de cookies Chrome/Edge dans le parseur dans le navigateur — pas de serveur, pas d'envoi, rien ne quitte l'onglet.
Ce que vous devez collecter
Depuis le profil et le poste cibles :
| Entrée | Emplacement |
|---|---|
base Cookies | …\User Data\<Profile>\Network\Cookies |
Local State | …\User Data\Local State |
| fichier masterkey DPAPI | %APPDATA%\Microsoft\Protect\<SID>\<GUID> |
| SID utilisateur | le nom du dossier sous …\Protect\ |
| hash NT ou mot de passe | hash NT depuis la ruche SAM (boot key depuis SYSTEM) |
Le GUID de la masterkey dont vous avez besoin est affiché dans l'outil
après le chargement de Local State, afin que vous puissiez l'associer au bon
fichier sous \Protect\.
Deux chemins vers la clé
Le déchiffreur propose deux méthodes. Utilisez celle qui correspond à ce dont vous disposez.
A) Vous avez déjà la clé AES
Si un autre outil a déjà désencapsulé la clé os_crypt de 32 octets,
collez-la (en hexadécimal ou en base64) et déchiffrez. Terminé.
B) La dériver ici à partir des fichiers Windows
Ceci exécute toute la chaîne DPAPI dans le navigateur :
- Chargez d'abord la base
Cookies. La table apparaît avec une colonne Valeur déchiffrée vide et un panneau de déchiffrement en dessous. - Ajoutez les fichiers de déchiffrement. Déposez
Local Statesur la même zone de dépôt — les envois s'accumulent, vos cookies restent donc en place — ou sélectionnez-le directement dans le panneau. Choisissez ensuite le fichier masterkey. - Saisissez le SID et le secret. Choisissez hash NT ou mot de passe et collez la valeur.
- Dériver la clé et déchiffrer. L'outil déchiffre la masterkey (en vérifiant son HMAC), désencapsule la clé AES et remplit la colonne Valeur déchiffrée.
Si le SID ou le secret est erroné, le HMAC de la masterkey échoue et vous obtenez une erreur claire plutôt que des déchets silencieux — une propriété de la conception de DPAPI, et non de l'outil.
Lire les résultats
Les valeurs déchiffrées atterrissent dans la table des cookies à côté de
l'hôte, du nom et des trois
horodatages. Filtrez sur la session ou
le jeton qui vous intéresse, puis exportez la table en CSV ou JSON. Un cookie
d'authentification __Secure-… déchiffré à côté d'une ligne de téléchargement
ou de visite verrouille une session de manière incontestable.
Périmètre et limites
- Les valeurs v10 se déchiffrent entièrement avec ce flux. Le v20 (app-bound, Chrome 127+) nécessite la clé app-bound, qui n'est que partiellement récupérable depuis les fichiers — voir l'analyse approfondie du chiffrement.
- Masterkeys modernes uniquement (AES-256). Les masterkeys 3DES héritées sont rejetées avec un message plutôt que mal déchiffrées.
- Windows uniquement. Les clés du Keychain macOS et du keyring Linux constituent un problème d'acquisition différent.
- N'oubliez pas le fichier complémentaire
-walà côté deCookies— déposez-le aussi pour ne pas manquer les cookies récemment posés (pourquoi).