browserforensics
Retour à tous les articles

Déchiffrer les cookies Chrome et Edge dans votre navigateur

2026-06-17 · 3 min

Ceci est le compagnon pratique des deux analyses approfondies sur le chiffrement des cookies et la chaîne DPAPI hors ligne. Il détaille le déchiffrement des valeurs de cookies Chrome/Edge dans le parseur dans le navigateur — pas de serveur, pas d'envoi, rien ne quitte l'onglet.

Ce que vous devez collecter

Depuis le profil et le poste cibles :

EntréeEmplacement
base Cookies…\User Data\<Profile>\Network\Cookies
Local State…\User Data\Local State
fichier masterkey DPAPI%APPDATA%\Microsoft\Protect\<SID>\<GUID>
SID utilisateurle nom du dossier sous …\Protect\
hash NT ou mot de passehash NT depuis la ruche SAM (boot key depuis SYSTEM)

Le GUID de la masterkey dont vous avez besoin est affiché dans l'outil après le chargement de Local State, afin que vous puissiez l'associer au bon fichier sous \Protect\.

Deux chemins vers la clé

Le déchiffreur propose deux méthodes. Utilisez celle qui correspond à ce dont vous disposez.

A) Vous avez déjà la clé AES

Si un autre outil a déjà désencapsulé la clé os_crypt de 32 octets, collez-la (en hexadécimal ou en base64) et déchiffrez. Terminé.

B) La dériver ici à partir des fichiers Windows

Ceci exécute toute la chaîne DPAPI dans le navigateur :

  1. Chargez d'abord la base Cookies. La table apparaît avec une colonne Valeur déchiffrée vide et un panneau de déchiffrement en dessous.
  2. Ajoutez les fichiers de déchiffrement. Déposez Local State sur la même zone de dépôt — les envois s'accumulent, vos cookies restent donc en place — ou sélectionnez-le directement dans le panneau. Choisissez ensuite le fichier masterkey.
  3. Saisissez le SID et le secret. Choisissez hash NT ou mot de passe et collez la valeur.
  4. Dériver la clé et déchiffrer. L'outil déchiffre la masterkey (en vérifiant son HMAC), désencapsule la clé AES et remplit la colonne Valeur déchiffrée.

Si le SID ou le secret est erroné, le HMAC de la masterkey échoue et vous obtenez une erreur claire plutôt que des déchets silencieux — une propriété de la conception de DPAPI, et non de l'outil.

Lire les résultats

Les valeurs déchiffrées atterrissent dans la table des cookies à côté de l'hôte, du nom et des trois horodatages. Filtrez sur la session ou le jeton qui vous intéresse, puis exportez la table en CSV ou JSON. Un cookie d'authentification __Secure-… déchiffré à côté d'une ligne de téléchargement ou de visite verrouille une session de manière incontestable.

Périmètre et limites

  • Les valeurs v10 se déchiffrent entièrement avec ce flux. Le v20 (app-bound, Chrome 127+) nécessite la clé app-bound, qui n'est que partiellement récupérable depuis les fichiers — voir l'analyse approfondie du chiffrement.
  • Masterkeys modernes uniquement (AES-256). Les masterkeys 3DES héritées sont rejetées avec un message plutôt que mal déchiffrées.
  • Windows uniquement. Les clés du Keychain macOS et du keyring Linux constituent un problème d'acquisition différent.
  • N'oubliez pas le fichier complémentaire -wal à côté de Cookies — déposez-le aussi pour ne pas manquer les cookies récemment posés (pourquoi).

Pour aller plus loin