Enregistrer ses mots de passe dans son navigateur : bonne ou mauvaise idée ?

Les criminels peuvent facilement pirater votre navigateur Web

L’utilisation quotidienne d’un navigateur Web offre aux criminels de nombreuses possibilités de pirater vos données personnelles.

Selon Exabeam, l’entreprise de cyberespionnage, les criminels ont accès à tout, de votre lieu de travail à vos heures de travail, en passant par vos habitudes, vos banques et vos mots de passe.

Il existerait des myriades de façons de construire un dossier sur vous en fouillant les données stockées dans votre navigateur.

Ne présumez jamais que votre mot de passe est stocké en toute sécurité

Pour déterminer quelles informations sont stockées localement dans un navigateur, Exabeam a visité les sites internet les plus populaires selon la liste Alexa Top 1000.

Les chercheurs ont été en mesure d’extraire les noms d’utilisateur des comptes, les adresses électroniques associées, les termes de recherche, les identifiants des courriels et les documents ou fichiers consultés.

De plus, si un utilisateur choisit de faire enregistrer son mot de passe par son navigateur à l’aide du gestionnaire de mots de passe intégré, les noms d’utilisateur et les mots de passe enregistrés ont pu être extraits pour tous les sites !

Les pirates peuvent récupérer les données stockées dans votre navigateur à l’aide d’une variété de logiciels malveillants à leur disposition.

En plus des infostealers et des logiciels de rançon, il y a des outils libres qui dumpent les mots de passe sauvés par Microsoft Edge, Mozilla Firefox, Google Chrome, Safari, et Opera, y compris un logiciel appelé Nirsoft.

Google ne répond pas sur ce sujet, et Mozilla déclare que ses utilisateurs devraient toujours mettre à jour la dernière version du navigateur et installer un programme antivirus.

Bien qu’ostensiblement conçus pour aider les utilisateurs à récupérer leurs propres mots de passe, ces programmes comme Nirsfot peuvent être utilisés à mauvais escient. De même, des clés USB équipées de logiciels spécialisés peuvent extraire les données d’un ordinateur non verrouillé dans un espace de travail partagé.

Enfin, les téléphones portables ne sont pas forcément à l’abri, des applications telles que celle-ci étant capable d’enregistrer les mots de passe, les SMS et tous les tchats que vous tapez au clavier.

Créer une clé USB pour pirater un ordinateur :

Vos données de localisation

Les données de localisation contenues dans votre périphérique sont également piratables. Vous rappelez-vous de l’application de jogging Strava qui a révélé sans le savoir l’emplacement des bases militaires américaines et des soldats en Afghanistan ? Ces données peuvent être croisées avec les comptes des médias sociaux, ce qui met en danger les militaires – et bien sûr également les particuliers.

Bien que l’information provenant d’applications comme Strava soit très ciblée, l’information stockée dans votre navigateur internet est très large et peut potentiellement révéler toutes sortes de choses à votre sujet.

Dans le même ordre d’idée, les requêtes des moteurs de recherche peuvent révéler les problèmes auxquels vous êtes aux prises, ce qui vous intéresse, l’endroit où vous vivez, etc. S’ils connaissent ce que vous tapez sur Google, les attaquants peuvent vous profiler en sachant où vous allez, où vous travaillez, ce qui vous intéresse et les gens avec qui vous vous associez.

Ne ratez pas : Comment sécuriser Google Chrome ?

Comment s’y prennent les pirates pour voler les mots de passe inclus dans votre navigateur?

Un script de suivi est injecté dans le site Web ciblé. Il produit en arrière-plan des formulaires de connexion invisibles de la page internet. Cela incite les gestionnaires de mots de passe intégrés au navigateur à remplir automatiquement ce formulaire en utilisant les informations enregistrées par l’utilisateur.

En général, le remplissage automatique du formulaire de connexion ne nécessite aucune interaction de la part de l’utilisateur. Tous les principaux navigateurs remplissent automatiquement le nom d’utilisateur (souvent une adresse email), quelle que soit la visibilité du formulaire. Chrome ne remplit pas automatiquement le champ du mot de passe jusqu’à ce que l’utilisateur clique sur la page.

D’autres navigateurs n’exigent pas d’interaction de l’utilisateur pour remplir automatiquement le champ du mot de passe.

Comme ces scripts sont principalement conçus pour suivre les utilisateurs, ils détectent le nom d’utilisateur et l’envoient à des serveurs tiers. Les adresses électroniques sont uniques et persistantes, elles ne changeront presque jamais. Utiliser le mode de navigation privé ou changer d’appareil n’empêchera pas ce suivi.

Comment vous protéger

Utiliser un gestionnaire de mots de passe tiers de bonne réputation est le premier des conseils. C’est généralement un moyen plus sûr de sauvegarder les mots de passe, et d’en créer une infinité de manière totalement aléatoire. La dernière génération de gestionnaire, Nordpass, s’appuye sur une technologie de pointe avec de nombreux algorithmes de chiffrement haut de gamme à la pointe de la cryptologie. Chaque fois que vous avez besoin d’un nouveau mot de passe, utilisez cette technologie sécurisée avec un caractère aléatoire intégré.

Il est également recommandé d’activer l’authentification multifactorielle. Si vous avez activé un double facteur d’authentification, même si un attaquant vole votre mot de passe, il ne pourra toujours pas accéder à votre compte sans avoir également accès à votre deuxième facteur, ce qui est généralement beaucoup plus difficile.

En plus des gestionnaires de mots de passe tiers, vous pouvez choisir de désactiver ou de ne pas activer du tout les paramètres de remplissage automatique et de sauvegarde du mot de passe. D’autres stratégies incluent :