
Il existerait des myriades de façons de construire un dossier sur vous en fouillant les données stockées dans votre navigateur
Les criminels peuvent facilement pirater votre navigateur Web. L’utilisation quotidienne d’un navigateur Web offre aux criminels de nombreuses possibilités de pirater vos données personnelles.
Votre navigateur internet : un nid à données
Selon Exabeam, l’entreprise de cyberespionnage, les criminels ont accès à tout à partir de votre navigateur:
- de votre lieu de travail
- à vos heures de travail
- en passant par vos habitudes
- vos banques
- et vos mots de passe
Ne présumez jamais que votre mot de passe est stocké en toute sécurité
Pour déterminer quelles informations sont stockées localement dans un navigateur, Exabeam a visité les sites internet les plus populaires selon la liste Alexa Top 1000. Les chercheurs ont été en mesure d’extraire:
- les noms d’utilisateur des comptes
- les adresses électroniques associées
- les termes de recherche
- les identifiants des courriels
- et les documents ou fichiers consultés
De plus, si un utilisateur choisit de faire enregistrer son mot de passe par son navigateur à l’aide du gestionnaire de mots de passe intégré, les noms d’utilisateur et les mots de passe enregistrés ont pu être extraits pour tous les sites !
Les pirates peuvent récupérer les données stockées dans votre navigateur à l’aide d’une variété de logiciels malveillants à leur disposition.

Les outils utilisés pour récupérer les données de vos navigateurs
- Des infostealers
- Des logiciels de rançon
- Des outils libres qui dumpent les mots de passe sauvés par Microsoft Edge, Mozilla Firefox, Google Chrome, Safari et Opera
- Le logiciel appelé Nirsoft
Google ne répond pas sur ce sujet, et Mozilla déclare que ses utilisateurs devraient toujours mettre à jour la dernière version du navigateur et installer un programme antivirus.
Bien qu’ostensiblement conçus pour aider les utilisateurs à récupérer leurs propres mots de passe, ces programmes comme Nirsfot peuvent être utilisés à mauvais escient. De même, des clés USB équipées de logiciels spécialisés peuvent extraire les données d’un ordinateur non verrouillé dans un espace de travail partagé.
Enfin, les téléphones portables ne sont pas forcément à l’abri, des applications telles que celle-ci étant capable d’enregistrer les mots de passe, les SMS et tous les tchats que vous tapez au clavier.
Créer une clé USB pour pirater un ordinateur
Vos données de localisation piratables
Les données de localisation contenues dans votre périphérique sont également piratables.
Vous rappelez-vous de l’application de jogging Strava qui a révélé sans le savoir l’emplacement des bases militaires américaines et des soldats en Afghanistan ? Ces données peuvent être croisées avec les comptes des réseaux sociaux, ce qui met en danger les militaires – et bien sûr également les particuliers.
Bien que l’information provenant d’applications comme Strava soit très ciblée, l’information stockée dans votre navigateur internet est très large et peut potentiellement révéler toutes sortes de choses à votre sujet.
Les requêtes des moteurs de recherche en disent long sur vous
Ces recherches sur Google, DuckDuckGo et autres StartPage peuvent révéler:
- les problèmes auxquels vous êtes aux prises
- ce qui vous intéresse
- l’endroit où vous vivez, etc.
S’ils connaissent ce que vous tapez sur Google, les attaquants peuvent vous profiler en sachant:
- où vous allez
- où vous travaillez
- ce qui vous intéresse
- les gens avec qui vous vous associez
Google sécurise son gestionnaire de mots de passe
L’extension Password Checkup de Google
Google vient d’annoncer, en juin 2020, qu’il ajoutait un plugin de vérification de mots de passe à son contrôle de sécurité.
La quasi-totalité des comptes en ligne sont sécurisés par un mot de passe. Le fait que de nombreuses personnes réutilisent leur mot de passe signifie également qu’elles se mettent en danger.
Google a essayé d’aider dans ce domaine depuis un certain temps. L’entreprise a mis en place un gestionnaire de mots de passe en ligne dans son navigateur, qui peut enregistrer vos mots de passe. Mais au cours de l’année dernière, Google a travaillé sur un plugin appelé Password Checkup. Ce plugin sera désormais placé au premier plan dans le tableau de bord de la vérification de la sécurité.
Mots de passe sécurisés
Google s’inquiète de la protection des mots de passe pour une bonne raison: Des recherches ont montré que 52 % des personnes réutilisent leurs mots de passe pour plusieurs comptes. Pire encore, 13% utilisent le même mot de passe pour tous leurs comptes.
C’est assez compréhensible, notamment parce que de nos jours, il faut un compte en ligne pour presque tout, et qu’il est difficile de garder la trace de tous ces mots de passe.
Réutiliser un mot de passe peut sembler la solution idéale. Mais cela met en danger vos informations sensibles. Si jamais votre mot de passe est divulgué lors d’une violation de données et que vous avez utilisé le même mot de passe pour tous vos comptes, les pirates informatiques pourront accéder à toutes vos informations.
Un gestionnaire de mots de passe est un outil pratique à utiliser pour garder une trace de tous ces mots de passe. Google a proposé un gestionnaire de mots de passe intégré dans les comptes Google sur Chrome et Android. Ce gestionnaire de mots de passe vous donne la possibilité d’enregistrer un mot de passe et de le remplir automatiquement sur les sites la prochaine fois que vous essayez de vous connecter.
D’autres initiatives privées, comme NordPass, ont l’avantage de chiffrer les mdp et de les inclure dans un coffre-fort à l’extérieur de votre navigateur.
Le plugin de Google vérifie vos mots de passe
Le « Password Checkup » de Google vérifie vos mots de passe stockés dans le navigateur Chrome.
Chaque fois que vous créez un nouveau compte et que vous lui attribuez un mot de passe, l’outil vérifie cette connexion par rapport à une base de données d’informations ayant fait l’objet d’une fuite.
Il vérifie donc si le mot de passe que vous voulez utiliser n’a pas déjà fait l’objet d’une fuite quelque part.
Vous pouvez aussi vous rendre à l’adresse Chekup Mots de Passe pour examiner vos mots de passe et savoir s’ils ont été mis à jour.
En gros, Google stocke une version hachée de chaque nom d’utilisateur et mot de passe connus qui ont été exposés à une violation de données. Lorsque vous essayez de vous connecter à un compte, Google compare une version hachée et chiffrée de vos données de connexion à cette base de données. En raison du chiffrement, Google ne peut pas voir vos données et vous ne pouvez voir aucune des données stockées. En cas de correspondance, vous serez averti et Google vous recommandera de modifier votre mot de passe.
À l’avenir, Google souhaite pouvoir vous envoyer un e-mail lorsque la vérification du mot de passe aura détecté que l’une de vos connexions stockées a été compromise par une violation de données. L’entreprise prévoit de lancer cette fonctionnalité dans les prochains mois.
Google souhaite également que les internautes puissent utiliser la fonction de vérification du mot de passe même s’ils ne sont pas connectés à un compte Google.
Comment Google obtient-il toutes ces données de connexion exposées ?
Un représentant de l’entreprise a déclaré que Google les obtient de « multiples sources différentes et de partenaires de confiance ». Les mots de passe sont souvent partagés ouvertement sur des forums clandestins, et l’entreprise les trouve donc là aussi.
La politique de l’entreprise est de ne jamais payer les criminels pour des données volées, mais ces données remontent souvent à la surface quelque part.
Apple suit le pas
Apple a annoncé de nouvelles fonctionnalités de confidentialité pour la prochaine version de Safari, le navigateur d’Apple.
L’une de ces fonctionnalités est un outil de contrôle des mots de passe similaire à celui de Google. Il détecte si l’un de vos mots de passe enregistrés a été impliqué dans une violation de données.
Comment s’y prennent les pirates pour voler les mots de passe inclus dans votre navigateur
Un script de suivi est injecté dans le site Web ciblé
Ce script produit en arrière-plan des formulaires de connexion invisibles de la page internet. Cela incite les gestionnaires de mots de passe intégrés au navigateur à remplir automatiquement ce formulaire en utilisant les informations enregistrées par l’utilisateur.
En général, le remplissage automatique du formulaire de connexion ne nécessite aucune interaction de la part de l’utilisateur. Tous les principaux navigateurs remplissent automatiquement le nom d’utilisateur (souvent une adresse email), quelle que soit la visibilité du formulaire.
A noter : Chrome ne remplit pas automatiquement le champ du mot de passe jusqu’à ce que l’utilisateur clique sur la page.
D’autres navigateurs n’exigent pas d’interaction de l’utilisateur pour remplir automatiquement le champ du mot de passe.
Comme ces scripts sont principalement conçus pour suivre les utilisateurs, ils détectent le nom d’utilisateur et l’envoient à des serveurs tiers. Les adresses électroniques sont uniques et persistantes, elles ne changeront presque jamais. Utiliser le mode de navigation privé ou changer d’appareil n’empêchera pas ce suivi.
Comment vous protéger
Utiliser un gestionnaire de mots de passe tiers de bonne réputation
C’est généralement un moyen plus sûr de sauvegarder les mots de passe, et d’en créer une infinité de manière totalement aléatoire.
La dernière génération de gestionnaire, Nordpass, s’appuye sur une technologie de pointe avec de nombreux algorithmes de chiffrement haut de gamme à la pointe de la cryptologie. Chaque fois que vous avez besoin d’un nouveau mot de passe, utilisez cette technologie sécurisée avec un caractère aléatoire intégré.
L’authentification multifactorielle
Si vous avez activé un double facteur d’authentification, même si un attaquant vole votre mot de passe, il ne pourra toujours pas accéder à votre compte sans avoir également accès à votre deuxième facteur, ce qui est généralement beaucoup plus difficile.
En plus des gestionnaires de mots de passe tiers, vous pouvez choisir de désactiver ou de ne pas activer du tout les paramètres de remplissage automatique et de sauvegarde du mot de passe.
D’autres stratégies
- la navigation en « Mode Incognito » dans lequel l’historique de navigation est désactivé
- la désactivation des cookies
- l’effacement régulier de vos données de navigation.
A lire aussi
La biométrie pour remplacer vos mots de passe (rétine, voix, empreintes, etc.)
Pourquoi vous ne devriez jamais permettre à votre navigateur web de sauvegarder vos mots de passe
Pourquoi les utilisateurs créent toujours des mots de passe comme 12345
Même après avoir été avertis, les utilisateurs insistent toujours sur des mots de passe comme 12345 ou motdepasse. Et même lorsque ces utilisateurs utilisent des mots de passe incroyablement complexes, il y a toujours un obstacle à une expérience de réseautage vraiment sûre. Ce blocage, c’est lorsqu’un navigateur internet est autorisé à stocker des mots de passe.
Bien sûr c’est pratique. Après tout, qui voudrait taper son mot de passe chaque fois qu’on le lui demande ? Lorsque vous utilisez un grand nombre de services en ligne, le fait de taper un mot de passe à chaque fois que vous utilisez ce service peut perturber votre productivité. Et lorsque ces mots de passe sont incroyablement complexes, à tel point que vous devez utiliser un gestionnaire de mots de passe, l’efficacité s’envole.
Au lieu de faire stocker vos mots de passe par votre navigateur web, utilisez un gestionnaire de mots de passe. Ce faisant, la probabilité qu’une personne consulte vos mots de passe est considérablement réduite. Ce n’est pas parfait, mais c’est bien mieux que de confier la sécurité de vos mots de passe à un navigateur web.