Enregistrer ses mots de passe dans son navigateur : bonne ou mauvaise idée ?

Dans cet article, je vais démontrer à quel point il est facile pour les pirates d’extraire chaque nom d’utilisateur et mot de passe enregistrés sur votre profil Chrome ou Firefox. On pourrait penser que les navigateurs implanteraient des mesures de sécurité pour chiffrer votre mot de passe, mais apparemment ce n’est pas le cas.

Il existerait des myriades de façons de construire un dossier sur vous en fouillant les données stockées dans votre navigateur.

Les criminels peuvent facilement pirater votre navigateur Web. L’utilisation quotidienne d’un navigateur Web offre aux criminels de nombreuses possibilités de pirater vos données personnelles.

Votre navigateur internet : un nid à données

Selon Exabeam, l’entreprise de cyberespionnage, les criminels ont accès à tout à partir de votre navigateur:

  • de votre lieu de travail
  • à vos heures de travail
  • en passant par vos habitudes
  • vos banques
  • et vos mots de passe

Dans quelle mesure est-il sûr de stocker vos mots de passe dans un navigateur moderne ?

J’aimerais savoir si les choses ont changé, surtout depuis que Chrome est devenu plus agressif en demandant aux utilisateurs de sauvegarder leurs mots de passe, et que ces mots de passe sont associés à un compte cloud.

Il y a beaucoup de critiques contre la politique actuelle de Chrome en matière d’enregistrement des mots de passe, et beaucoup d’articles qui mettent en garde contre cette politique. Cependant, je ne sais pas si je suis d’accord avec tous ces articles.

Quelques observations évidentes :

Contre le stockage de vos mdp dans votre navigateur

  • Si quelqu’un obtient un accès physique à votre machine, il n’y a que le mot de passe du système d’exploitation entre lui et tous les mots de passe que vous avez enregistrés.
  • Quelqu’un pourrait potentiellement pirater votre compte Google, se connecter à Chrome, et avoir également accès à tous vos mots de passe.
  • Il n’y a pas de « mot de passe principal » (en dehors du mot de passe du système d’exploitation) pour les protéger si quelqu’un devait se connecter à votre ordinateur.

Pour le stockage de vos mdp dans votre navigateur

Selon HaveIBeenPwned, mon adresse électronique et mes mots de passe ont été partagés en ligne des dizaines de fois grâce à des piratages de sites web.

De grandes entreprises comme Adobe, LinkedIn, Kickstarter ont également été victimes de hacks connus.

Pendant cette même période, je ne me suis jamais fait voler mon ordinateur et je n’ai jamais été victime d’une violation de la sécurité physique.

Si j’utilise un mot de passe généré de manière unique sur chaque site web et que je les enregistre dans Chrome, aucun autre compte de site web ne sera rendu vulnérable par une autre faille de sécurité.

Je fais probablement plus confiance à Google pour détecter et me protéger des activités inhabituelles qu’à n’importe quel autre service en ligne (ce qui ne veut pas dire qu’ils sont infaillibles, évidemment).

Résumé

En termes de vecteurs d’attaque, il semble que si vous pensez être plus susceptible d’être exposé à une attaque physique (ou à une attaque de la part de quelqu’un que vous connaissez), l’enregistrement des mots de passe dans un navigateur pourrait être une très mauvaise idée.

En revanche, si vous êtes plus susceptible d’être victime d’attaques à distance par des inconnus, le fait d’enregistrer des mots de passe uniques sur chaque site Web est susceptible d’améliorer la sécurité de vos informations personnelles. D’ailleurs des générateurs de mdp en ligne vous aident à en générer des complexes.

La sécurité doit tenir compte de l’aspect pratique, et l’utilisateur moyen ne va pas se souvenir d’un mot de passe unique pour chaque site web.


Ne présumez jamais que votre mot de passe est stocké en toute sécurité

Les pirates peuvent récupérer les données stockées dans votre navigateur à l’aide d’une variété de logiciels malveillants à leur disposition.

Les outils utilisés pour récupérer les données de vos navigateurs

  • Des infostealers
  • Des logiciels de rançon
  • Des outils libres qui dumpent les mots de passe sauvés par Microsoft Edge, Mozilla Firefox, Google Chrome, Safari et Opera
  • Le logiciel appelé Nirsoft

Google ne répond pas sur ce sujet, et Mozilla déclare que ses utilisateurs devraient toujours mettre à jour la dernière version du navigateur et installer un programme antivirus.

  • Bien qu’ostensiblement conçus pour aider les utilisateurs à récupérer leurs propres mots de passe, ces programmes comme Nirsfot peuvent être utilisés à mauvais escient.
  • De même, des clés USB équipées de logiciels spécialisés peuvent extraire les données d’un ordinateur non verrouillé dans un espace de travail partagé.
  • Enfin, les téléphones portables ne sont pas forcément à l’abri, des applications telles que ce contrôle parental invisible et espion étant capable d’enregistrer les mots de passe, les SMS et tous les tchats que vous tapez au clavier.

Vos données de localisation piratables

Les données de localisation contenues dans votre périphérique sont également piratables.

Vous rappelez-vous de l’application de jogging Strava qui a révélé sans le savoir l’emplacement des bases militaires américaines et des soldats en Afghanistan ? Ces données peuvent être croisées avec les comptes des réseaux sociaux, ce qui met en danger les militaires – et bien sûr également les particuliers.

Bien que l’information provenant d’applications comme Strava soit très ciblée, l’information stockée dans votre navigateur internet est très large et peut potentiellement révéler toutes sortes de choses à votre sujet.

Les requêtes des moteurs de recherche en disent long sur vous

Ces recherches sur Google, DuckDuckGo et autres StartPage peuvent révéler:

  • les problèmes auxquels vous êtes aux prises
  • ce qui vous intéresse
  • l’endroit où vous vivez, etc.

S’ils connaissent ce que vous tapez sur Google, les attaquants peuvent vous profiler en sachant:

  • où vous allez
  • où vous travaillez
  • ce qui vous intéresse
  • les gens avec qui vous vous associez


Google sécurise son gestionnaire de mots de passe

L’extension Password Checkup de Google

Google a ajouté un plugin de vérification de mots de passe à son contrôle de sécurité. 

Ce plugin est intégré à Chrome, mais il peut aussi être trouvé à cette adresse en ligne : PassWord Checkup de Google.

Google s’inquiète de la protection des mots de passe

Google s’inquiète de la protection des mots de passe pour une bonne raison: Des recherches ont montré que 52 % des personnes réutilisent leurs mots de passe pour plusieurs comptes.

Pire encore, 13% utilisent le même mot de passe pour tous leurs comptes.

Réutiliser un mot de passe peut sembler la solution idéale. Mais cela met en danger vos informations sensibles. Si jamais votre mot de passe est divulgué lors d’une violation de données et que vous avez utilisé le même mot de passe pour tous vos comptes, les pirates informatiques pourront accéder à toutes vos informations.

Les gestionnaires de mots de passe

Un gestionnaire de mots de passe est un outil pratique à utiliser pour garder une trace de tous ces mots de passe.

Google a proposé un gestionnaire de mots de passe intégré dans les comptes Google sur Chrome et Android. Ce gestionnaire de mots de passe vous donne la possibilité d’enregistrer un mot de passe et de le remplir automatiquement sur les sites la prochaine fois que vous essayez de vous connecter. 

D’autres initiatives privées, comme NordPass, ont l’avantage de chiffrer les mdp et de les inclure dans un coffre-fort à l’extérieur de votre navigateur.

Attention : certains ne sauvegardent pas votre vie privée et d’autres sont plus recommandés (ici nos recommandations de gestionnaires de mdp).

Le plugin de Google vérifie vos mots de passe

Le « Password Checkup » de Google vérifie vos mots de passe stockés dans le navigateur Chrome.

Chaque fois que vous créez un nouveau compte et que vous lui attribuez un mot de passe, l’outil vérifie cette connexion par rapport à une base de données d’informations ayant fait l’objet d’une fuite.

Il vérifie donc si le mot de passe que vous voulez utiliser n’a pas déjà fait l’objet d’une fuite quelque part.

En gros, Google stocke une version hachée de chaque nom d’utilisateur et mot de passe connus qui ont été exposés à une violation de données. Lorsque vous essayez de vous connecter à un compte, Google compare une version hachée et chiffrée de vos données de connexion à cette base de données.

En raison du chiffrement, Google ne peut pas voir vos données et vous ne pouvez voir aucune des données stockées. En cas de correspondance, vous serez averti et Google vous recommandera de modifier votre mot de passe.

Comment Google obtient-il toutes ces données de connexion exposées ?

Un représentant de l’entreprise a déclaré que Google les obtient de « multiples sources différentes et de partenaires de confiance ». Les mots de passe sont souvent partagés ouvertement sur des forums clandestins, et l’entreprise les trouve donc là aussi.

La politique de l’entreprise est de ne jamais payer les criminels pour des données volées, mais ces données remontent souvent à la surface quelque part.

Apple suit le pas

Apple a également développé un outil de contrôle des mots de passe similaire à celui de Google. Il détecte si l’un de vos mots de passe enregistrés a été impliqué dans une violation de données.


Comment s’y prennent les pirates pour voler les mots de passe inclus dans votre navigateur

Un script de suivi est injecté dans le site Web ciblé

Ce script produit en arrière-plan des formulaires de connexion invisibles de la page internet.

Cela incite les gestionnaires de mots de passe intégrés au navigateur à remplir automatiquement ce formulaire en utilisant les informations enregistrées par l’utilisateur.

En général, le remplissage automatique du formulaire de connexion ne nécessite aucune interaction de la part de l’utilisateur. Tous les principaux navigateurs remplissent automatiquement le nom d’utilisateur (souvent une adresse email), quelle que soit la visibilité du formulaire.

A noter : Chrome ne remplit pas automatiquement le champ du mot de passe jusqu’à ce que l’utilisateur clique sur la page.

D’autres navigateurs n’exigent pas d’interaction de l’utilisateur pour remplir automatiquement le champ du mot de passe.

Comme ces scripts sont principalement conçus pour suivre les utilisateurs, ils détectent le nom d’utilisateur et l’envoient à des serveurs tiers. Les adresses électroniques sont uniques et persistantes, elles ne changeront presque jamais.

Utiliser le mode de navigation privé ou changer d’appareil n’empêchera pas ce suivi.

Comment vous protéger

Utiliser un gestionnaire de mots de passe tiers de bonne réputation

C’est généralement un moyen plus sûr de sauvegarder les mots de passe, et d’en créer une infinité de manière totalement aléatoire.

  • La dernière génération de gestionnaire, Nordpass, s’appuye sur une technologie de pointe avec de nombreux algorithmes de chiffrement haut de gamme à la pointe de la cryptologie. Chaque fois que vous avez besoin d’un nouveau mot de passe, utilisez cette technologie sécurisée avec un caractère aléatoire intégré.
  • Bitwarden est une autre option : soit vous utilisez leur serveur, soit vous hébergez leur logiciel sur votre propre serveur.
  • Enfin, Keepass est un peu plus compliqué à utiliser : il génère vos mdp mais a plus de difficultés à les réécrire pour vous sur les sites visités.

(D’autres pistes pour choisir votre gestionnaire de mots de passe)

L’authentification multifactorielle

Si vous avez activé un double facteur d’authentification, même si un attaquant vole votre mot de passe, il ne pourra toujours pas accéder à votre compte sans avoir également accès à votre deuxième facteur, ce qui est généralement beaucoup plus difficile.

En plus des gestionnaires de mots de passe tiers, vous pouvez choisir de désactiver ou de ne pas activer du tout les paramètres de remplissage automatique et de sauvegarde du mot de passe.

D’autres stratégies

Dans cette vidéo quelques exemples de bons générateurs de mdp en ligne (sans gestionnaire)

Pourquoi vous ne devriez jamais permettre à votre navigateur web de sauvegarder vos mots de passe
Merci de penser à noter l'article
4.9 (5 votes)