Les développeurs de Chrome et de Firefox pensent que cela convient, dans la mesure où vous devriez empêcher les gens d’accéder à votre ordinateur en premier lieu, mais cela risque d’être une surprise pour beaucoup.
Comment toute personne ayant accès à votre ordinateur peut afficher vos mots de passe
Si vous laissez votre ordinateur connecté et que quelqu'un d'autre l'utilise, ils peuvent ouvrir la page Paramètres de Chrome, accéder à la section Mots de passe et afficher facilement tous les mots de passe que vous avez enregistrés.
Vous pouvez brancher chrome: // paramètres / mots de passe dans la barre d'adresse de Chrome pour accéder facilement à cette page. Cliquez sur un champ de mot de passe, puis sur le bouton Afficher. Vous pouvez voir tous les mots de passe enregistrés dans Chrome sans invites supplémentaires.
Firefox vous permet de définir un «mot de passe principal» à saisir avant de pouvoir afficher ou utiliser les mots de passe enregistrés, mais cette option est désactivée par défaut et Firefox n’invite pas les utilisateurs à en créer un.
Que se passe t-il ici? Est-ce une vulnérabilité de sécurité?
Il y a eu un débat qui fait rage parmi les geeks sur le point de savoir s'il s'agit vraiment d'une vulnérabilité de sécurité. Les développeurs de Chrome (et les développeurs d’autres navigateurs, comme Internet Explorer et même Firefox avec ses paramètres par défaut) doivent-ils modifier ce comportement? Les développeurs ont-ils trahi les utilisateurs, étant donné que les navigateurs ne les avertissent pas de ce comportement?
D'une part, il existe de bons arguments pour le comportement actuel.
- Chrome et Internet Explorer sécurisent tous vos mots de passe enregistrés avec le mot de passe de votre compte utilisateur Windows. Si vous n'êtes pas connecté, vos mots de passe sont inaccessibles. Si un attaquant modifie le mot de passe de votre compte Windows, vos mots de passe deviennent inaccessibles. En supposant que vous utilisiez un mot de passe Windows fort et verrouillez votre ordinateur lorsque vous ne l’utilisez pas, vous êtes théoriquement sécurisé.
- Si un attaquant a un accès physique à votre ordinateur ou si un programme malveillant s'exécute en arrière-plan, il peut consigner vos frappes de touche et obtenir le «mot de passe principal» utilisé pour sécuriser vos mots de passe dans Firefox ou un gestionnaire de mot de passe dédié comme LastPass. Un mot de passe principal dans Chrome fournirait un faux sentiment de sécurité.
- Un mot de passe principal est une méthode de sécurité supplémentaire qui dérangerait les utilisateurs moyens, qui choisiraient malgré tout de le désactiver. Les utilisateurs ne voudraient pas avoir à entrer un mot de passe principal avant d’utiliser leurs mots de passe enregistrés.
- Si votre navigateur était déjà connecté à un compte sur un site Web, l'attaquant pourrait accéder à votre compte sur ce site Web s'il a accès à votre navigateur.
D'autre part, les utilisateurs ne suivent pas les pratiques de sécurité parfaites dans le monde réel:
- De nombreuses personnes partagent des comptes d'utilisateurs Windows, configurent leur ordinateur pour se connecter automatiquement ou permettent aux invités d'utiliser leur ordinateur sans avoir à regarder par-dessus leur épaule tout le temps. Cela rend l'accès aux mots de passe enregistrés trivial. Quiconque, même curieux à distance, pourrait jeter un coup d'œil sur les mots de passe.
- Un mot de passe principal permettrait aux utilisateurs de sécuriser davantage leur base de données de mots de passe, leur permettant de sauvegarder les mots de passe sans se soucier des invités qui utilisent leur ordinateur et d'être tentés de les consulter.
- De nombreux mots de passe de comptes d'utilisateurs Windows sont extrêmement faibles, de sorte que ces derniers n'auraient que peu de protection. De plus, de nombreuses personnes ne verrouillent pas leurs ordinateurs chaque fois qu’elles s’éloignent.
- Chrome fournit plusieurs profils utilisateur, encourageant les utilisateurs à partager les profils Chrome sur un seul compte utilisateur, mais ne fournit aucune méthode pour isoler ces profils et empêche les autres profils utilisateur Chrome d'accéder aux mots de passe d'autres comptes.
- Si un attaquant parvient à accéder à un site Web déjà connecté mais ne dispose pas de votre mot de passe, il ne sera pas en mesure de le modifier ni de supprimer votre compte.
- Les utilisateurs moyens s'attendent probablement à ce que leurs mots de passe soient plus difficiles à afficher. Aucun avertissement ne les informe que quiconque ayant accès à leur ordinateur peut voir leurs mots de passe enregistrés ou qu’ils doivent définir un mot de passe Windows fort et verrouiller leur ordinateur lorsqu’ils s’éloignent de eux.
Alors, de quel côté a-t-on raison? Eh bien, Chrome sécurise votre mot de passe si vous suivez les procédures de sécurité idéales. Cela dit, Chrome (et IE et Firefox dans sa configuration par défaut) ne fournit pas assez d’informations aux utilisateurs sur ce qu’il fait. Dans le monde réel, un mot de passe principal pourrait être utile à de nombreuses personnes.
Comment protéger vos mots de passe enregistrés
Si vos mots de passe enregistrés vous inquiètent, voici quelques astuces que vous pouvez utiliser pour les protéger des regards indiscrets:
Utilisez un gestionnaire de mot de passe dédié, tel que LastPass. Ces gestionnaires de mots de passe fonctionnent avec tous les navigateurs et fournissent un mot de passe principal qui verrouille l’accès à vos mots de passe lorsque vous êtes déconnecté. Les développeurs de Chrome peuvent ne pas vouloir vous attribuer la fonction de mot de passe principal, mais vous pouvez l’ajouter vous-même en utilisant LastPass à la place du gestionnaire de mots de passe par défaut de Chrome. C’est une option plus puissante, tout comme d’autres gestionnaires de mots de passe comme KeePass.
Si vous utilisez Firefox, activez la fonction de mot de passe principal. Cette option est désactivée par défaut car les développeurs de Firefox n’apprécient pas l’expérience utilisateur, mais un mot de passe principal vous permet de "verrouiller" votre base de mots de passe avec un seul mot de passe principal. Vous pouvez ensuite partager votre compte d'utilisateur avec d'autres personnes qui ne pourront pas consulter vos mots de passe. Bien sûr, ils peuvent installer un enregistreur de frappe pendant que vous ne regardez pas, mais beaucoup de personnes qui pourraient être tentées d’observer vos mots de passe ne voudraient pas aller jusqu'au bout avec un enregistreur de frappe. C’est pourquoi nous fermons nos portes à clé. Les serrures ne sont pas parfaites, mais elles maintiennent l’honnêteté des personnes.
Si vous utilisez Chrome ou Internet Explorer et souhaitez continuer à utiliser le gestionnaire de mots de passe intégré, veillez à appliquer de bonnes pratiques de sécurité. Définissez un mot de passe fort pour le compte d'utilisateur Windows et verrouillez votre ordinateur dès que vous vous en éloignez. Quelqu'un ayant accès à votre ordinateur alors qu'il est connecté peut rapidement consulter vos mots de passe, en particulier avec Chrome.
Vous souhaitez obtenir des informations plus détaillées sur la sécurité de vos mots de passe enregistrés dans le navigateur que vous utilisez? Consultez nos analyses approfondies sur la sécurité des mots de passe de Chrome et d'Internet Explorer.
