Avez-vous déjà enregistré un mot de passe dans votre navigateur – Chrome, Firefox, Internet Explorer ou un autre? Ensuite, vos mots de passe seront probablement visibles par toute personne ayant accès à votre ordinateur lorsque vous êtes connecté.
Les développeurs de Chrome et Firefox pensent que c’est bien, car vous devriez empêcher les gens d’accéder à votre ordinateur en premier lieu, mais cela surprendra probablement beaucoup de gens.
Comment toute personne ayant accès à votre ordinateur peut afficher vos mots de passe
En supposant que vous laissez votre ordinateur connecté et que quelqu’un d’autre l’utilise, il peut ouvrir la page Paramètres de Chrome, accéder à la section Mots de passe et afficher facilement chaque mot de passe que vous avez enregistré.
Vous pouvez brancher chrome: // paramètres / mots de passe dans la barre d’adresse de Chrome pour accéder facilement à cette page. Cliquez sur un champ de mot de passe et cliquez sur le bouton Afficher – vous pouvez voir tout mot de passe enregistré dans Chrome sans invites supplémentaires.
Avec les paramètres par défaut de Firefox, vous pouvez ouvrir sa fenêtre Options, sélectionner le volet Sécurité et cliquer sur le bouton Mots de passe enregistrés. Sélectionnez Afficher les mots de passe et vous pouvez voir une liste de tous les mots de passe enregistrés dans Firefox sur votre ordinateur.
Firefox vous permet de définir un «mot de passe principal» qui doit être saisi avant de pouvoir afficher ou utiliser les mots de passe enregistrés, mais il est désactivé par défaut et Firefox n’invite pas les utilisateurs à en créer un.
Internet Explorer ne fournit aucun moyen intégré pour afficher ses mots de passe enregistrés. Cependant, cette sécurité apparente est trompeuse. Avec un utilitaire comme le gratuit IE PassView, vous pouvez afficher tous les mots de passe IE enregistrés pour le compte utilisateur actuel. Vous pouvez également afficher les mots de passe sans installer de logiciel – il vous suffit de visiter un site Web où le mot de passe est automatiquement rempli et d’utiliser quelque chose comme le Signet Révéler les mots de passe pour révéler le mot de passe qui a été saisi automatiquement.
Que se passe t-il ici? S’agit-il d’une vulnérabilité de sécurité?
Il y a eu un débat qui fait rage parmi les geeks pour savoir s’il s’agit vraiment d’une vulnérabilité de sécurité. Les développeurs de Chrome (et les développeurs d’autres navigateurs, comme Internet Explorer et même Firefox avec ses paramètres par défaut) devraient-ils changer ce comportement? Les utilisateurs ont-ils été trahis par les développeurs, étant donné que les navigateurs n’avertissent pas les utilisateurs de ce comportement?
D’une part, il existe de bons arguments en faveur du comportement actuel.
- Chrome et Internet Explorer sécurisent tous deux vos mots de passe enregistrés avec le mot de passe de votre compte utilisateur Windows. Si vous n’êtes pas connecté, vos mots de passe sont inaccessibles. Si un attaquant modifie le mot de passe de votre compte Windows, vos mots de passe deviennent inaccessibles. En supposant que vous utilisez un mot de passe Windows fort et que vous verrouillez votre ordinateur lorsque vous ne l’utilisez pas, vous êtes théoriquement en sécurité.
- Si un attaquant a un accès physique à votre ordinateur ou si un programme malveillant s’exécute en arrière-plan, il pourrait enregistrer vos frappes et obtenir tout «mot de passe principal» utilisé pour sécuriser vos mots de passe dans Firefox ou un gestionnaire de mots de passe dédié comme LastPass. Un mot de passe principal dans Chrome donnerait un faux sentiment de sécurité.
- Un mot de passe principal est une méthode de sécurité supplémentaire qui dérangerait les utilisateurs moyens, qui choisiraient de le désactiver de toute façon. Les utilisateurs ne voudraient pas avoir à entrer un mot de passe principal avant d’utiliser leurs mots de passe enregistrés.
- Si votre navigateur était déjà connecté à un compte sur un site Web, l’attaquant pourrait accéder à votre compte sur ce site Web s’il a accès à votre navigateur.
D’un autre côté, les utilisateurs ne suivent pas des pratiques de sécurité parfaites dans le monde réel:
- De nombreuses personnes partagent des comptes d’utilisateurs Windows, configurent leur ordinateur pour se connecter automatiquement ou permettent aux invités d’utiliser leur ordinateur sans regarder par-dessus leur épaule tout le temps. Cela rend l’accès aux mots de passe enregistrés trivial. N’importe qui, même curieux, pouvait jeter un coup d’œil sur les mots de passe.
- Un mot de passe principal permettrait aux utilisateurs de sécuriser davantage leur base de données de mots de passe, leur permettant d’enregistrer les mots de passe sans se soucier des invités qui utilisent leur ordinateur et d’être tentés de les regarder.
- De nombreux mots de passe de compte d’utilisateur Windows sont extrêmement faibles, de sorte que les mots de passe auraient peu de protection. De nombreuses personnes ne verrouillent pas non plus leur ordinateur à chaque fois qu’elles s’éloignent.
- Chrome fournit plusieurs profils utilisateur, encourageant les utilisateurs à partager des profils Chrome sur un seul compte utilisateur, mais ne fournit aucune méthode pour isoler ces profils et empêcher les autres profils utilisateur Chrome d’accéder à d’autres mots de passe de compte.
- Si un attaquant accédait à un site Web déjà connecté mais n’avait pas votre mot de passe, il ne serait pas en mesure de changer votre mot de passe ou de supprimer votre compte.
- Les utilisateurs moyens s’attendent probablement à ce que leurs mots de passe soient plus difficiles à voir. Il n’y a aucun avertissement les informant que toute personne ayant accès à leurs ordinateurs peut afficher leurs mots de passe enregistrés, ou qu’ils doivent définir un mot de passe Windows fort et verrouiller leurs ordinateurs lorsqu’ils s’éloignent d’eux.
Alors de quel côté a raison? Eh bien, Chrome sécurise votre mot de passe si vous suivez les procédures de sécurité idéales. Cela dit, Chrome (et IE et Firefox dans sa configuration par défaut) ne fournit pas non plus suffisamment d’informations aux utilisateurs sur ce qu’il fait. Dans le monde réel, un mot de passe principal peut être utile à de nombreuses personnes.
Comment protéger vos mots de passe enregistrés
Si vous vous inquiétez de vos mots de passe enregistrés, voici quelques conseils que vous pouvez utiliser pour les protéger des regards indiscrets:
- Utilisez un gestionnaire de mots de passe dédié, comme Dernier passage. Ces gestionnaires de mots de passe fonctionnent avec tous les navigateurs et fournissent un mot de passe principal qui verrouille l’accès à vos mots de passe lorsque vous êtes déconnecté. Les développeurs de Chrome peuvent ne pas vouloir vous donner la fonctionnalité de mot de passe principal, mais vous pouvez l’ajouter vous-même en utilisant LastPass à la place du gestionnaire de mots de passe par défaut de Chrome. C’est une option plus puissante, tout comme d’autres gestionnaires de mots de passe comme KeePass.
- Si vous utilisez Firefox, activez la fonction de mot de passe principal. Ceci est désactivé par défaut car les développeurs de Firefox n’aiment pas l’expérience utilisateur, mais un mot de passe principal vous permet de «verrouiller» votre base de données de mots de passe avec un seul mot de passe principal. Vous pouvez ensuite partager votre compte utilisateur avec d’autres personnes et elles ne pourront pas consulter vos mots de passe. Bien sûr, ils pourraient installer un enregistreur de frappe pendant que vous ne regardez pas, mais de nombreuses personnes qui pourraient être tentées de jeter un coup d’œil à vos mots de passe ne voudraient pas aller jusqu’au bout avec un enregistreur de frappe. C’est pourquoi nous verrouillons nos portes – les serrures ne sont pas parfaites, mais elles gardent les honnêtes gens honnêtes.
- Si vous utilisez Chrome ou Internet Explorer et que vous souhaitez continuer à utiliser le gestionnaire de mots de passe intégré, veillez à appliquer de bonnes pratiques de sécurité. Définissez un mot de passe de compte utilisateur Windows fort et verrouillez votre ordinateur chaque fois que vous vous en éloignez. Une personne ayant accès à votre ordinateur pendant qu’il est connecté peut rapidement consulter vos mots de passe, en particulier avec Chrome.
Vous voulez des informations plus détaillées sur la sécurité de vos mots de passe enregistrés dans le navigateur que vous utilisez? Consultez nos analyses approfondies de la sécurité des mots de passe de Chrome et de la sécurité des mots de passe d’Internet Explorer.