in

Dans quelle mesure vos mots de passe enregistrés dans le navigateur Chrome sont-ils sécurisés?

Une question courante à propos du navigateur Google Chrome est « Pourquoi n’y a-t-il pas de mot de passe principal? » Google a (officieusement) a pris la position qu’un mot de passe principal fournit un faux sentiment de sécurité et la forme la plus viable de protection pour ces données sensibles est la sécurité globale du système.

Alors, à quel point vos données de mot de passe enregistrées sont-elles exactement sécurisées dans Google Chrome?

Affichage des mots de passe enregistrés

Chrome comprend son propre gestionnaire de mots de passe accessible via Options> Données personnelles> Gérer les mots de passe enregistrés. Ce n’est pas nouveau et si vous autorisez Chrome à stocker vos mots de passe, vous êtes probablement déjà au courant de cette fonctionnalité.

Une bonne touche de sécurité mineure est que vous devez d’abord cliquer sur le bouton Afficher à côté de chaque mot de passe que vous souhaitez afficher.

Bien qu’il n’y ait aucune restriction pour accéder à cet écran (c’est-à-dire si vous avez accès au bureau sur lequel Chrome est installé, vous pouvez accéder aux mots de passe), il y a au moins une intervention de l’utilisateur requise pour afficher chaque mot de passe sans aucun moyen de les exporter en vrac dans un fichier texte brut.

Où sont stockées les données de mot de passe?

Les données de mot de passe enregistrées sont stockées dans une base de données SQLite située ici:

% UserProfile% AppData Local Google Chrome User Data Default Login Data

Vous pouvez ouvrir ce fichier (le nom du fichier est simplement «Données de connexion») à l’aide du navigateur de base de données SQLite et afficher le tableau «connexions» qui contient les mots de passe enregistrés. Vous remarquerez que le champ «password_value» est illisible car la valeur est chiffrée.

Dans quelle mesure les données cryptées sont-elles sécurisées?

Pour effectuer le cryptage (sous Windows), Chrome utilise une fonction API fournie par Windows qui rend les données cryptées uniquement déchiffrables par le compte utilisateur Windows utilisé pour crypter le mot de passe. Donc, essentiellement, votre mot de passe principal est le mot de passe de votre compte Windows. En conséquence, une fois que vous êtes connecté à Windows à l’aide de votre compte, ces données sont déchiffrables par Chrome.

Cependant, comme le mot de passe de votre compte Windows est une constante, l’accès au «mot de passe principal» n’est pas exclusif à Chrome car des utilitaires externes peuvent accéder à ces données – et les déchiffrer – également. À l’aide de l’utilitaire ChromePass de NirSoft disponible gratuitement, vous pouvez voir toutes vos données de mot de passe enregistrées et les exporter facilement dans un fichier texte brut.

Il est donc logique que si l’utilitaire ChromePass peut accéder à ces données, les logiciels malveillants exécutés en tant qu’utilisateur respectif puissent également y accéder. Quand le ChromePass.exe est téléchargé sur VirusTotal, un peu plus de la moitié des moteurs antivirus le signalent comme dangereux. Bien que dans ce cas l’utilitaire soit sûr, il est un peu rassurant de voir que ce comportement est à tout le moins signalé par de nombreux packages AV (bien que Microsoft Security Essentials ne soit pas l’un des moteurs audiovisuels qui l’ont signalé comme dangereux).

La protection peut-elle être contournée?

Supposons que votre ordinateur soit volé et que le voleur réinitialise votre mot de passe Windows afin de se connecter nativement à votre installation. S’ils essayaient par la suite d’afficher les mots de passe dans Chrome ou d’utiliser l’utilitaire ChromePass, les données de mot de passe ne seraient pas disponibles. La raison est simple car le «mot de passe principal» (qui était le mot de passe de votre compte Windows avant de le réinitialiser de force en dehors de Windows) ne correspond pas et le décryptage échoue.

De plus, si quelqu’un copiait simplement le fichier de base de données SQLite du mot de passe Chrome et essayait d’y accéder sur un autre ordinateur, ChromePass afficherait des mots de passe vides pour la même raison expliquée ci-dessus.

Conclusion

En fin de compte, la sécurité des mots de passe enregistrés dans Chrome dépend totalement de l’utilisateur:

  • Utilisez un mot de passe de compte Windows très fort. Gardez à l’esprit qu’il existe des utilitaires qui peuvent déchiffrer les mots de passe Windows. Si quelqu’un obtient le mot de passe de votre compte Windows, il a accès aux mots de passe de votre navigateur enregistrés.
  • Protégez-vous contre les logiciels malveillants. Si les utilitaires peuvent accéder facilement à vos mots de passe enregistrés, pourquoi les logiciels malveillants ne le peuvent-ils pas?
  • Enregistrez vos mots de passe dans un système de gestion de mots de passe tel que KeePass. Bien sûr, vous perdez la commodité de faire remplir automatiquement vos mots de passe par le navigateur.
  • Utilisez un utilitaire tiers qui s’intègre à Chrome et utilise un mot de passe principal pour gérer vos mots de passe.
  • Cryptez l’intégralité de votre disque dur à l’aide de TrueCrypt. C’est complètement facultatif et pour l’ultra protecteur, mais si quelqu’un ne peut pas déchiffrer votre disque, il ne peut sûrement rien en retirer.

L’essentiel est simplement de protéger votre système et vos mots de passe Chrome doivent également être raisonnablement sécurisés.

Télécharger ChromePass depuis NirSoft

Télécharger le navigateur SQLite depuis Sourceforge

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Comment signaler des fautes de frappe dans vos livres Kindle

Comment signaler des fautes de frappe dans vos livres Kindle

Que signifie la certification Apple MFi?