En août, Chrome avait fait parler de lui pour la gestion de la confidentialité des identifiants enregistrés durant les sessions de navigation. Dans les paramètres du navigateur, on peut lire en effet les mots de passe en clair. Bien que Google ait d’abord indiqué que rien ne changerait, les dernières « builds » de Chrome montrent bien que l’éditeur a changé son fusil d’épaule.
Alors que Chrome a fêté ses cinq ans en septembre dernier, il ne dispose toujours pas d’un moyen simple de masquer les mots de passe. Comme n’importe quel navigateur moderne en effet, il enregistre les identifiants lors des sessions de navigation et stocke l’ensemble dans une zone spécifique. Or, il suffit de se rendre dans les paramètres du navigateur pour consulter la liste complète, les mots de passe étant affichés en texte clair.
La même chose existe sous Firefox, mais ce dernier dispose d’une option permettant de réclamer un mot de passe maître avant toute consultation. Sous Chrome, toute personne manipulant la session de l’utilisateur peut techniquement avoir accès à ses données. Nous avions d’ailleurs passé en revue quelques solutions en fonction des navigateurs pour être certain que les mots de passe n’étaient pas consultables par le premier venu.
Du côté de Google, le responsable de la sécurité de Chrome, Justin Schuh, avait estimé qu’un mot de passe maître donnait un faux sentiment de sécurité. Il n’abordait cependant pas directement le cas d’un accès non autorisé de l’ordinateur. Et il semble bien que Google soit revenu sur sa philosophie : les dernières builds de Chromium pour OS X disposent désormais d’une option permettant de réclamer systématiquement le mot de passe de la session pour consulter les mots de passe.
Si vous possédez la dernière révision de Chromium sous OS X, vous pouvez maintenant taper dans la barre d’adresse « chrome://flags » puis chercher la ligne nommée « Password Manager Reauthentification ». Après un redémarrage du navigateur, il ne sera plus possible de consulter la liste des mots de passe sans saisir à nouveau ses identifiants de session OS X.
La fonctionnalité a fait l’objet d’un billet Google+ chez l’employé de Google François Beaufort. Bien qu’il en détaille le fonctionnement, il n’aborde pas la question qui reste en suspens : cette sécurité supplémentaire va-t-elle être répercutée sur les autres plateformes ou restera-t-elle cantonnée à OS X ? Nous l’avons contacté et attendons actuellement une réponse.
Commentaires (20)
#1
ça ne protège pas non plus de la copie de répertoire de travail (pas que pour chrome) pour récupérer les mots de passe depuis une autre instance du navigateur. Comme si c’était les siens. Mais le fait de redemander le mot de passe de session donne un sentiment de sécurité rien de plus.
" />
#2
Déléguer la gestion des mots de passe du navigateur sur le trousseau de OS X n’est pas possible ? Ce serait bien mieux géré, non ?
#3
Facile le mot de passe de Vincent H : “MasterSword”
" />
#4
#5
#6
Je ne vois pas ce qui empêcherait leur synchronisation.
#7
Sous OS X, Chrome ne permettra plus de voir les mots de passe en clair sauf pour la NSA
Ok je sors ==> []
#8
#9
#10
#11
#12
Où est que ça va ? dans la prochaine version on ne pourra peut être plus du tout voir ses mots de passe ? ça dérive.
#13
#14
#15
Prochaine version : le navigateur te donne tes mots de passe et login (pourquoi ce serait à l’utilisateur de décider ? ;) ). Gain de temps, gain d’argent.
#16
#17
#18
Tsss ce qu’on peut emmerder le monde au nom de la sécurité parfois !
C’est quand même plus pratique de voir ce que l’on édite !
Sur mon PC chez moi, il y a pas un agent d’Alquaïda derrière mon dos pour mater les mots de passe quand je les modifie en clair !
…. et puis la NSA n’a pas besoin de voir l’écran pour avoir le mot de passe de toute façon …
#19
#20
J’ai ouvert le 30 mai un bug dans Chromium par rapport à l’utilisation complètement inutile du trousseau de mot de passe faite par Chromium.
Il m’a été expliqué que la gestion actuelle des mots de passes était dû à l’incapacité des gens à utilisé correctement le trousseau de mots de passes (sous OS X ou les différents trousseaux sous Linux)
Donc la sécurité avait été sacrifié pour garder un fonctionnement facile. Cependant la discussion semblait indiquer qu’ils souhaitaient améliorer la sécurité du stockage des mot de passes.
Aussi le 1er octobre un dernier commentaire indiquait un possible fix pour les versions 29⁄30.
#11 clusterf…@chromium.org
Fixing milestone and impact labels.
Labels: -M-29 M-30