Le gestionnaire de mots de passe de Chrome permet un peu trop facilement de les voir en texte clair. Il ne s’agit pas à proprement parler d’une faille de sécurité, mais d’un choix de la firme, qui n’a d’ailleurs pas l’intention dans l’immédiat d’y remédier. Mais comme nous le verrons, la situation n'est pas spécifique à Chrome. Explications.
Comme n’importe quel navigateur, Chrome peut enregistrer les mots de passe lors de la saisie d’identifiants sur une page web. Ces mots de passe sont stockés dans une zone dont l’accès est contrôlé par Chrome. Mais dans le cas où l’on a oublié le mot de passe que l’on avait choisi, il existe un moyen de le retrouver en passant par les paramètres du navigateur.
Dans le cas de Chrome cependant, il n’existe aucune protection, ni même aucune option pour protéger ces mots de passe. Il suffit de se rendre dans les paramètres avancés puis de chercher le lien « Gérer les mots de passe enregistrés ». Dès lors, n’importe quelle ligne sélectionnée permettra d’afficher un bouton qui fera alors apparaître le mot de passe en clair.
Certains pointeront que la situation n’est pas spécifique à Chrome. En effet, on peut pratiquement faire la même manipulation sous Firefox. Toutefois, ce dernier propose une option permettant d’activer un mot de passe maître. Si ce dernier est configuré, plus aucun affichage de mot de passe ne pourra avoir lieu sans d’abord saisir ce dernier. Il s’agit un peu du même principe que les gestionnaires de mots de passe tels que Dashlane. Notez que le navigateur d’Apple, Safari, est celui qui propose le plus de sécurité, notamment dans le système Mavericks à venir : les mots de passe sont enregistrés dans le Trousseau, lui-même protégé, et des mots de passe forts sont proposés lors d’un remplissage de formulaire.
Le journal The Guardian, qui a justement pointé du doigt ce manque de protection, s’est également fait l’écho de la réponse de Google. Selon le responsable développement de Chrome, Justin Schuh, la firme est bien au courant de cette faiblesse, mais elle ne compte rien faire dans l’immédiat. Sir Tim Berners-Lee, interrogé par le journal, a jugé cette réaction « décevante », décrivant le défaut de conception comme « la manière d’obtenir tous les mots de passe de votre grande sœur ».
Dans la pratique, toute personne venant à manipuler votre session utilisateur pourrait récupérer des données personnelles, dont les identifiants, ou utiliser ces derniers pour obtenir des informations plus sensibles. Le mot de passe maître représente une barrière supplémentaire, même si Justin Schuh estime qu’il procure « un faux sentiment de sécurité ». Selon le responsable, le véritable problème résidera toujours dans la permission donnée à un tiers d’utiliser la machine. Il n’a cependant pas abordé le cas d’un accès non autorisé.
Protéger les mots de passe : une facilité qui dépend largement du navigateur
Par défaut, aucun navigateur n’impose un mot de passe maître, mais certains en proposent tout de même l’option. Quand rien n’est disponible, il faut se tourner vers une solution tierce. En fonction du navigateur, il pourra s’agir d’une extension, voire d’un logiciel dédié.
Dans le cas de Chrome, il n’existe pas, comme nous l’avons vu, de mot de passe maître. Il est possible cependant d’installer une extension qui mettra en place une telle fonctionnalité. Nous vous proposons ChromePW :
Une fois installée, il suffit de la configurer avec un mot de passe. Évidemment, puisqu’il va s’agir d’une protection importante, son choix est crucial. On rappellera donc les conseils de base : des majuscules autant que des minuscules, des chiffres, des caractères spéciaux, tout en évitant les mots du dictionnaire ainsi que les informations trop simples à deviner, telles que les noms des enfants, les dates d’anniversaire et ainsi de suite.
Concernant Firefox, la solution est plus simple car l’option du mot de passe maître est disponible dans le panneau des réglages. Il faut se rendre dans l’onglet Sécurité et cocher la case « Utiliser un mot de passe principal ». Une fois ce dernier défini (toujours avec les mêmes conseils que dans le chapitre précédent), il ne sera plus possible de cliquer sur le bouton « Mots de passe enregistrés ».
Internet Explorer et Safari : le mot de passe du compte utilisateur est primordial
En ce qui concerne Internet Explorer, l’option du mot de passe maître n’est pas présente. Cependant, il n’est pas non plus possible de consulter librement la liste des mots de passe enregistrés dès lors que le compte utilisateur est protégé par un mot de passe. Pour ouvrir le panneau, il faut se rendre dans les options Internet, puis dans l’onglet Contenu. Cliquez alors sur le bouton Paramètres de la zone « Saisie semi-automatique », et le bouton de gestion des mots de passe apparaîtra.
Dans ce panneau, on peut voir la liste de tous les sites pour lesquels des identifiants ont été enregistrés. Toutefois, un clic sur « Afficher » pour un mot de passe réclamera obligatoirement le mot de passe du compte utilisateur. Ce dernier a donc tout intérêt à être fort. Sous Windows 8, même si un code PIN a été défini, c’est le véritable mot de passe qui sera demandé. Une fois entrées, les informations pourront être révélées jusqu’à la fermeture de la fenêtre.
Pour Safari, le cas est similaire à Internet Explorer. Au fur et à mesure que l’utilisateur enregistre des identifiants, ces derniers sont placés dans le Trousseau (après que le navigateur a demandé une première s’il souhaitait le faire). Le Trousseau lui-même ne peut pas révéler les fameux sésames à moins que l’utilisateur n’entre à nouveau le mot de passe de la session. Notez qu’à partir de Mavericks, Safari sera également capable de générer des mots de passe complexe dans les formulaires d’inscription.
Opera : rien en dehors de la branche 12.X
Quant à Opera, la situation dépend directement de la branche que vous utilisez. Si vous vous servez toujours d’Opera 12.X, il existe bien une option pour configurer un mot de passe maître. il faut pour cela se rendre dans l’onglet Avancé des réglages, puis cliquer sur Sécurité. Le premier bouton est le bon : « Définir le mot de passe principal » :
Le fonctionnement est équivalent à ce que l’on a déjà vu : le mot de passe sera demandé avant tout affichage des sésames enregistrés. Pensez seulement à cocher la case « Utiliser le mot de passe principal pour protéger les mots de passe enregistrés » un peu en-dessous, sans quoi la protection ne sera pas prise en compte.
Dans le cas d’Opera 15 cependant, il n’existe malheureusement aucune solution. Non seulement l’option n’existe pas dans les réglages, mais aucune extension n’est pour le moment disponible dans cette catégorie. Notez cependant qu’avec les versions en préparation (et qui arriveront à un rythme rapide), elle pourrait faire son retour dans les mois qui viennent. Les extensions arrivent également à un rythme soutenu, et l’auteur de ChromePW pourrait tout à fait décider de traduire son produit pour Opera.
Enfin, il est possible de passer directement par un logiciel tiers du type Dashlane, Kaspersky Password Manager, LastPass ou encore KeePass. La plupart des solutions existantes sont payantes, mais ont le mérite de gérer les mots de passe de l’ensemble des sites web à travers pratiquement tous les navigateurs, ainsi que les identifiants d’autres produits. Attention cependant, un aspect important devra être pris en compte : le caractère multiplateforme du produit. Si vous utilisez plusieurs systèmes d’exploitation différents, notamment mobiles, regardez à deux fois avant de faire votre choix.
Quoi qu'il en soit, une solution encore plus simple existe : simplement fermer ou verrouiller sa session avant de quitter sa machine. Cela devrait d'ailleurs être une habitude à prendre.
