Comme c’est souvent le cas avec la technologie, la commodité se fait au détriment de la sécurité.
Google a ajouté des fonctionnalités utiles au gestionnaire de mots de passe intégré à Chrome et Android, qui en font une véritable alternative aux gestionnaires de mots de passe dédiés. Cependant, cela ne suffit pas à convaincre les experts en sécurité de faire confiance aux navigateurs pour stocker les mots de passe.
« Je ne suis pas un fan du stockage des mots de passe dans n’importe quel navigateur web », a déclaré Chris Hauk, champion de la vie privée des consommateurs chez Pixel Privacy, par courriel. « Cependant, cela est particulièrement vrai pour un navigateur comme Chrome, qui a souffert de nombreuses failles de sécurité et de confidentialité dans le passé. »
Google Chrome est attaqué : Mise à jour
Mauvais outil pour le travail
Dans un échange d’emails, Dahvid Schloss, Managing Lead, Offensive Security, chez Echelon Risk + Cyber, a déclaré que le déploiement du gestionnaire de mots de passe google semble effectivement créer une très belle application facile d’utilisation à partager entre les appareils d’un utilisateur. « Mais au bout du compte, l’application n’est aussi sûre que l’appareil le moins sûr qui l’utilise ».
Stéphanie Benoit-Kurtz, professeure principale du Collège des systèmes et technologies de l’information à l’Université de Phoenix, est d’accord. Dans un courriel, elle a déclaré que, bien que les navigateurs aient parcouru un long chemin pour offrir aux utilisateurs une expérience simplifiée lors du stockage des identifiants et des mots de passe sur les sites Web, les utiliser pour stocker des mots de passe est une pente glissante.
M. Benoit-Kurtz a souligné deux problèmes liés au stockage des mots de passe dans les navigateurs. Le premier est le cryptage, car les navigateurs web dépendent de la configuration de l’appareil pour les paramètres de cryptage. Selon elle, les utilisateurs en général ne mesurent pas pleinement l’importance du cryptage pour la protection de leurs appareils.
« Le deuxième défi est que si un appareil contenant les paramètres de votre navigateur est volé ou tombe entre les mains de quelqu’un d’autre à la suite d’un piratage, le mauvais acteur peut avoir accès à toutes les données de connexion et de mot de passe des systèmes », a déclaré Mme Benoit-Kurtz.
Elle a également reconnu que, même si les navigateurs ont fait de grands progrès en matière de sécurité, les utilisateurs doivent continuer à appliquer tous les correctifs et à effectuer la maintenance nécessaire pour assurer leur sécurité. Même dans ce cas, il existe des menaces de type « zero day » qui peuvent rendre vulnérables même les navigateurs entièrement mis à jour.
M. Schloss a reconnu que, même s’il n’a pas encore manipulé le gestionnaire de mots de passe mis à jour de Chrome, il ne semble pas s’agir d’un module complémentaire à Chrome.
« Cela signifie qu’il est très bien possible que cela ne résoudrait pas le problème de stockage en texte brut qui a été et est abusé par les acteurs de la menace », a expliqué Schloss, « conduisant à ce que tous vos mots de passe soient violés si un acteur de la menace était déjà sur votre appareil. »
… l’application n’est aussi sûre que le dispositif le moins sûr qui l’utilise.
Faites appel à un spécialiste
Au lieu d’utiliser les navigateurs pour stocker les informations d’identification, nos experts recommandent d’utiliser des outils spécialisés créés explicitement pour stocker les mots de passe.
« Pour une option plus sûre, évaluez une technologie plus avancée telle que les coffres à mots de passe pour garder les identifiants et les mots de passe en toute sécurité », suggère Benoit-Kurtz. « Ces outils sont généralement vendus sous forme d’abonnement et fournissent le cryptage, l’authentification multifactorielle (MFA) et d’autres technologies nécessaires pour protéger les logins et les mots de passe. »
Hauk s’appuie sur le gestionnaire de mots de passe 1Password, qui, souligne-t-il, fonctionne sur la plupart des plateformes et apps populaires et stocke en toute sécurité les informations d’identification dans une base de données bien chiffrée.
« Les gestionnaires de mots de passe vous permettent de créer des mots de passe forts et complexes sans avoir la mémoire d’un éléphant », a déclaré Schloss, « et la plupart d’entre eux offrent un certain niveau de surveillance des violations pour vous indiquer quand vous devez changer le mot de passe d’un site. »
Schloss utilise Keeper et Last Pass pour ses appareils domestiques et professionnels, mais suggère que, bien qu’ils aient tous deux leurs avantages, la plupart des gens n’ont pas besoin d’utiliser deux gestionnaires de mots de passe.
Selon lui, la plupart des gestionnaires de mots de passe les plus populaires prennent en charge plusieurs appareils, ce qui les rend pratiques à utiliser. Si beaucoup d’entre eux stockent vos informations d’identification sur un serveur tiers, les données sont cryptées de bout en bout, ce qui signifie que vos mots de passe sont en sécurité même si des pirates s’introduisent dans les serveurs de votre gestionnaire de mots de passe.
« Cela dit, tout gestionnaire de mots de passe est préférable à l’absence de gestionnaire de mots de passe », a conseillé M. Schloss. Il a souligné que la réutilisation des mots de passe est beaucoup plus dangereuse et une pratique terrible à prendre l’habitude.
« Par exemple, en cas de violation d’un site et si les acteurs de la menace ont accès à votre mot de passe, ils pourraient utiliser ce même mot de passe pour accéder à vos autres comptes », a averti M. Schloss. « Vous leur avez donné les clés de votre château à ce moment-là ».