Soutenez-nous

Chrome : la gestion des mots de passe suscite la polémique
Ils peuvent être visualisés en clair, pour Google il ne s'agit pas d'une faille

Le , par Hinault Romaric, Responsable Actualités
Lors d’une connexion à un site, Chrome propose à l’utilisateur de sauvegarder son mot de passe afin de faciliter les accès ultérieurs de l’internaute.

Les informations enregistrées par Chrome sont ensuite synchronisées, via le compte Google de l’utilisateur, avec l’ensemble des autres machines sur lesquelles celui-ci a accédé à Internet en utilisant Chrome.


Cette fonctionnalité fait actuellement l’objet d’une polémique pour une faille qui n’en serait pas une pour Google. Une personne ayant accédé à l’ordinateur peut voir en clair les mots de passe enregistrés par Chrome.

Le développeur Elliot Kember, dans un billet de blog, met en évidence cette supposée faille de sécurité, et décrit comment en quelques étapes, les mots de passe enregistrés peuvent être récupérés.

Il suffirait de saisir l’URL « chrome://settings/passwords » dans la barre d’adresse pour avoir un accès direct au gestionnaire de mots de passe. Ensuite, à partir de cette page, il est possible de retrouver la liste des sites Web avec pour chacun l’identifiant et le mot de passe associé. Ceux-ci bien évidement masqués. Mais un simple clic sur le nom du site et sur « Afficher » permet de visualiser en clair le mot de passe rattaché.


Dans une discussion polémique sur Hacker News, Justin Schuh, responsable de la sécurité pour Chrome, a déclaré que cela ne représentait pas une faille, dans la mesure où il faut un accès physique à la machine pour récupérer les mots de passe.

Sauf que les internautes, dans leur majorité, ne savent pas que Chrome fonctionne ainsi et ont un « faux sentiment de sécurité », car ils ne s’attendent pas à ce que leurs mots de passe puissent être récupérés aussi simplement. Un ordinateur partagé, une personne qui vous aide à fixer un problème, et un accès à votre session Chrome permettent d’obtenir vos mots de passe.

Kember, outré par la réponse de Google, estime « qu’il s’agit d’une stratégie de sécurité ridicule » et invite les utilisateurs à désactiver cette fonctionnalité (qui est activée par défaut) ou à arrêter d’enregistrer leurs mots de passe dans Chrome.

Plusieurs développeurs se sont alignés derrière Kember. Tim Berners-Lee, créateur du Web, a exprimé sa frustration sur son compte Twitter : « Comment récupérer tous les mots de passe de votre grande sœur http://blog.elliottkember.com/chrome...urity-strategy … et une réponse décevante de l’équipe Chrome ».

Elliot Kember propose à Google d’ajouter par exemple un mot de passe maître avant de révéler les mots de passe comme c’est le cas pour Firefox et Safari.

Sources : billet de blog Elliot Kember, Twitter Tim Berners-Lee

Et vous ?

Faille ou pas ? Qu’en pensez-vous ?

La réponse de Google est-elle satisfaisante ?


 Poster une réponse

Avatar de tontonnux tontonnux
Membre Expert
le 08/08/2013 9:32
Citation Envoyé par Hinault Romaric  Voir le message
Faille ou pas ? Qu’en pensez-vous ?

La réponse de Google est-elle satisfaisante ?

Je suis curieux de lire le 1er commentaire qui viendra dire que Google a raison...

Evidemment que chrome DOIT lui-même protéger les informations qu'il stocke !
La question ne se pose même pas...
Avatar de Samuel_ Samuel_
Expert Confirmé
le 08/08/2013 9:45
Citation Envoyé par tontonnux  Voir le message
Je suis curieux de lire le 1er commentaire qui viendra dire que Google a raison...

Evidemment que chrome DOIT lui-même protéger les informations qu'il stocke !
La question ne se pose même pas...

Aujourd'hui n'importe qui peut récupérer énormément d'information sans être un crack de l'informatique. Des outils très simple ont été mis au point.

La défense de Google tient la route. Le seul accès physique permet une sécurité. Certe elle n'est pas excellente, mais c'est déjà ça ...

Personnellement je ne sauvegarde aucun mot de passe. C'est un choix de sécurité. Et je pense que c'est la meilleure sécurité actuellement.
Avatar de Le Vendangeur Masqué Le Vendangeur Masqué

le 08/08/2013 9:49
Franchement du grand n'importe quoi...

Signalons que IE ou Safari proposent depuis longtemps de protéger l'accès à la liste des mots de passe par celui du compte utilisateur.
Avatar de tontonnux tontonnux
Membre Expert
le 08/08/2013 9:57
Donc si je te suis :
Citation Envoyé par Samuel_  Voir le message
Aujourd'hui n'importe qui peut récupérer énormément d'information sans être un crack de l'informatique. Des outils très simple ont été mis au point.

Et donc :
Citation Envoyé par Samuel_  Voir le message
La défense de Google (ndmoi: de ne pas sécuriser ces données) tient la route.

C'est tout le contraire. C'est par ce qu'il existe un tas d'outil pour essayer de récupérer ces infos que 100% des acteurs concernés se doivent de faire leur part du boulot !

Citation Envoyé par Samuel_  Voir le message
Le seul accès physique permet une sécurité. Certe elle n'est pas excellente, mais c'est déjà ça ...

Cette partie de la sécurité dépend de l'environnement de l'utilisateur. Ça ne peut pas libérer Google de son devoir de sécurisation.
De plus, en entreprise ou sur un PC familial cet argument ne tient pas la route une seule seconde.

Citation Envoyé par Samuel_  Voir le message
Personnellement je ne sauvegarde aucun mot de passe. C'est un choix de sécurité. Et je pense que c'est la meilleure sécurité actuellement.

On est d'accord, mais pour ceux qui choisissent d'enregistrer leurs mots de passe, Google se doit de faire le minimum.
Avatar de omedo omedo
Nouveau Membre du Club
le 08/08/2013 10:26
j'aimerai juste dire que c'est pas le seul a faire en sorte d'afficher les mots de passe en clair si on cherche un peu,
Firefox à le même problème

Personnellement j’évite que les navigateurs retiennent mon mot de passe, c'est comme les noter sur un post-it qui serait coller derrière l’écran on les voit pas au première abord mais on arrive a les trouver facilement

Après de la à dire qu'ils ont raison je sais pas mais dans tous les cas du moment ou le mot de passe est retenu, il faut bien qu'a un moment ou un autre le mot de passe soit en clair pour pouvoir l'envoyer au site concerné

Donc excusez moi de dire, cette polémique est une fausse polémique.
Avatar de dolu02 dolu02
Membre confirmé
le 08/08/2013 10:29
Citation Envoyé par Hinault Romaric  Voir le message
Lors d’une connexion à un site, Chrome propose à l’utilisateur de sauvegarder son mot de passe afin de faciliter les accès ultérieurs de l’internaute.

Les informations enregistrées par Chrome sont ensuite synchronisées, via le compte Google de l’utilisateur, avec l’ensemble des autres machines sur lesquels celui-ci a accédé à Internet en utilisant Chrome.

Marrant que personne n'ai relevé ça, surtout après les récentes affaires PRISM, XKeyscore et autres joyeusetés...

Je stocke les mots de passe dans mon navigateur, mais j'évite comme la peste toutes les fonctions de "synchronisation". je pense qu'on se synchronise surtout avec les services d'espionnage et de surveillance et accessoirement ça permet de récupérer les mots de passe sur chaque device associé à un compte Google (ou autres)...
Avatar de Youjin Youjin
Invité régulier
le 08/08/2013 10:32
Et c'est que maintenant que les gens trouve ça ?
Ça m'a rendu pas mal de service... Pour moi c'est une feature...
Après sécuriser l'accès avec un mot de passe unique pourquoi pas...
Avatar de tomlev tomlev
Rédacteur/Modérateur
le 08/08/2013 10:33
C'est comme ça depuis longtemps dans Firefox. Certes, on peut mettre un master password, mais par défaut il n'y en a pas. Pourtant personne ne s'en est plaint à ma connaissance...

Perso je comprends la réponse de Google ; à partir du moment où quelqu'un a physiquement accès à la machine, il peut très bien installer un keylogger ou configurer un proxy qui lui permettra d'intercepter tous les échanges, alors ça n'est pas tellement choquant qu'il accède aux mots de passe stockés par Chrome...
Avatar de AlexRNL AlexRNL
Membre habitué
le 08/08/2013 10:54
Ça fait des années que ce genre de fonction est disponible (et aussi chez les concurrents).

C'est une fonctionnalité, il faut l'utiliser en connaissance de cause.

D'ailleurs, chez FF, on peut afficher TOUT les mots de passe d'un coup (ce qui est plus grave je trouve car ça permet de repérer d'un coup d'oeil les pattern de mdp de l'utilisateur).

Après, je suis d'accord qu'une protection par mot de passe de l'affichage des mdp serait une bonne feature à ajouter.
Avatar de Samuel_ Samuel_
Expert Confirmé
le 08/08/2013 10:56
Citation Envoyé par tontonnux  Voir le message
De plus, en entreprise ou sur un PC familial cet argument ne tient pas la route une seule seconde.

En entreprise il y a une politique de sécurité (enfin normalement). Si l'authentification est dite "critique", l'enregistrement de mots de passe ne doit pas être possible.
Et après en famille, il faut avoir un minimum confiance ... ou changer de famille (mais c'est plus compliqué )

Citation Envoyé par tontonnux  Voir le message
On est d'accord, mais pour ceux qui choisissent d'enregistrer leurs mots de passe, Google se doit de faire le minimum.

Je pense que le minimum a été fait. Après c'est suffisant (ou pas) selon les personnes. Ce sont à elles de juger.[/QUOTE]
Offres d'emploi IT
DÉVELOPPEUR WEB PHP5 (H/F) - CDI - (92)
CDI
R&B STRATEGY - Ile de France - Levallois-Perret (92300)
Parue le 02/04/2014
H/F Ingénieur d’étude développement Informatique
CDI
D&B SELECTION - Provence Alpes Côte d'Azur - Aix-en-Provence (13100)
Parue le 09/04/2014
Paramétreur Expérimenté SAP BFC (H/F)
CDI
Crédit Agricole - Ile de France - Montrouge (92120)
Parue le 26/03/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula