IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Chrome stocke les données des formulaires web des utilisateurs en clair sur le disque dur
Est-ce une pratique dangereuse ?

Le , par Cedric Chevalier
17 commentaires

5PARTAGES

1  2 
Pour éviter d'avoir à saisir les mêmes informations, comme les numéros de cartes de crédit ou encore les mots de passe, à chaque remplissage d'un formulaire Web, les navigateurs enregistrent les données afin d'automatiser le processus. La pratique permet de gagner du temps.

Chaque navigateur a sa propre politique de stockage d’informations. Pour Chrome par exemple, elles consiste à stocker localement en clair (sans être cryptées) sur le disque dur de l'utilisateur, ces informations personnelles.

Une question se pose alors. Est-ce que cette pratique peut être considérée comme sécurisée ? Les experts ont des avis partagés sur la question.

Pour ceux de la firme Identity Finder, la réponse est négative. Ils ont d'ailleurs développé un logiciel malicieux tirant parti de cette politique de Chrome pour démontrer sa vulnérabilité. Ils ont par la suite envoyé leur rapport à Google et demandé à la firme de Mountain View de doter son navigateur des fonctionnalités de chiffrement nécessaires pour protéger les informations sensibles des utilisateurs.

De leur côté, Google et d'autres experts considèrent qu'il n'y a pas là de quoi tirer la sonnette d'alarme. Pour le géant de Mountain View, Chrome donne la possibilité à l'utilisateur de choisir ce qu'il désire faire de ses données sensibles. En effet, l'entreprise par la voix de ses porte-parole déclare que « Chrome demande toujours la permission à l'utilisateur avant de stocker ses informations sensibles, et celui-ci peut d'ailleurs choisir de ne rien enregistrer si il le désire ».

Dans la même lancée, Wolgang Kandek, CEO pour la firme Qualys, affirme : « je pense qu'il est judicieux de stocker les informations de l'historique Web dans un format crypté pour éviter ce problème de fuite d'information. Mais, ce n'est pas vital ».

Pour Kandek, un malware effectue des actions beaucoup plus complexes et sophistiquées comme la surveillance du clavier des utilisateurs afin de leur subtiliser leurs informations personnelles.

Sans vouloir entrer dans le débat des experts, nettoyer couramment le cache de son navigateur est une bonne pratique que les internautes doivent adopter, car comme on dit très souvent « on ne sait jamais », il faut toujours être prudent.

Source : CSO

Et vous ?

D'après vous, qui a raison dans le débat des experts ?

Une erreur dans cette actualité ? Signalez-nous-la !

17 commentaires
Commenter Signaler un problème
alband85
Avatar de alband85
Membre éclairé https://www.developpez.com
Le 17/10/2013 à 17:47
Je verrai du sérieux le jour on je lirai chiffré en lieu et place de "crypté".
3  1 
Uther
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 18/10/2013 à 10:54
Citation Envoyé par Iiiak Voir le message
En plus de fouiner dans tout ce qui concerne notre navigation internet et dans notre vie privée (gmail entre autre), maintenant, on constate que google chrome n’est pas sécurisé au niveau du stockage d’information personnelles (données personnelles non chiffrés — Parce que le cryptage c’est encore autre chose et oui !).
Ca n'a rien a voir de toute façon les données stoquées en local sont toujours non sécurisées vis a vis d'un accès local. Quel que soit le logiciel et il n'y a rien que l'on puisse y faire avec un Ordinateur/OS normal.
Si jamais les données étaient chiffrées, la clé devrait de toute façon soit :
- être stoqué en clair sur le disque dur, autant dire que ça sert a rien
- être saisie par l'utilisateur a chaque fois qu'il démarre le navigateur, autant dire que la plupart des utilisateur n'en voudraient pas.

Citation Envoyé par Iiiak Voir le message
Ensuite quand je vois Mr Wolgang Kandek, CEO pour la firme Qualys, dire qu’il «pense que celà serait judicieux de stocker les informations et historique de navigations dans un format crypté (et ben non perdu c’est encore chiffré) […]. Mais que ce n’est pas vital », en temps qu’informaticien, libriste, et administrateur système (donc confronté au problèmatique de sécurité) ça me fait simplement BONDIR ! Après, je suis à contrario totalement d’accord avec la suite disant que des malwares surveillent le système de façon plus complexe. Mais, si on laisse des données « sensibles » à la vue de tous, pourquoi n’y aurait-il pas des malwares qui les regardes (et c’est le cas, il en existe).
Au contraire, ce monsieur a pris le temps de réfléchir 30 secondes avant de parler et sait bien que chiffrer ne sert a rien a part donner une fausse impression de sécurité.
Le but du stockage local étant de permettre au navigateur d'y accéder, il faut bien qu'il garde la clé de déchiffrement en local. Un malware prendra la clé et déchiffrera ça en une fraction de seconde.

Citation Envoyé par Iiiak Voir le message
Vous l’aurez peut-être compris, je ne suis pas du tout pro google. C’est pourquoi je ne l’utilise que le minimum possible. (Oui j’ai une adresse gmail mais qui ne contient aucunes données/mail sensibles, et non, mon moteur de recherche n’est pas, google.)
Je ne le suis pas non plus mais il y a assez de vraie chose a leur reprocher sur leurs services en ligne pour ne pas perdre son temps à dénoncer de faux problèmes auxquels ils ne peuvent pas grand chose.
2  0 
DorianD
Avatar de DorianD
Membre à l'essai https://www.developpez.com
Le 18/10/2013 à 10:11
Comme déjà dit dans les commentaires précédents, c'est une fausse critique : sauf en demandant un mot de passe à chaque formulaire, il est impossible de réellement chiffrer les données enregistrées.

Si on va dans ce sens, on pourrait tout aussi bien condamner Mozilla : Thunderbird se contente d'enregistrer les mots de passe en base64 dans les fichiers de configuration (j'ai pas regardé pour Firefox, mais j'imagine que c'est la même).

Et puis, en terme de confidentialité, on peut trouver beaucoup bien assez de vrais griefs contre les produits Google
1  0 
DelphiManiac
Avatar de DelphiManiac
Membre émérite https://www.developpez.com
Le 18/10/2013 à 11:29
Citation Envoyé par Iiiak Voir le message
...Parce que le cryptage c’est encore autre chose et oui !)...
Citation Envoyé par Iiiak Voir le message
Le chiffrement est une méthode de cryptage.

Le cryptage au vrai sens du terme signifie cacher quelque chose. Typiquement, on peut cacher une image dans un image, une image dans une vidéo (image subliminale). Ce qui ne nécessite pas forcément de clef ou autre pour voir et comprendre le message.

Le chiffrement implique d’un « cryptage » qu’il ne soit déchiffrable QUE si on a la clef. (Grosso modo, équivalent a un couple de clef rsa privé/publique ).
1) Tu nous dis que le cryptage c'est autre chose
2) Tu nous dis que le chiffrement est une méthode de cryptage
3) Le cryptage c'est l'art de cacher quelque chose que l'on peut voir sans connaître la clef, donc c'est l'art de cacher quelque chose sans le cacher ?

Je suis peut être bête, mais peux tu me donner 2 exemples précis de chiffrement et de cryptage ? Précis au sens strict du terme, 2 implémentations précise de chiffrement et cryptage où au moins 2 méthodes reconnu comme étant des références dans ces 2 domaines.
1  0 
miaous
Avatar de miaous
Membre averti https://www.developpez.com
Le 17/10/2013 à 17:35
c'est mieux de crypté le fichier , mais il faut une clé unique lié a un mot de passe saisie à chaque fois sinon ça ne sert à rien
0  0 
Uther
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 17/10/2013 à 17:57
Ces pseudos chercheurs en sécurité me font vraiment peur quant a leur niveau de compétences, car ce qu'ils ont découvert un vrai secret de polichinelle. Les mots de passes enregistrés sont forcément accessible sans difficulté. Les chiffrer serait pire car ça donnerait juste une fausse impression de sécurité.

La seule solution sure serait d'utiliser un master password demandé à l'utilisateur.
Certains navigateurs (Firefox au moins) permettent de le faire, mais c'est de toute façon toujours en "opt-in", car c'est vite énervant de devoir fournir son mot de passe a chaque utilisation du navigateur.
0  0 
DelphiManiac
Avatar de DelphiManiac
Membre émérite https://www.developpez.com
Le 17/10/2013 à 18:55
Citation Envoyé par Iiiak Voir le message
...Parce que le cryptage c’est encore autre chose et oui !)...
Pour ma culture personnelle, peux tu m'expliquer ce qu'est le crytage ?

Sinon pour l'utilisateur lambda, que les données soient chiffrés ou pas, je ne pense pas que cela fasse une grosse différence :/

J'entend par là, qu'avant qu'un utilisateur comprenne ne serais ce que la notion de chiffrement et qu'en plus il assimile le fait qu'il lui faut un mot de passe différent à chaque qu'il s'authentifie quelque part, nous en sommes à des années lumières.

Le plus simple serait de fournir une clef physique, tout le monde sait utiliser une clef et en comprend l'utilité (maison, voiture, ...) L'inconvénient en informatique, si l'on perd la clef on ne peut pas changer la serrure sans tout perdre :/
0  0 
Iiiak
Avatar de Iiiak
Futur Membre du Club https://www.developpez.com
Le 18/10/2013 à 9:20
Citation Envoyé par DelphiManiac Voir le message
Pour ma culture personnelle, peux tu m'expliquer ce qu'est le crytage ?
Le chiffrement est une méthode de cryptage.

Le cryptage au vrai sens du terme signifie cacher quelque chose. Typiquement, on peut cacher une image dans un image, une image dans une vidéo (image subliminale). Ce qui ne nécessite pas forcément de clef ou autre pour voir et comprendre le message.

Le chiffrement implique d’un « cryptage » qu’il ne soit déchiffrable QUE si on a la clef. (Grosso modo, équivalent a un couple de clef rsa privé/publique ).
0  0 
manticore
Avatar de manticore
Membre confirmé https://www.developpez.com
Le 18/10/2013 à 12:59
Crypter / cryptage n'existe tout simplement plus d'après l’académie Française.

Source : http://fr.wikipedia.org/wiki/Cryptographie
Il apparaît donc que mis au regard du couple chiffrer/déchiffrer et du sens du mot « décrypter », le terme « crypter » n'a pas de raison d'être (l'Académie française précise que le mot est à bannir), en tout cas pas dans le sens où on le trouve en général utilisé[réf. nécessaire]. Dans sa dernière édition (entamée en 1992) le Dictionnaire de l'Académie française n'intègre pas « crypter » et « cryptage », mais ce dernier terme apparait dans le Grand Robert (qui date son apparition de 1980). L'Office québécois de la langue française intègre « crypter » au sens de « chiffrer », et « cryptage » au sens de déchiffrement dans son grand dictionnaire terminologique3.
L'action de cacher un message est la stéganographie, par exemple la première lettre de chaque phrase crée une nouvelle phrase.

Décrypter un texte existe, il s'agit de pouvoir retrouver le message sans en posséder la clé.
0  0 
sinople
Avatar de sinople
Membre chevronné https://www.developpez.com
Le 18/10/2013 à 13:00
Leur raisonnement peut se comprendre, car les données sont stockées localement sur la machine.

Du coup faut avoir un accès à ces données locales (passé par un virus ou autres) et dans ce cas c'est pas trop compliqué de récupérer des mot de passe même s'il ne sont pas enregistré. On peut considérer que c'est la responsabilité de l'utilisateur et de son système d'exploitation de gérer la confidentialité des données stockées en local.

Pour moi l'hérésie c'est le principe du stockage de mot de passe et non pas le pourquoi du comment de la méthode de chiffrement à utiliser.

J'espère quand même qu'il tienne un autre raisonnement pour les mots de passe stocké sur leur serveur
0  0 
Commenter Signaler un problème