Chrome stocke les données des formulaires web des utilisateurs en clair sur le disque dur
Est-ce une pratique dangereuse ?

Le , par Cedric Chevalier, Expert éminent sénior
Pour éviter d'avoir à saisir les mêmes informations, comme les numéros de cartes de crédit ou encore les mots de passe, à chaque remplissage d'un formulaire Web, les navigateurs enregistrent les données afin d'automatiser le processus. La pratique permet de gagner du temps.

Chaque navigateur a sa propre politique de stockage d’informations. Pour Chrome par exemple, elles consiste à stocker localement en clair (sans être cryptées) sur le disque dur de l'utilisateur, ces informations personnelles.

Une question se pose alors. Est-ce que cette pratique peut être considérée comme sécurisée ? Les experts ont des avis partagés sur la question.

Pour ceux de la firme Identity Finder, la réponse est négative. Ils ont d'ailleurs développé un logiciel malicieux tirant parti de cette politique de Chrome pour démontrer sa vulnérabilité. Ils ont par la suite envoyé leur rapport à Google et demandé à la firme de Mountain View de doter son navigateur des fonctionnalités de chiffrement nécessaires pour protéger les informations sensibles des utilisateurs.

De leur côté, Google et d'autres experts considèrent qu'il n'y a pas là de quoi tirer la sonnette d'alarme. Pour le géant de Mountain View, Chrome donne la possibilité à l'utilisateur de choisir ce qu'il désire faire de ses données sensibles. En effet, l'entreprise par la voix de ses porte-parole déclare que « Chrome demande toujours la permission à l'utilisateur avant de stocker ses informations sensibles, et celui-ci peut d'ailleurs choisir de ne rien enregistrer si il le désire ».

Dans la même lancée, Wolgang Kandek, CEO pour la firme Qualys, affirme : « je pense qu'il est judicieux de stocker les informations de l'historique Web dans un format crypté pour éviter ce problème de fuite d'information. Mais, ce n'est pas vital ».

Pour Kandek, un malware effectue des actions beaucoup plus complexes et sophistiquées comme la surveillance du clavier des utilisateurs afin de leur subtiliser leurs informations personnelles.

Sans vouloir entrer dans le débat des experts, nettoyer couramment le cache de son navigateur est une bonne pratique que les internautes doivent adopter, car comme on dit très souvent « on ne sait jamais », il faut toujours être prudent.

Source : CSO

Et vous ?

D'après vous, qui a raison dans le débat des experts ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de miaous miaous - Membre habitué http://www.developpez.com
le 17/10/2013 à 17:35
c'est mieux de crypté le fichier , mais il faut une clé unique lié a un mot de passe saisie à chaque fois sinon ça ne sert à rien
Avatar de air-dex air-dex - Membre émérite http://www.developpez.com
le 17/10/2013 à 17:45
Tout dépend des mots de passe, s'ils sont eux aussi en clair ou pas. S'ils sont en clair, c'est clairement condamnable.

Dans le même style on a aussi Pidgin (anciennement Gaim) et Turpial qui stockent les mots de passe en clair dans leurs fichiers de configuration.
Avatar de alband85 alband85 - Membre éclairé http://www.developpez.com
le 17/10/2013 à 17:47
Je verrai du sérieux le jour on je lirai chiffré en lieu et place de "crypté".
Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 17/10/2013 à 17:57
Ces pseudos chercheurs en sécurité me font vraiment peur quant a leur niveau de compétences, car ce qu'ils ont découvert un vrai secret de polichinelle. Les mots de passes enregistrés sont forcément accessible sans difficulté. Les chiffrer serait pire car ça donnerait juste une fausse impression de sécurité.

La seule solution sure serait d'utiliser un master password demandé à l'utilisateur.
Certains navigateurs (Firefox au moins) permettent de le faire, mais c'est de toute façon toujours en "opt-in", car c'est vite énervant de devoir fournir son mot de passe a chaque utilisation du navigateur.
Avatar de Iiiak Iiiak - Futur Membre du Club http://www.developpez.com
le 17/10/2013 à 18:15
Tout d’abord bonsoir.

En plus de fouiner dans tout ce qui concerne notre navigation internet et dans notre vie privée (gmail entre autre), maintenant, on constate que google chrome n’est pas sécurisé au niveau du stockage d’information personnelles (données personnelles non chiffrés — Parce que le cryptage c’est encore autre chose et oui !).

Les réponses fournis par « Google et d’autres experts » (qui soit dit en passant ne doivent pas être des experts en sécuritée informatique), telles que le « Chrome demande toujours la permission à l'utilisateur avant de stocker ses informations sensibles, et celui-ci peut d'ailleurs choisir de ne rien enregistrer si il le désire », me font, à mon gout, vastement rire (jaune).
Je m’explique. Chrome demande certe au utilisateurs de choisir s’il doit stocker ou non les informations. Mais ne précise aucunement comment sont stocké ces informations (BDD chiffré ou non, fichier plat chiffré ou non, …). Donc c’est bien une vaste fumisterie que de « soit disant » prévenir les utilisateurs.

Ensuite quand je vois Mr Wolgang Kandek, CEO pour la firme Qualys, dire qu’il «pense que celà serait judicieux de stocker les informations et historique de navigations dans un format crypté (et ben non perdu c’est encore chiffré) […]. Mais que ce n’est pas vital », en temps qu’informaticien, libriste, et administrateur système (donc confronté au problèmatique de sécurité) ça me fait simplement BONDIR ! Après, je suis à contrario totalement d’accord avec la suite disant que des malwares surveillent le système de façon plus complexe. Mais, si on laisse des données « sensibles » à la vue de tous, pourquoi n’y aurait-il pas des malwares qui les regardes (et c’est le cas, il en existe).

Dernièrement, nettoyer le cache de navigateur c’est bien, vider sa « corbeille » (Pour Windows ou les OS GNU/Linux avec DE) c’est mieux, nettoyer l’espace libre d’un disque dur c’est encore mieux (Et oui, tout ne s’efface pas à la suppression contrairement au croyances populaires) et se prémunir de tout ce qui peut-être une attaque (malware, virus, …) c’est le top.
Bon, j’accorde certe que on ne peut être blindé à 100% mais on peut augmenter ses chances facilement en faisant attention et en connaissant ce que nous utilisons au quotidien. (J’entends par là comment fonctionne notre navigateur préféré, comment sont géré tout ce qui est données personnelle, etc…).

Vous l’aurez peut-être compris, je ne suis pas dutout pro google. C’est pourquoi je ne l’utilise que le minimum possible. (Oui j’ai une adresse gmail mais qui ne contient aucunes données/mail sensibles, et non, mon moteur de recherche n’est pas, google.)

Sur ce, je vous salue

@++

Librement, Iiiak
Avatar de DelphiManiac DelphiManiac - Membre émérite http://www.developpez.com
le 17/10/2013 à 18:55
Citation Envoyé par Iiiak  Voir le message
...Parce que le cryptage c’est encore autre chose et oui !)...

Pour ma culture personnelle, peux tu m'expliquer ce qu'est le crytage ?

Sinon pour l'utilisateur lambda, que les données soient chiffrés ou pas, je ne pense pas que cela fasse une grosse différence :/

J'entend par là, qu'avant qu'un utilisateur comprenne ne serais ce que la notion de chiffrement et qu'en plus il assimile le fait qu'il lui faut un mot de passe différent à chaque qu'il s'authentifie quelque part, nous en sommes à des années lumières.

Le plus simple serait de fournir une clef physique, tout le monde sait utiliser une clef et en comprend l'utilité (maison, voiture, ...) L'inconvénient en informatique, si l'on perd la clef on ne peut pas changer la serrure sans tout perdre :/
Avatar de Iiiak Iiiak - Futur Membre du Club http://www.developpez.com
le 18/10/2013 à 9:20
Citation Envoyé par DelphiManiac  Voir le message
Pour ma culture personnelle, peux tu m'expliquer ce qu'est le crytage ?

Le chiffrement est une méthode de cryptage.

Le cryptage au vrai sens du terme signifie cacher quelque chose. Typiquement, on peut cacher une image dans un image, une image dans une vidéo (image subliminale). Ce qui ne nécessite pas forcément de clef ou autre pour voir et comprendre le message.

Le chiffrement implique d’un « cryptage » qu’il ne soit déchiffrable QUE si on a la clef. (Grosso modo, équivalent a un couple de clef rsa privé/publique ).
Avatar de DorianD DorianD - Membre à l'essai http://www.developpez.com
le 18/10/2013 à 10:11
Comme déjà dit dans les commentaires précédents, c'est une fausse critique : sauf en demandant un mot de passe à chaque formulaire, il est impossible de réellement chiffrer les données enregistrées.

Si on va dans ce sens, on pourrait tout aussi bien condamner Mozilla : Thunderbird se contente d'enregistrer les mots de passe en base64 dans les fichiers de configuration (j'ai pas regardé pour Firefox, mais j'imagine que c'est la même).

Et puis, en terme de confidentialité, on peut trouver beaucoup bien assez de vrais griefs contre les produits Google
Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 18/10/2013 à 10:54
Citation Envoyé par Iiiak  Voir le message
En plus de fouiner dans tout ce qui concerne notre navigation internet et dans notre vie privée (gmail entre autre), maintenant, on constate que google chrome n’est pas sécurisé au niveau du stockage d’information personnelles (données personnelles non chiffrés — Parce que le cryptage c’est encore autre chose et oui !).

Ca n'a rien a voir de toute façon les données stoquées en local sont toujours non sécurisées vis a vis d'un accès local. Quel que soit le logiciel et il n'y a rien que l'on puisse y faire avec un Ordinateur/OS normal.
Si jamais les données étaient chiffrées, la clé devrait de toute façon soit :
- être stoqué en clair sur le disque dur, autant dire que ça sert a rien
- être saisie par l'utilisateur a chaque fois qu'il démarre le navigateur, autant dire que la plupart des utilisateur n'en voudraient pas.

Citation Envoyé par Iiiak  Voir le message
Ensuite quand je vois Mr Wolgang Kandek, CEO pour la firme Qualys, dire qu’il «pense que celà serait judicieux de stocker les informations et historique de navigations dans un format crypté (et ben non perdu c’est encore chiffré) […]. Mais que ce n’est pas vital », en temps qu’informaticien, libriste, et administrateur système (donc confronté au problèmatique de sécurité) ça me fait simplement BONDIR ! Après, je suis à contrario totalement d’accord avec la suite disant que des malwares surveillent le système de façon plus complexe. Mais, si on laisse des données « sensibles » à la vue de tous, pourquoi n’y aurait-il pas des malwares qui les regardes (et c’est le cas, il en existe).

Au contraire, ce monsieur a pris le temps de réfléchir 30 secondes avant de parler et sait bien que chiffrer ne sert a rien a part donner une fausse impression de sécurité.
Le but du stockage local étant de permettre au navigateur d'y accéder, il faut bien qu'il garde la clé de déchiffrement en local. Un malware prendra la clé et déchiffrera ça en une fraction de seconde.

Citation Envoyé par Iiiak  Voir le message
Vous l’aurez peut-être compris, je ne suis pas du tout pro google. C’est pourquoi je ne l’utilise que le minimum possible. (Oui j’ai une adresse gmail mais qui ne contient aucunes données/mail sensibles, et non, mon moteur de recherche n’est pas, google.)

Je ne le suis pas non plus mais il y a assez de vraie chose a leur reprocher sur leurs services en ligne pour ne pas perdre son temps à dénoncer de faux problèmes auxquels ils ne peuvent pas grand chose.
Avatar de DelphiManiac DelphiManiac - Membre émérite http://www.developpez.com
le 18/10/2013 à 11:29
Citation Envoyé par Iiiak  Voir le message
...Parce que le cryptage c’est encore autre chose et oui !)...

Citation Envoyé par Iiiak  Voir le message
Le chiffrement est une méthode de cryptage.

Le cryptage au vrai sens du terme signifie cacher quelque chose. Typiquement, on peut cacher une image dans un image, une image dans une vidéo (image subliminale). Ce qui ne nécessite pas forcément de clef ou autre pour voir et comprendre le message.

Le chiffrement implique d’un « cryptage » qu’il ne soit déchiffrable QUE si on a la clef. (Grosso modo, équivalent a un couple de clef rsa privé/publique ).

1) Tu nous dis que le cryptage c'est autre chose
2) Tu nous dis que le chiffrement est une méthode de cryptage
3) Le cryptage c'est l'art de cacher quelque chose que l'on peut voir sans connaître la clef, donc c'est l'art de cacher quelque chose sans le cacher ?

Je suis peut être bête, mais peux tu me donner 2 exemples précis de chiffrement et de cryptage ? Précis au sens strict du terme, 2 implémentations précise de chiffrement et cryptage où au moins 2 méthodes reconnu comme étant des références dans ces 2 domaines.
Offres d'emploi IT
Administrateur système et réseaux Unix/Linux H/F
Agence de Lille - Nord Pas-de-Calais - LILLE 59000)
Chef de projet .NET/ VB
Netino - Ile de France - Paris (75001)
Dba sql mongodb H/F
Adequat Tertiaire - Rhône Alpes - Saint-Priest (69800)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil