Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Chrome : la gestion des mots de passe suscite la polémique
Ils peuvent être visualisés en clair, pour Google il ne s'agit pas d'une faille

Le , par Hinault Romaric

0PARTAGES

4  0 
Lors d’une connexion à un site, Chrome propose à l’utilisateur de sauvegarder son mot de passe afin de faciliter les accès ultérieurs de l’internaute.

Les informations enregistrées par Chrome sont ensuite synchronisées, via le compte Google de l’utilisateur, avec l’ensemble des autres machines sur lesquelles celui-ci a accédé à Internet en utilisant Chrome.


Cette fonctionnalité fait actuellement l’objet d’une polémique pour une faille qui n’en serait pas une pour Google. Une personne ayant accédé à l’ordinateur peut voir en clair les mots de passe enregistrés par Chrome.

Le développeur Elliot Kember, dans un billet de blog, met en évidence cette supposée faille de sécurité, et décrit comment en quelques étapes, les mots de passe enregistrés peuvent être récupérés.

Il suffirait de saisir l’URL « chrome://settings/passwords » dans la barre d’adresse pour avoir un accès direct au gestionnaire de mots de passe. Ensuite, à partir de cette page, il est possible de retrouver la liste des sites Web avec pour chacun l’identifiant et le mot de passe associé. Ceux-ci bien évidement masqués. Mais un simple clic sur le nom du site et sur « Afficher » permet de visualiser en clair le mot de passe rattaché.


Dans une discussion polémique sur Hacker News, Justin Schuh, responsable de la sécurité pour Chrome, a déclaré que cela ne représentait pas une faille, dans la mesure où il faut un accès physique à la machine pour récupérer les mots de passe.

Sauf que les internautes, dans leur majorité, ne savent pas que Chrome fonctionne ainsi et ont un « faux sentiment de sécurité », car ils ne s’attendent pas à ce que leurs mots de passe puissent être récupérés aussi simplement. Un ordinateur partagé, une personne qui vous aide à fixer un problème, et un accès à votre session Chrome permettent d’obtenir vos mots de passe.

Kember, outré par la réponse de Google, estime « qu’il s’agit d’une stratégie de sécurité ridicule » et invite les utilisateurs à désactiver cette fonctionnalité (qui est activée par défaut) ou à arrêter d’enregistrer leurs mots de passe dans Chrome.

Plusieurs développeurs se sont alignés derrière Kember. Tim Berners-Lee, créateur du Web, a exprimé sa frustration sur son compte Twitter : « Comment récupérer tous les mots de passe de votre grande sœur http://blog.elliottkember.com/chrome...urity-strategy … et une réponse décevante de l’équipe Chrome ».

Elliot Kember propose à Google d’ajouter par exemple un mot de passe maître avant de révéler les mots de passe comme c’est le cas pour Firefox et Safari.

Sources : billet de blog Elliot Kember, Twitter Tim Berners-Lee

Et vous ?

Faille ou pas ? Qu’en pensez-vous ?

La réponse de Google est-elle satisfaisante ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Le Vendangeur Masqué
Nouveau Candidat au Club https://www.developpez.com
Le 08/08/2013 à 11:18
Citation Envoyé par Conaclos Voir le message
J'avais déjà notifié il y a quelque mois ce problème aux développeurs de Google Chrome.
Vous trouverez leur réponse ici :
https://productforums.google.com/forum/#!msg/chrome-fr/JEyJwWfHQbQ/k47G1DfEBD8J
C'est vraiment foireux comme argumentation: sous prétexte qu'il pourrait être possible de récupérer le mot de passe principal (avec un KeyLogger par exemple, sauf que sur un bon OS un KL nécessiterait des droits élevés pour s'installer au coeur du système... donc mdp obligatoire), c'est pas la peine de chercher à sécuriser la liste des passwords.

En gros si vous avez des doutes sur la solidité de la porte de votre maison, vous embêtez pas, laissez tout ouvert.

La réponse de Google montre vraiment que la sécurité semble clairement pas être leur soucis principal.
8  3 
Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 08/08/2013 à 9:57
Donc si je te suis :
Citation Envoyé par Samuel_ Voir le message
Aujourd'hui n'importe qui peut récupérer énormément d'information sans être un crack de l'informatique. Des outils très simple ont été mis au point.
Et donc :
Citation Envoyé par Samuel_ Voir le message
La défense de Google (ndmoi: de ne pas sécuriser ces données) tient la route.
C'est tout le contraire. C'est par ce qu'il existe un tas d'outil pour essayer de récupérer ces infos que 100% des acteurs concernés se doivent de faire leur part du boulot !

Citation Envoyé par Samuel_ Voir le message
Le seul accès physique permet une sécurité. Certe elle n'est pas excellente, mais c'est déjà ça ...
Cette partie de la sécurité dépend de l'environnement de l'utilisateur. Ça ne peut pas libérer Google de son devoir de sécurisation.
De plus, en entreprise ou sur un PC familial cet argument ne tient pas la route une seule seconde.

Citation Envoyé par Samuel_ Voir le message
Personnellement je ne sauvegarde aucun mot de passe. C'est un choix de sécurité. Et je pense que c'est la meilleure sécurité actuellement.
On est d'accord, mais pour ceux qui choisissent d'enregistrer leurs mots de passe, Google se doit de faire le minimum.
4  0 
Avatar de Conaclos
Nouveau membre du Club https://www.developpez.com
Le 08/08/2013 à 11:03
J'avais déjà notifié il y a quelque mois ce problème aux développeurs de Google Chrome.
Vous trouverez leur réponse ici :
https://productforums.google.com/forum/#!msg/chrome-fr/JEyJwWfHQbQ/k47G1DfEBD8J
3  0 
Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 08/08/2013 à 9:32
Citation Envoyé par Hinault Romaric Voir le message

Faille ou pas ? Qu’en pensez-vous ?

La réponse de Google est-elle satisfaisante ?
Je suis curieux de lire le 1er commentaire qui viendra dire que Google a raison...

Evidemment que chrome DOIT lui-même protéger les informations qu'il stocke !
La question ne se pose même pas...
5  3 
Avatar de dolu02
Membre actif https://www.developpez.com
Le 08/08/2013 à 10:29
Citation Envoyé par Hinault Romaric Voir le message

Lors d’une connexion à un site, Chrome propose à l’utilisateur de sauvegarder son mot de passe afin de faciliter les accès ultérieurs de l’internaute.

Les informations enregistrées par Chrome sont ensuite synchronisées, via le compte Google de l’utilisateur, avec l’ensemble des autres machines sur lesquels celui-ci a accédé à Internet en utilisant Chrome.
Marrant que personne n'ai relevé ça, surtout après les récentes affaires PRISM, XKeyscore et autres joyeusetés...

Je stocke les mots de passe dans mon navigateur, mais j'évite comme la peste toutes les fonctions de "synchronisation". je pense qu'on se synchronise surtout avec les services d'espionnage et de surveillance et accessoirement ça permet de récupérer les mots de passe sur chaque device associé à un compte Google (ou autres)...
1  0 
Avatar de David_g
Membre éclairé https://www.developpez.com
Le 08/08/2013 à 11:23
Sa réponse est surtout foireuse sur l'idée que le masterpassword ne sert pour lui qu'à afficher le mot de passe en clair dans la liste.
(cf son exemple ou il te suffit d'aller sur le site de Gmail ).
Le navigateur ne remplit le mot de passe de ton site enregistré qu'après que tu ai fournis le masterpassword.
1  0 
Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 08/08/2013 à 11:42
Citation Envoyé par Samuel_ Voir le message
En entreprise il y a une politique de sécurité (enfin normalement). (...) il faut avoir un minimum confiance
"Normalement" et "confiance" 2 des pires ennemis en sécurité...
1  0 
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 08/08/2013 à 11:45
Un article un peu plus approfondi sur le sujet :

http://www.pcinpact.com/news/81650-m..._source=feedly
1  0 
Avatar de edoms
Membre régulier https://www.developpez.com
Le 08/08/2013 à 20:52
A partir du moment où il est possible d'enregistrer un mot de passe et de ne saisir aucune clé (mot de passe principal, sous Firefox, par exemple) avec lequel il va être chiffré, il n'y a pas de solution, le mot de passe doit être stocké en clair. C'est la solution retenue si l'on ne veut pas s'amuser à taper le mot de passe principal à chaque fois qu'on veut extraire un mot de passe du trousseau, ce qui est le cas de Mme Michu.

En l'absence de mot de passe principal, une solution serait d'utiliser une clé hardcodée pour chiffrer les mots de passes. Ca évite de pouvoir voir en clair le mot de passe juste en lisant le fichier, mais un petit coup d'oeil dans les sources (voir dans l'exécutable lui même, en fait...) et c'est réglé, on a la clé et on peut déchiffrer, pas bon donc.

Une autre solution serait d'utiliser les credentials de la session, c'est possible sous KDE avec KWallet et sous Gnome avec gnome-keyring, le mot de passe de l'utilisateur fait office de clé pour chiffrer et déchiffrer le trousseau. PAM propose une API pour récupérer le mot de passe, appellable uniquement depuis une application tournant avec le compte root, ce qui est le cas du démon en dessous de KWallet. Dans le monde Windows, il faudrait un service qui enregistre les mots de passe et l'application auxquels ils sont associés. Un WinWallet quoi, ça n'existe pas (ou alors, j'ai pas cherché assez :p)

Enfin, la dernière solution, et la meilleure, c'est simplement de stocker tout en clair dans son profil (/Users ou /home) sans se tracasser et de chiffrer le profil avec le mot de passe de la session. Ca, ça existe, ça s'appelle BitLocker sous Windows, mais allez expliquer ça à Mme Michu. Cette fonctionnalité devrait être activée par défaut, le seul problème est qu'en cas d'oubli du mot de passe, tous les fichiers seront perdus à jamais. Et ça, encore une fois, c'est pas bon pour Mme Michu.

En fait, le seul reproche qu'on peut faire à Chrome, c'est que leur interface soit tellement intuitive que n'importe qui peut arriver à trouver les mots de passes. Il faut plus de click pour y arriver sous Firefox, mais tout est là aussi. Sous IE, ça doit être soit caché dans le registre, soit dans un fichier perdu dans %APPDATA%, mais l'info y est forcément aussi.

Bref, une tempête dans un verre d'eau, chiffrez vos données et verrouillez votre session avant la pause café si d'autres personnes ont un accès physique à votre machine, il n'y a pas d'autre solution.
2  1 
Avatar de vohufr
Membre éclairé https://www.developpez.com
Le 09/08/2013 à 9:19
Je vois pas trop le problème en fait...

Si on enregistre nos mots de passe, on sait qu'ils sont récupérables des qu'on a un accès à la machine... Ça toujours été le cas avec n'importe quel navigateur... De toute façon, s'ils les protègent, un petit malin pondra un outil pour les faire sortir en un clic.

Si on se trouve dans un contexte où la possibilité de se faire voler les mots de passe existe, et est un risque, et bien on enregistre pas ses mots de passe, et le problème est résolu.
1  0