Chrome stocke les données des formulaires web des utilisateurs en clair sur le disque dur
Est-ce une pratique dangereuse ?
Le 2013-10-17 10:28:45, par Cedric Chevalier, Expert éminent sénior
Pour éviter d'avoir à saisir les mêmes informations, comme les numéros de cartes de crédit ou encore les mots de passe, à chaque remplissage d'un formulaire Web, les navigateurs enregistrent les données afin d'automatiser le processus. La pratique permet de gagner du temps.
Chaque navigateur a sa propre politique de stockage d’informations. Pour Chrome par exemple, elles consiste à stocker localement en clair (sans être cryptées) sur le disque dur de l'utilisateur, ces informations personnelles.
Une question se pose alors. Est-ce que cette pratique peut être considérée comme sécurisée ? Les experts ont des avis partagés sur la question.
Pour ceux de la firme Identity Finder, la réponse est négative. Ils ont d'ailleurs développé un logiciel malicieux tirant parti de cette politique de Chrome pour démontrer sa vulnérabilité. Ils ont par la suite envoyé leur rapport à Google et demandé à la firme de Mountain View de doter son navigateur des fonctionnalités de chiffrement nécessaires pour protéger les informations sensibles des utilisateurs.
De leur côté, Google et d'autres experts considèrent qu'il n'y a pas là de quoi tirer la sonnette d'alarme. Pour le géant de Mountain View, Chrome donne la possibilité à l'utilisateur de choisir ce qu'il désire faire de ses données sensibles. En effet, l'entreprise par la voix de ses porte-parole déclare que « Chrome demande toujours la permission à l'utilisateur avant de stocker ses informations sensibles, et celui-ci peut d'ailleurs choisir de ne rien enregistrer si il le désire ».
Dans la même lancée, Wolgang Kandek, CEO pour la firme Qualys, affirme : « je pense qu'il est judicieux de stocker les informations de l'historique Web dans un format crypté pour éviter ce problème de fuite d'information. Mais, ce n'est pas vital ».
Pour Kandek, un malware effectue des actions beaucoup plus complexes et sophistiquées comme la surveillance du clavier des utilisateurs afin de leur subtiliser leurs informations personnelles.
Sans vouloir entrer dans le débat des experts, nettoyer couramment le cache de son navigateur est une bonne pratique que les internautes doivent adopter, car comme on dit très souvent « on ne sait jamais », il faut toujours être prudent.
Source : CSO
Et vous ?
D'après vous, qui a raison dans le débat des experts ?
Chaque navigateur a sa propre politique de stockage d’informations. Pour Chrome par exemple, elles consiste à stocker localement en clair (sans être cryptées) sur le disque dur de l'utilisateur, ces informations personnelles.
Une question se pose alors. Est-ce que cette pratique peut être considérée comme sécurisée ? Les experts ont des avis partagés sur la question.
Pour ceux de la firme Identity Finder, la réponse est négative. Ils ont d'ailleurs développé un logiciel malicieux tirant parti de cette politique de Chrome pour démontrer sa vulnérabilité. Ils ont par la suite envoyé leur rapport à Google et demandé à la firme de Mountain View de doter son navigateur des fonctionnalités de chiffrement nécessaires pour protéger les informations sensibles des utilisateurs.
De leur côté, Google et d'autres experts considèrent qu'il n'y a pas là de quoi tirer la sonnette d'alarme. Pour le géant de Mountain View, Chrome donne la possibilité à l'utilisateur de choisir ce qu'il désire faire de ses données sensibles. En effet, l'entreprise par la voix de ses porte-parole déclare que « Chrome demande toujours la permission à l'utilisateur avant de stocker ses informations sensibles, et celui-ci peut d'ailleurs choisir de ne rien enregistrer si il le désire ».
Dans la même lancée, Wolgang Kandek, CEO pour la firme Qualys, affirme : « je pense qu'il est judicieux de stocker les informations de l'historique Web dans un format crypté pour éviter ce problème de fuite d'information. Mais, ce n'est pas vital ».
Pour Kandek, un malware effectue des actions beaucoup plus complexes et sophistiquées comme la surveillance du clavier des utilisateurs afin de leur subtiliser leurs informations personnelles.
Sans vouloir entrer dans le débat des experts, nettoyer couramment le cache de son navigateur est une bonne pratique que les internautes doivent adopter, car comme on dit très souvent « on ne sait jamais », il faut toujours être prudent.
Source : CSO
Et vous ?
-
alband85Membre éclairéJe verrai du sérieux le jour on je lirai chiffré en lieu et place de "crypté".le 17/10/2013 à 17:47
-
UtherExpert éminent séniorCa n'a rien a voir de toute façon les données stoquées en local sont toujours non sécurisées vis a vis d'un accès local. Quel que soit le logiciel et il n'y a rien que l'on puisse y faire avec un Ordinateur/OS normal.
Si jamais les données étaient chiffrées, la clé devrait de toute façon soit :
- être stoqué en clair sur le disque dur, autant dire que ça sert a rien
- être saisie par l'utilisateur a chaque fois qu'il démarre le navigateur, autant dire que la plupart des utilisateur n'en voudraient pas.
Au contraire, ce monsieur a pris le temps de réfléchir 30 secondes avant de parler et sait bien que chiffrer ne sert a rien a part donner une fausse impression de sécurité.
Le but du stockage local étant de permettre au navigateur d'y accéder, il faut bien qu'il garde la clé de déchiffrement en local. Un malware prendra la clé et déchiffrera ça en une fraction de seconde.
Je ne le suis pas non plus mais il y a assez de vraie chose a leur reprocher sur leurs services en ligne pour ne pas perdre son temps à dénoncer de faux problèmes auxquels ils ne peuvent pas grand chose.le 18/10/2013 à 10:54 -
DorianDMembre à l'essaiComme déjà dit dans les commentaires précédents, c'est une fausse critique : sauf en demandant un mot de passe à chaque formulaire, il est impossible de réellement chiffrer les données enregistrées.
Si on va dans ce sens, on pourrait tout aussi bien condamner Mozilla : Thunderbird se contente d'enregistrer les mots de passe en base64 dans les fichiers de configuration (j'ai pas regardé pour Firefox, mais j'imagine que c'est la même).
Et puis, en terme de confidentialité, on peut trouver beaucoup bien assez de vrais griefs contre les produits Googlele 18/10/2013 à 10:11 -
DelphiManiacMembre émérite1) Tu nous dis que le cryptage c'est autre chose
2) Tu nous dis que le chiffrement est une méthode de cryptage
3) Le cryptage c'est l'art de cacher quelque chose que l'on peut voir sans connaître la clef, donc c'est l'art de cacher quelque chose sans le cacher ?
Je suis peut être bête, mais peux tu me donner 2 exemples précis de chiffrement et de cryptage ? Précis au sens strict du terme, 2 implémentations précise de chiffrement et cryptage où au moins 2 méthodes reconnu comme étant des références dans ces 2 domaines.le 18/10/2013 à 11:29 -
miaousMembre avertic'est mieux de crypté le fichier , mais il faut une clé unique lié a un mot de passe saisie à chaque fois sinon ça ne sert à rienle 17/10/2013 à 17:35
-
UtherExpert éminent séniorCes pseudos chercheurs en sécurité me font vraiment peur quant a leur niveau de compétences, car ce qu'ils ont découvert un vrai secret de polichinelle. Les mots de passes enregistrés sont forcément accessible sans difficulté. Les chiffrer serait pire car ça donnerait juste une fausse impression de sécurité.
La seule solution sure serait d'utiliser un master password demandé à l'utilisateur.
Certains navigateurs (Firefox au moins) permettent de le faire, mais c'est de toute façon toujours en "opt-in", car c'est vite énervant de devoir fournir son mot de passe a chaque utilisation du navigateur.le 17/10/2013 à 17:57 -
DelphiManiacMembre éméritePour ma culture personnelle, peux tu m'expliquer ce qu'est le crytage ?
Sinon pour l'utilisateur lambda, que les données soient chiffrés ou pas, je ne pense pas que cela fasse une grosse différence :/
J'entend par là, qu'avant qu'un utilisateur comprenne ne serais ce que la notion de chiffrement et qu'en plus il assimile le fait qu'il lui faut un mot de passe différent à chaque qu'il s'authentifie quelque part, nous en sommes à des années lumières.
Le plus simple serait de fournir une clef physique, tout le monde sait utiliser une clef et en comprend l'utilité (maison, voiture, ...) L'inconvénient en informatique, si l'on perd la clef on ne peut pas changer la serrure sans tout perdre :/le 17/10/2013 à 18:55 -
IiiakFutur Membre du ClubLe chiffrement est une méthode de cryptage.
Le cryptage au vrai sens du terme signifie cacher quelque chose. Typiquement, on peut cacher une image dans un image, une image dans une vidéo (image subliminale). Ce qui ne nécessite pas forcément de clef ou autre pour voir et comprendre le message.
Le chiffrement implique d’un « cryptage » qu’il ne soit déchiffrable QUE si on a la clef. (Grosso modo, équivalent a un couple de clef rsa privé/publique ).le 18/10/2013 à 9:20 -
manticoreMembre confirméCrypter / cryptage n'existe tout simplement plus d'après l’académie Française.
Source : http://fr.wikipedia.org/wiki/Cryptographie
Il apparaît donc que mis au regard du couple chiffrer/déchiffrer et du sens du mot « décrypter », le terme « crypter » n'a pas de raison d'être (l'Académie française précise que le mot est à bannir), en tout cas pas dans le sens où on le trouve en général utilisé[réf. nécessaire]. Dans sa dernière édition (entamée en 1992) le Dictionnaire de l'Académie française n'intègre pas « crypter » et « cryptage », mais ce dernier terme apparait dans le Grand Robert (qui date son apparition de 1980). L'Office québécois de la langue française intègre « crypter » au sens de « chiffrer », et « cryptage » au sens de déchiffrement dans son grand dictionnaire terminologique3.
Décrypter un texte existe, il s'agit de pouvoir retrouver le message sans en posséder la clé.le 18/10/2013 à 12:59 -
sinopleMembre chevronnéLeur raisonnement peut se comprendre, car les données sont stockées localement sur la machine.
Du coup faut avoir un accès à ces données locales (passé par un virus ou autres) et dans ce cas c'est pas trop compliqué de récupérer des mot de passe même s'il ne sont pas enregistré. On peut considérer que c'est la responsabilité de l'utilisateur et de son système d'exploitation de gérer la confidentialité des données stockées en local.
Pour moi l'hérésie c'est le principe du stockage de mot de passe et non pas le pourquoi du comment de la méthode de chiffrement à utiliser.
J'espère quand même qu'il tienne un autre raisonnement pour les mots de passe stocké sur leur serveurle 18/10/2013 à 13:00