Publicité
+ Répondre à la discussion Actualité déjà publiée
Page 1 sur 3 123 DernièreDernière
Affichage des résultats 1 à 20 sur 49
  1. #1
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro Hinault Romaric
    Consultant
    Inscrit en
    janvier 2007
    Messages
    3 743
    Détails du profil
    Informations personnelles :
    Nom : Homme Hinault Romaric
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 3 743
    Points : 50 399
    Points
    50 399

    Par défaut Chrome : la gestion des mots de passe suscite la polémique

    Chrome : la gestion des mots de passe suscite la polémique
    Ils peuvent être visualisés en clair en quelques étapes, pour Google il ne s’agit pas d’une faille

    Lors d’une connexion à un site, Chrome propose à l’utilisateur de sauvegarder son mot de passe afin de faciliter les accès ultérieurs de l’internaute.

    Les informations enregistrées par Chrome sont ensuite synchronisées, via le compte Google de l’utilisateur, avec l’ensemble des autres machines sur lesquelles celui-ci a accédé à Internet en utilisant Chrome.


    Cette fonctionnalité fait actuellement l’objet d’une polémique pour une faille qui n’en serait pas une pour Google. Une personne ayant accédé à l’ordinateur peut voir en clair les mots de passe enregistrés par Chrome.

    Le développeur Elliot Kember, dans un billet de blog, met en évidence cette supposée faille de sécurité, et décrit comment en quelques étapes, les mots de passe enregistrés peuvent être récupérés.

    Il suffirait de saisir l’URL « chrome://settings/passwords » dans la barre d’adresse pour avoir un accès direct au gestionnaire de mots de passe. Ensuite, à partir de cette page, il est possible de retrouver la liste des sites Web avec pour chacun l’identifiant et le mot de passe associé. Ceux-ci bien évidement masqués. Mais un simple clic sur le nom du site et sur « Afficher » permet de visualiser en clair le mot de passe rattaché.


    Dans une discussion polémique sur Hacker News, Justin Schuh, responsable de la sécurité pour Chrome, a déclaré que cela ne représentait pas une faille, dans la mesure où il faut un accès physique à la machine pour récupérer les mots de passe.

    Sauf que les internautes, dans leur majorité, ne savent pas que Chrome fonctionne ainsi et ont un « faux sentiment de sécurité », car ils ne s’attendent pas à ce que leurs mots de passe puissent être récupérés aussi simplement. Un ordinateur partagé, une personne qui vous aide à fixer un problème, et un accès à votre session Chrome permettent d’obtenir vos mots de passe.

    Kember, outré par la réponse de Google, estime « qu’il s’agit d’une stratégie de sécurité ridicule » et invite les utilisateurs à désactiver cette fonctionnalité (qui est activée par défaut) ou à arrêter d’enregistrer leurs mots de passe dans Chrome.

    Plusieurs développeurs se sont alignés derrière Kember. Tim Berners-Lee, créateur du Web, a exprimé sa frustration sur son compte Twitter : « Comment récupérer tous les mots de passe de votre grande sœur http://blog.elliottkember.com/chrome...urity-strategy … et une réponse décevante de l’équipe Chrome ».

    Elliot Kember propose à Google d’ajouter par exemple un mot de passe maître avant de révéler les mots de passe comme c’est le cas pour Firefox et Safari.


    Sources : billet de blog Elliot Kember, Twitter Tim Berners-Lee


    Et vous ?

    Faille ou pas ? Qu’en pensez-vous ?

    La réponse de Google est-elle satisfaisante ?
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre Expert
    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2009
    Messages
    373
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 373
    Points : 1 093
    Points
    1 093

    Par défaut

    Citation Envoyé par Hinault Romaric Voir le message
    Faille ou pas ? Qu’en pensez-vous ?

    La réponse de Google est-elle satisfaisante ?
    Je suis curieux de lire le 1er commentaire qui viendra dire que Google a raison...

    Evidemment que chrome DOIT lui-même protéger les informations qu'il stocke !
    La question ne se pose même pas...

  3. #3
    Expert Confirmé
    Avatar de Samuel_
    Homme Profil pro Samuel
    Ingénieur développement logiciels
    Inscrit en
    août 2012
    Messages
    351
    Détails du profil
    Informations personnelles :
    Nom : Homme Samuel
    Âge : 24
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : août 2012
    Messages : 351
    Points : 2 977
    Points
    2 977

    Par défaut

    Citation Envoyé par tontonnux Voir le message
    Je suis curieux de lire le 1er commentaire qui viendra dire que Google a raison...

    Evidemment que chrome DOIT lui-même protéger les informations qu'il stocke !
    La question ne se pose même pas...
    Aujourd'hui n'importe qui peut récupérer énormément d'information sans être un crack de l'informatique. Des outils très simple ont été mis au point.

    La défense de Google tient la route. Le seul accès physique permet une sécurité. Certe elle n'est pas excellente, mais c'est déjà ça ...

    Personnellement je ne sauvegarde aucun mot de passe. C'est un choix de sécurité. Et je pense que c'est la meilleure sécurité actuellement.

    Ne pas oublier mais aussi

    "L'urgent est fait, l'impossible est en cours, pour les miracles prévoir un délai "

  4. #4

    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2011
    Messages
    187
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2011
    Messages : 187
    Points : -234
    Points
    -234

    Par défaut

    Franchement du grand n'importe quoi...

    Signalons que IE ou Safari proposent depuis longtemps de protéger l'accès à la liste des mots de passe par celui du compte utilisateur.

  5. #5
    Membre Expert
    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2009
    Messages
    373
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 373
    Points : 1 093
    Points
    1 093

    Par défaut

    Donc si je te suis :
    Citation Envoyé par Samuel_ Voir le message
    Aujourd'hui n'importe qui peut récupérer énormément d'information sans être un crack de l'informatique. Des outils très simple ont été mis au point.
    Et donc :
    Citation Envoyé par Samuel_ Voir le message
    La défense de Google (ndmoi: de ne pas sécuriser ces données) tient la route.
    C'est tout le contraire. C'est par ce qu'il existe un tas d'outil pour essayer de récupérer ces infos que 100% des acteurs concernés se doivent de faire leur part du boulot !

    Citation Envoyé par Samuel_ Voir le message
    Le seul accès physique permet une sécurité. Certe elle n'est pas excellente, mais c'est déjà ça ...
    Cette partie de la sécurité dépend de l'environnement de l'utilisateur. Ça ne peut pas libérer Google de son devoir de sécurisation.
    De plus, en entreprise ou sur un PC familial cet argument ne tient pas la route une seule seconde.

    Citation Envoyé par Samuel_ Voir le message
    Personnellement je ne sauvegarde aucun mot de passe. C'est un choix de sécurité. Et je pense que c'est la meilleure sécurité actuellement.
    On est d'accord, mais pour ceux qui choisissent d'enregistrer leurs mots de passe, Google se doit de faire le minimum.

  6. #6
    Nouveau Membre du Club
    Inscrit en
    avril 2008
    Messages
    64
    Détails du profil
    Informations forums :
    Inscription : avril 2008
    Messages : 64
    Points : 29
    Points
    29

    Par défaut

    j'aimerai juste dire que c'est pas le seul a faire en sorte d'afficher les mots de passe en clair si on cherche un peu,
    Firefox à le même problème

    Personnellement j’évite que les navigateurs retiennent mon mot de passe, c'est comme les noter sur un post-it qui serait coller derrière l’écran on les voit pas au première abord mais on arrive a les trouver facilement

    Après de la à dire qu'ils ont raison je sais pas mais dans tous les cas du moment ou le mot de passe est retenu, il faut bien qu'a un moment ou un autre le mot de passe soit en clair pour pouvoir l'envoyer au site concerné

    Donc excusez moi de dire, cette polémique est une fausse polémique.

  7. #7
    Membre confirmé
    Homme Profil pro
    Inscrit en
    mars 2007
    Messages
    152
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Belgique

    Informations forums :
    Inscription : mars 2007
    Messages : 152
    Points : 210
    Points
    210

    Par défaut

    Citation Envoyé par Hinault Romaric Voir le message
    Lors d’une connexion à un site, Chrome propose à l’utilisateur de sauvegarder son mot de passe afin de faciliter les accès ultérieurs de l’internaute.

    Les informations enregistrées par Chrome sont ensuite synchronisées, via le compte Google de l’utilisateur, avec l’ensemble des autres machines sur lesquels celui-ci a accédé à Internet en utilisant Chrome.
    Marrant que personne n'ai relevé ça, surtout après les récentes affaires PRISM, XKeyscore et autres joyeusetés...

    Je stocke les mots de passe dans mon navigateur, mais j'évite comme la peste toutes les fonctions de "synchronisation". je pense qu'on se synchronise surtout avec les services d'espionnage et de surveillance et accessoirement ça permet de récupérer les mots de passe sur chaque device associé à un compte Google (ou autres)...

  8. #8
    Invité régulier
    Homme Profil pro
    Inscrit en
    août 2011
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : août 2011
    Messages : 7
    Points : 6
    Points
    6

    Par défaut

    Et c'est que maintenant que les gens trouve ça ?
    Ça m'a rendu pas mal de service... Pour moi c'est une feature...
    Après sécuriser l'accès avec un mot de passe unique pourquoi pas...

  9. #9
    Rédacteur/Modérateur



    Homme Profil pro Thomas Levesque
    Développeur .NET
    Inscrit en
    février 2004
    Messages
    19 169
    Détails du profil
    Informations personnelles :
    Nom : Homme Thomas Levesque
    Âge : 32
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2004
    Messages : 19 169
    Points : 36 586
    Points
    36 586

    Par défaut

    C'est comme ça depuis longtemps dans Firefox. Certes, on peut mettre un master password, mais par défaut il n'y en a pas. Pourtant personne ne s'en est plaint à ma connaissance...

    Perso je comprends la réponse de Google ; à partir du moment où quelqu'un a physiquement accès à la machine, il peut très bien installer un keylogger ou configurer un proxy qui lui permettra d'intercepter tous les échanges, alors ça n'est pas tellement choquant qu'il accède aux mots de passe stockés par Chrome...

  10. #10
    Membre habitué
    Homme Profil pro Alex Barféty
    Ingénieur développement logiciels
    Inscrit en
    mai 2010
    Messages
    39
    Détails du profil
    Informations personnelles :
    Nom : Homme Alex Barféty
    Âge : 25
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2010
    Messages : 39
    Points : 131
    Points
    131

    Par défaut

    Ça fait des années que ce genre de fonction est disponible (et aussi chez les concurrents).

    C'est une fonctionnalité, il faut l'utiliser en connaissance de cause.

    D'ailleurs, chez FF, on peut afficher TOUT les mots de passe d'un coup (ce qui est plus grave je trouve car ça permet de repérer d'un coup d'oeil les pattern de mdp de l'utilisateur).

    Après, je suis d'accord qu'une protection par mot de passe de l'affichage des mdp serait une bonne feature à ajouter.

  11. #11
    Expert Confirmé
    Avatar de Samuel_
    Homme Profil pro Samuel
    Ingénieur développement logiciels
    Inscrit en
    août 2012
    Messages
    351
    Détails du profil
    Informations personnelles :
    Nom : Homme Samuel
    Âge : 24
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : août 2012
    Messages : 351
    Points : 2 977
    Points
    2 977

    Par défaut

    Citation Envoyé par tontonnux Voir le message
    De plus, en entreprise ou sur un PC familial cet argument ne tient pas la route une seule seconde.
    En entreprise il y a une politique de sécurité (enfin normalement). Si l'authentification est dite "critique", l'enregistrement de mots de passe ne doit pas être possible.
    Et après en famille, il faut avoir un minimum confiance ... ou changer de famille (mais c'est plus compliqué )

    Citation Envoyé par tontonnux Voir le message
    On est d'accord, mais pour ceux qui choisissent d'enregistrer leurs mots de passe, Google se doit de faire le minimum.
    Je pense que le minimum a été fait. Après c'est suffisant (ou pas) selon les personnes. Ce sont à elles de juger.[/QUOTE]

    Ne pas oublier mais aussi

    "L'urgent est fait, l'impossible est en cours, pour les miracles prévoir un délai "

  12. #12
    Membre à l'essai
    Homme Profil pro Victorien Elvinger
    Étudiant
    Inscrit en
    juillet 2010
    Messages
    16
    Détails du profil
    Informations personnelles :
    Nom : Homme Victorien Elvinger
    Âge : 23

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juillet 2010
    Messages : 16
    Points : 22
    Points
    22

    Par défaut

    J'avais déjà notifié il y a quelque mois ce problème aux développeurs de Google Chrome.
    Vous trouverez leur réponse ici :
    https://productforums.google.com/for...Q/k47G1DfEBD8J

  13. #13
    Rédacteur/Modérateur



    Homme Profil pro Thomas Levesque
    Développeur .NET
    Inscrit en
    février 2004
    Messages
    19 169
    Détails du profil
    Informations personnelles :
    Nom : Homme Thomas Levesque
    Âge : 32
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2004
    Messages : 19 169
    Points : 36 586
    Points
    36 586

    Par défaut

    Citation Envoyé par AlexRNL Voir le message
    Après, je suis d'accord qu'une protection par mot de passe de l'affichage des mdp serait une bonne feature à ajouter.
    Oui, c'est le principe du "master password" qui existe dans Firefox.

    Mais pour que ça serve à quelque chose, il faut que ce master password ne protège pas seulement l'affichage des mots de passe, mais qu'il soit également nécessaire pour déchiffrer les mots de passe stockés (sinon quelqu'un qui a accès à la machine pourrait les déchiffrer lui-même, même sans la fonction d'affichage des mdp). Cela implique que quand le navigateur aurait besoin de remplir un formulaire de connexion, il devrait demander le master password à l'utilisateur... ce qui limite un peu l'intérêt d'avoir enregistré ses mots de passe (de mémoire, je crois que Firefox ne le demande qu'une seule fois pour toute la session)

  14. #14

    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2011
    Messages
    187
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2011
    Messages : 187
    Points : -234
    Points
    -234

    Par défaut

    Citation Envoyé par Conaclos Voir le message
    J'avais déjà notifié il y a quelque mois ce problème aux développeurs de Google Chrome.
    Vous trouverez leur réponse ici :
    https://productforums.google.com/for...Q/k47G1DfEBD8J
    C'est vraiment foireux comme argumentation: sous prétexte qu'il pourrait être possible de récupérer le mot de passe principal (avec un KeyLogger par exemple, sauf que sur un bon OS un KL nécessiterait des droits élevés pour s'installer au coeur du système... donc mdp obligatoire), c'est pas la peine de chercher à sécuriser la liste des passwords.

    En gros si vous avez des doutes sur la solidité de la porte de votre maison, vous embêtez pas, laissez tout ouvert.

    La réponse de Google montre vraiment que la sécurité semble clairement pas être leur soucis principal.

  15. #15
    Membre chevronné
    Inscrit en
    mai 2010
    Messages
    246
    Détails du profil
    Informations forums :
    Inscription : mai 2010
    Messages : 246
    Points : 685
    Points
    685

    Par défaut

    Sa réponse est surtout foireuse sur l'idée que le masterpassword ne sert pour lui qu'à afficher le mot de passe en clair dans la liste.
    (cf son exemple ou il te suffit d'aller sur le site de Gmail ).
    Le navigateur ne remplit le mot de passe de ton site enregistré qu'après que tu ai fournis le masterpassword.

  16. #16
    Membre éprouvé
    Avatar de Marwindows
    Profil pro Dave Hill
    Inscrit en
    mars 2010
    Messages
    37
    Détails du profil
    Informations personnelles :
    Nom : Dave Hill

    Informations forums :
    Inscription : mars 2010
    Messages : 37
    Points : 473
    Points
    473

    Par défaut

    Firefox à la même, c'est juste qu'il faut se ballader dans plus de menu.
    Connectez vous à notre proxy et sur plusieurs comptes twitter en même temps :
    http://multitwitter.com - http://multi-twitter.com - http://proxy-witter.com
    Envie de Developper des Jeux Web simplement, essayez la Santalib Objs :
    http://santalib.fr

    Je vends le ndd http://kitk.at si il y a des intéressé

  17. #17
    Membre Expert
    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2009
    Messages
    373
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 373
    Points : 1 093
    Points
    1 093

    Par défaut

    Citation Envoyé par Samuel_ Voir le message
    En entreprise il y a une politique de sécurité (enfin normalement). (...) il faut avoir un minimum confiance
    "Normalement" et "confiance" 2 des pires ennemis en sécurité...

  18. #18
    Rédacteur/Modérateur



    Homme Profil pro Thomas Levesque
    Développeur .NET
    Inscrit en
    février 2004
    Messages
    19 169
    Détails du profil
    Informations personnelles :
    Nom : Homme Thomas Levesque
    Âge : 32
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2004
    Messages : 19 169
    Points : 36 586
    Points
    36 586

    Par défaut

    Un article un peu plus approfondi sur le sujet :

    http://www.pcinpact.com/news/81650-m..._source=feedly

  19. #19
    Membre Expert Avatar de Marc3001
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    février 2008
    Messages
    805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Morbihan (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : février 2008
    Messages : 805
    Points : 1 097
    Points
    1 097

    Par défaut

    Citation Envoyé par dolu02 Voir le message
    Je stocke les mots de passe dans mon navigateur, mais j'évite comme la peste toutes les fonctions de "synchronisation". je pense qu'on se synchronise surtout avec les services d'espionnage et de surveillance et accessoirement ça permet de récupérer les mots de passe sur chaque device associé à un compte Google (ou autres)...
    Tu peux aussi héberger ton propre serveur Firefox sync chez toi. L'outil est dispo.

    Pour Google, je ne sais pas....
    Le logiciel, c'est comme le sexe, c'est meilleur quand c'est libre.

    Linus Torvalds

  20. #20
    Membre chevronné
    Inscrit en
    juillet 2012
    Messages
    191
    Détails du profil
    Informations forums :
    Inscription : juillet 2012
    Messages : 191
    Points : 612
    Points
    612

    Par défaut

    Citation Envoyé par Le Vendangeur Masqué Voir le message
    sauf que sur un bon OS un KL nécessiterait des droits élevés pour s'installer au coeur du système... donc mdp obligatoire)
    Mouais, ou alors tu installes un keylogger matériel (accès physique, pourquoi se priver, en plus c‘est cross-platform ) et ton OS, bon ou pas, il n’y fera rien.

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •