Chrome : la gestion des mots de passe suscite la polémique
Ils peuvent être visualisés en clair en quelques étapes, pour Google il ne s’agit pas d’une faille

Lors d’une connexion à un site, Chrome propose à l’utilisateur de sauvegarder son mot de passe afin de faciliter les accès ultérieurs de l’internaute.

Les informations enregistrées par Chrome sont ensuite synchronisées, via le compte Google de l’utilisateur, avec l’ensemble des autres machines sur lesquelles celui-ci a accédé à Internet en utilisant Chrome.


Cette fonctionnalité fait actuellement l’objet d’une polémique pour une faille qui n’en serait pas une pour Google. Une personne ayant accédé à l’ordinateur peut voir en clair les mots de passe enregistrés par Chrome.

Le développeur Elliot Kember, dans un billet de blog, met en évidence cette supposée faille de sécurité, et décrit comment en quelques étapes, les mots de passe enregistrés peuvent être récupérés.

Il suffirait de saisir l’URL « chrome://settings/passwords » dans la barre d’adresse pour avoir un accès direct au gestionnaire de mots de passe. Ensuite, à partir de cette page, il est possible de retrouver la liste des sites Web avec pour chacun l’identifiant et le mot de passe associé. Ceux-ci bien évidement masqués. Mais un simple clic sur le nom du site et sur « Afficher » permet de visualiser en clair le mot de passe rattaché.


Dans une discussion polémique sur Hacker News, Justin Schuh, responsable de la sécurité pour Chrome, a déclaré que cela ne représentait pas une faille, dans la mesure où il faut un accès physique à la machine pour récupérer les mots de passe.

Sauf que les internautes, dans leur majorité, ne savent pas que Chrome fonctionne ainsi et ont un « faux sentiment de sécurité », car ils ne s’attendent pas à ce que leurs mots de passe puissent être récupérés aussi simplement. Un ordinateur partagé, une personne qui vous aide à fixer un problème, et un accès à votre session Chrome permettent d’obtenir vos mots de passe.

Kember, outré par la réponse de Google, estime « qu’il s’agit d’une stratégie de sécurité ridicule » et invite les utilisateurs à désactiver cette fonctionnalité (qui est activée par défaut) ou à arrêter d’enregistrer leurs mots de passe dans Chrome.

Plusieurs développeurs se sont alignés derrière Kember. Tim Berners-Lee, créateur du Web, a exprimé sa frustration sur son compte Twitter : « Comment récupérer tous les mots de passe de votre grande sœur http://blog.elliottkember.com/chrome...urity-strategy … et une réponse décevante de l’équipe Chrome ».

Elliot Kember propose à Google d’ajouter par exemple un mot de passe maître avant de révéler les mots de passe comme c’est le cas pour Firefox et Safari.


Sources : billet de blog Elliot Kember, Twitter Tim Berners-Lee


Et vous ?

Faille ou pas ? Qu’en pensez-vous ?

La réponse de Google est-elle satisfaisante ?