Discussion :

[Hinault Romaric]

Chrome : la gestion des mots de passe suscite la polémique
Ils peuvent être visualisés en clair en quelques étapes, pour Google il ne s’agit pas d’une faille

Lors d’une connexion à un site, Chrome propose à l’utilisateur de sauvegarder son mot de passe afin de faciliter les accès ultérieurs de l’internaute.

Les informations enregistrées par Chrome sont ensuite synchronisées, via le compte Google de l’utilisateur, avec l’ensemble des autres machines sur lesquelles celui-ci a accédé à Internet en utilisant Chrome.

Cette fonctionnalité fait actuellement l’objet d’une polémique pour une faille qui n’en serait pas une pour Google. Une personne ayant accédé à l’ordinateur peut voir en clair les mots de passe enregistrés par Chrome.

Le développeur Elliot Kember, dans un billet de blog, met en évidence cette supposée faille de sécurité, et décrit comment en quelques étapes, les mots de passe enregistrés peuvent être récupérés.

Il suffirait de saisir l’URL « chrome://settings/passwords » dans la barre d’adresse pour avoir un accès direct au gestionnaire de mots de passe. Ensuite, à partir de cette page, il est possible de retrouver la liste des sites Web avec pour chacun l’identifiant et le mot de passe associé. Ceux-ci bien évidement masqués. Mais un simple clic sur le nom du site et sur « Afficher » permet de visualiser en clair le mot de passe rattaché.

Dans une discussion polémique sur Hacker News, Justin Schuh, responsable de la sécurité pour Chrome, a déclaré que cela ne représentait pas une faille, dans la mesure où il faut un accès physique à la machine pour récupérer les mots de passe.

Sauf que les internautes, dans leur majorité, ne savent pas que Chrome fonctionne ainsi et ont un « faux sentiment de sécurité », car ils ne s’attendent pas à ce que leurs mots de passe puissent être récupérés aussi simplement. Un ordinateur partagé, une personne qui vous aide à fixer un problème, et un accès à votre session Chrome permettent d’obtenir vos mots de passe.

Kember, outré par la réponse de Google, estime « qu’il s’agit d’une stratégie de sécurité ridicule » et invite les utilisateurs à désactiver cette fonctionnalité (qui est activée par défaut) ou à arrêter d’enregistrer leurs mots de passe dans Chrome.

Plusieurs développeurs se sont alignés derrière Kember. Tim Berners-Lee, créateur du Web, a exprimé sa frustration sur son compte Twitter : « Comment récupérer tous les mots de passe de votre grande sœur http://blog.elliottkember.com/chrome...urity-strategy … et une réponse décevante de l’équipe Chrome ».

Elliot Kember propose à Google d’ajouter par exemple un mot de passe maître avant de révéler les mots de passe comme c’est le cas pour Firefox et Safari.


Sources : billet de blog Elliot Kember, Twitter Tim Berners-Lee


Et vous ?

Faille ou pas ? Qu’en pensez-vous ?

La réponse de Google est-elle satisfaisante ?

[tontonnux]

Faille ou pas ? Qu’en pensez-vous ?

La réponse de Google est-elle satisfaisante ?

Je suis curieux de lire le 1er commentaire qui viendra dire que Google a raison...

Evidemment que chrome DOIT lui-même protéger les informations qu'il stocke !
La question ne se pose même pas...

[Samuel_]

Je suis curieux de lire le 1er commentaire qui viendra dire que Google a raison...

Evidemment que chrome DOIT lui-même protéger les informations qu'il stocke !
La question ne se pose même pas...

Aujourd'hui n'importe qui peut récupérer énormément d'information sans être un crack de l'informatique. Des outils très simple ont été mis au point.

La défense de Google tient la route. Le seul accès physique permet une sécurité. Certe elle n'est pas excellente, mais c'est déjà ça ...

Personnellement je ne sauvegarde aucun mot de passe. C'est un choix de sécurité. Et je pense que c'est la meilleure sécurité actuellement.

[Le Vendangeur Masqué]

Franchement du grand n'importe quoi...

Signalons que IE ou Safari proposent depuis longtemps de protéger l'accès à la liste des mots de passe par celui du compte utilisateur.

[tontonnux]

Donc si je te suis :

Aujourd'hui n'importe qui peut récupérer énormément d'information sans être un crack de l'informatique. Des outils très simple ont été mis au point.

Et donc :

La défense de Google (ndmoi: de ne pas sécuriser ces données) tient la route.

C'est tout le contraire. C'est par ce qu'il existe un tas d'outil pour essayer de récupérer ces infos que 100% des acteurs concernés se doivent de faire leur part du boulot !

Le seul accès physique permet une sécurité. Certe elle n'est pas excellente, mais c'est déjà ça ...

Cette partie de la sécurité dépend de l'environnement de l'utilisateur. Ça ne peut pas libérer Google de son devoir de sécurisation.
De plus, en entreprise ou sur un PC familial cet argument ne tient pas la route une seule seconde.

Personnellement je ne sauvegarde aucun mot de passe. C'est un choix de sécurité. Et je pense que c'est la meilleure sécurité actuellement.

On est d'accord, mais pour ceux qui choisissent d'enregistrer leurs mots de passe, Google se doit de faire le minimum.

[omedo]

j'aimerai juste dire que c'est pas le seul a faire en sorte d'afficher les mots de passe en clair si on cherche un peu,
Firefox à le même problème

Personnellement j’évite que les navigateurs retiennent mon mot de passe, c'est comme les noter sur un post-it qui serait coller derrière l’écran on les voit pas au première abord mais on arrive a les trouver facilement

Après de la à dire qu'ils ont raison je sais pas mais dans tous les cas du moment ou le mot de passe est retenu, il faut bien qu'a un moment ou un autre le mot de passe soit en clair pour pouvoir l'envoyer au site concerné

Donc excusez moi de dire, cette polémique est une fausse polémique.

[dolu02]

Lors d’une connexion à un site, Chrome propose à l’utilisateur de sauvegarder son mot de passe afin de faciliter les accès ultérieurs de l’internaute.

Les informations enregistrées par Chrome sont ensuite synchronisées, via le compte Google de l’utilisateur, avec l’ensemble des autres machines sur lesquels celui-ci a accédé à Internet en utilisant Chrome.

Marrant que personne n'ai relevé ça, surtout après les récentes affaires PRISM, XKeyscore et autres joyeusetés...

Je stocke les mots de passe dans mon navigateur, mais j'évite comme la peste toutes les fonctions de "synchronisation". je pense qu'on se synchronise surtout avec les services d'espionnage et de surveillance et accessoirement ça permet de récupérer les mots de passe sur chaque device associé à un compte Google (ou autres)...

[Youjin]

Et c'est que maintenant que les gens trouve ça ?
Ça m'a rendu pas mal de service... Pour moi c'est une feature...
Après sécuriser l'accès avec un mot de passe unique pourquoi pas...

[tomlev]

C'est comme ça depuis longtemps dans Firefox. Certes, on peut mettre un master password, mais par défaut il n'y en a pas. Pourtant personne ne s'en est plaint à ma connaissance...

Perso je comprends la réponse de Google ; à partir du moment où quelqu'un a physiquement accès à la machine, il peut très bien installer un keylogger ou configurer un proxy qui lui permettra d'intercepter tous les échanges, alors ça n'est pas tellement choquant qu'il accède aux mots de passe stockés par Chrome...

[AlexRNL]

Ça fait des années que ce genre de fonction est disponible (et aussi chez les concurrents).

C'est une fonctionnalité, il faut l'utiliser en connaissance de cause.

D'ailleurs, chez FF, on peut afficher TOUT les mots de passe d'un coup (ce qui est plus grave je trouve car ça permet de repérer d'un coup d'oeil les pattern de mdp de l'utilisateur).

Après, je suis d'accord qu'une protection par mot de passe de l'affichage des mdp serait une bonne feature à ajouter.

[Samuel_]

De plus, en entreprise ou sur un PC familial cet argument ne tient pas la route une seule seconde.

En entreprise il y a une politique de sécurité (enfin normalement). Si l'authentification est dite "critique", l'enregistrement de mots de passe ne doit pas être possible.
Et après en famille, il faut avoir un minimum confiance ... ou changer de famille (mais c'est plus compliqué )

On est d'accord, mais pour ceux qui choisissent d'enregistrer leurs mots de passe, Google se doit de faire le minimum.

Je pense que le minimum a été fait. Après c'est suffisant (ou pas) selon les personnes. Ce sont à elles de juger.[/QUOTE]

[Conaclos]

J'avais déjà notifié il y a quelque mois ce problème aux développeurs de Google Chrome.
Vous trouverez leur réponse ici :
https://productforums.google.com/for...Q/k47G1DfEBD8J

[tomlev]

Après, je suis d'accord qu'une protection par mot de passe de l'affichage des mdp serait une bonne feature à ajouter.

Oui, c'est le principe du "master password" qui existe dans Firefox.

Mais pour que ça serve à quelque chose, il faut que ce master password ne protège pas seulement l'affichage des mots de passe, mais qu'il soit également nécessaire pour déchiffrer les mots de passe stockés (sinon quelqu'un qui a accès à la machine pourrait les déchiffrer lui-même, même sans la fonction d'affichage des mdp). Cela implique que quand le navigateur aurait besoin de remplir un formulaire de connexion, il devrait demander le master password à l'utilisateur... ce qui limite un peu l'intérêt d'avoir enregistré ses mots de passe (de mémoire, je crois que Firefox ne le demande qu'une seule fois pour toute la session)

[Le Vendangeur Masqué]

J'avais déjà notifié il y a quelque mois ce problème aux développeurs de Google Chrome.
Vous trouverez leur réponse ici :
https://productforums.google.com/for...Q/k47G1DfEBD8J

C'est vraiment foireux comme argumentation: sous prétexte qu'il pourrait être possible de récupérer le mot de passe principal (avec un KeyLogger par exemple, sauf que sur un bon OS un KL nécessiterait des droits élevés pour s'installer au coeur du système... donc mdp obligatoire), c'est pas la peine de chercher à sécuriser la liste des passwords.

En gros si vous avez des doutes sur la solidité de la porte de votre maison, vous embêtez pas, laissez tout ouvert.

La réponse de Google montre vraiment que la sécurité semble clairement pas être leur soucis principal.

[David_g]

Sa réponse est surtout foireuse sur l'idée que le masterpassword ne sert pour lui qu'à afficher le mot de passe en clair dans la liste.
(cf son exemple ou il te suffit d'aller sur le site de Gmail ).
Le navigateur ne remplit le mot de passe de ton site enregistré qu'après que tu ai fournis le masterpassword.

[Marwindows]

Firefox à la même, c'est juste qu'il faut se ballader dans plus de menu.

[tontonnux]

En entreprise il y a une politique de sécurité (enfin normalement). (...) il faut avoir un minimum confiance

"Normalement" et "confiance" 2 des pires ennemis en sécurité...

[tomlev]

Un article un peu plus approfondi sur le sujet :

http://www.pcinpact.com/news/81650-m..._source=feedly

[Marc3001]

Je stocke les mots de passe dans mon navigateur, mais j'évite comme la peste toutes les fonctions de "synchronisation". je pense qu'on se synchronise surtout avec les services d'espionnage et de surveillance et accessoirement ça permet de récupérer les mots de passe sur chaque device associé à un compte Google (ou autres)...

Tu peux aussi héberger ton propre serveur Firefox sync chez toi. L'outil est dispo.

Pour Google, je ne sais pas....

[grim7reaper]

sauf que sur un bon OS un KL nécessiterait des droits élevés pour s'installer au coeur du système... donc mdp obligatoire)

Mouais, ou alors tu installes un keylogger matériel (accès physique, pourquoi se priver, en plus c‘est cross-platform ) et ton OS, bon ou pas, il n’y fera rien.