Discussion :

[Tryph]

pas mal la défense de Google:

"les gens peuvent très bien installer un key logger sur votre machine... alors on préfère mettre notre propre key logger avec notre navigateur et mettre les résultats à disposition du premier venu qui utilise votre machine.
et nous allons même plus loin ma p'tite dame! car avec la syncrhonisation automagique, nous sommes même en mesure de mettre vos mots de passe à disposition de tous ceux qui utilisent n'importe quelle machine sur laquelle vous vous êtes identifiés auparavant. et c'est bien ça qui est le meilleur.

non ne nous remerciez pas, c'est tout naturel."

c'est délicieux

bon perso j'utilise firefox et je n'enregistre jamais de mot de passe car je ne connaissais pas l'existence du mot de passe principal... je vais peut être réviser ma position du coup.

[hans88]

Sous les systèmes KDE il n'y a pas ce problème car Chrome (comme toutes les autres applications sensibles) stocke les mots de passe dans le Porte feuille (KWallet) de l'utilisateur.
Lorsque le porte feuille est ouvert, Chrome récupérer le mot de passe associé au site Web.



---
http://supcamer.cm

[edoms]

A partir du moment où il est possible d'enregistrer un mot de passe et de ne saisir aucune clé (mot de passe principal, sous Firefox, par exemple) avec lequel il va être chiffré, il n'y a pas de solution, le mot de passe doit être stocké en clair. C'est la solution retenue si l'on ne veut pas s'amuser à taper le mot de passe principal à chaque fois qu'on veut extraire un mot de passe du trousseau, ce qui est le cas de Mme Michu.

En l'absence de mot de passe principal, une solution serait d'utiliser une clé hardcodée pour chiffrer les mots de passes. Ca évite de pouvoir voir en clair le mot de passe juste en lisant le fichier, mais un petit coup d'oeil dans les sources (voir dans l'exécutable lui même, en fait...) et c'est réglé, on a la clé et on peut déchiffrer, pas bon donc.

Une autre solution serait d'utiliser les credentials de la session, c'est possible sous KDE avec KWallet et sous Gnome avec gnome-keyring, le mot de passe de l'utilisateur fait office de clé pour chiffrer et déchiffrer le trousseau. PAM propose une API pour récupérer le mot de passe, appellable uniquement depuis une application tournant avec le compte root, ce qui est le cas du démon en dessous de KWallet. Dans le monde Windows, il faudrait un service qui enregistre les mots de passe et l'application auxquels ils sont associés. Un WinWallet quoi, ça n'existe pas (ou alors, j'ai pas cherché assez :p)

Enfin, la dernière solution, et la meilleure, c'est simplement de stocker tout en clair dans son profil (/Users ou /home) sans se tracasser et de chiffrer le profil avec le mot de passe de la session. Ca, ça existe, ça s'appelle BitLocker sous Windows, mais allez expliquer ça à Mme Michu. Cette fonctionnalité devrait être activée par défaut, le seul problème est qu'en cas d'oubli du mot de passe, tous les fichiers seront perdus à jamais. Et ça, encore une fois, c'est pas bon pour Mme Michu.

En fait, le seul reproche qu'on peut faire à Chrome, c'est que leur interface soit tellement intuitive que n'importe qui peut arriver à trouver les mots de passes. Il faut plus de click pour y arriver sous Firefox, mais tout est là aussi. Sous IE, ça doit être soit caché dans le registre, soit dans un fichier perdu dans %APPDATA%, mais l'info y est forcément aussi.

Bref, une tempête dans un verre d'eau, chiffrez vos données et verrouillez votre session avant la pause café si d'autres personnes ont un accès physique à votre machine, il n'y a pas d'autre solution.

[hans88]

KWallet: Le porte feuille est configurable selon les besoin. On peut demander à ne saisir le mot de passe qu'une seul fois ou demander que le wallet se ferme automatiquement après X minutes, ou à la fermeture de la dernière application en cours d'utilisation !

---
http://supcamer.cm

[Hellish]

Ceci est possible sur firefox aussi depuis bien longtemps (Options - Sécurité - Mots de passe enregistrés - show passwords)
Personnellement je crois que ca ne doit pas etre faisable d'afficher les mots de passe comme ca, mais pourquoi on se réveille maintenant alors que ca existe depuis longtemps ?

[LSMetag]

Evidemment, énorme faille !

Si un malware s'installe sur ton ordi, il pourra facilement récupérer tes mots de passe.

Et ne parlons pas du facteur humain, genre des personnes extérieures intervenant sur l'ordi, le gamin qui va récupérer les mots de passe de votre site porno favoris (oui les gamins sont souvent plus à l'aise avec l'informatique que leurs parents),...

Je n'avais pas tilté. J'étais déja hésitant avec Chromium à enregistrer mes mots de passe. J'avais activé le cryptage par rapport au compte google.
Je vais arrêter d'enregistrer mes mots de passe ou alors trouver une extension vraiment fiable.

Edit : Installé l'extension Single Pass.

[vohufr]

Je vois pas trop le problème en fait...

Si on enregistre nos mots de passe, on sait qu'ils sont récupérables des qu'on a un accès à la machine... Ça toujours été le cas avec n'importe quel navigateur... De toute façon, s'ils les protègent, un petit malin pondra un outil pour les faire sortir en un clic.

Si on se trouve dans un contexte où la possibilité de se faire voler les mots de passe existe, et est un risque, et bien on enregistre pas ses mots de passe, et le problème est résolu.

[Tryph]

ouais enfin synchroniser tes mots de passe enregistrés sur toutes les machines ou tu t'es identifié avec ton compte google à partir de Chrome, c'est quand même une grande nouveauté si je ne m'abuse.

ça vous est jamais arrivé de connecter à un site à partir du PC de quelqu'un d'autre...? moi ça m'arrive de temps en temps.
le fait que ce quelqu'un d'autre puisse se voire fournir gracieusement vos mots de passe par google sur sa propre machine ne vous gène pas...?

ou alors j'ai carrément rien compris à cette histoire de synchronisation (c'est pas impossible hein, mais alors je veux bien qu'on m'explique)

[azias]

Je suis curieux de lire le 1er commentaire qui viendra dire que Google a raison...

Evidemment que chrome DOIT lui-même protéger les informations qu'il stocke !
La question ne se pose même pas...

MOi, moi, moi !

Evidemment que Google a raison! D'ailleurs tous ses concurrents font exactement la même chose (firefox c'est certain, IE je crois me souvenir mais ça fait trop longtemps que je n'ai pas pratiqué, thunderbird certain aussi)

D'ailleurs, techniquement il est impossible de faire autrement que de proposer un moyen que les mot de passe puisse être récupérés en clair car les sites web ont besoin qu'on leur fournisse en clair! Le seul moyen serait de protéger le magasin qui stocke les mot de passe lui-même par un mot de passe ce qui signifierait qu'à chaque fois que vous iriez sur un site web on vous demanderait un mot de passe pour aller voir dans le magasin si par hasard il n'y aurait pas un mot de passe qui correspond. Insupportable! Figurez vous que cette fonctionnalité existe dans Firefox, je ne connais personnellement personne qui l'ait utilisé plus d'une heure avant de la désactiver.

Bref, je trouve ça curieux que ça tombe sur google puisque tout le monde fait pareil. Et étonné que ça tombe maintenant puisque ça fait bien longtemps que ça existe. Et c'est exactement le même problème pour l'historique de navigation, les fichiers dans le cache... Les mots de passe de connexions à l'OS et les systèmes de fichiers cryptés n'ont pas été inventés par hasard. Les modes de navigation "privée" sont là pour ça aussi. Votre navigateur sauvegarde bien plus que vos mots de passe.

En plus, à partir du moment où on arrive à se logger ou avoir un accès physique à une machine, y'a bien plus intéressant à récupérer que des mots de passe puisque qu'on à accès à tous les fichiers de l’utilisateur!

Pour ceux qui veulent de la polémique juste pour parce qu'ils s'ennuient cet été, il y a mieux du côté de Microsoft: le magasin de certificat Windows. Par défaut, il n'est pas protégé par un mot de passe maître et, toujours par défaut, l'accès aux clefs privées des certificats n'est pas protégé par mot de passe. En faisant bien attention, lors de processus d'import d'un certificat dans le magasin il est possible de demander que la clef privée soit protégée par un mot de passe mais en suivant "naïvement" le wizard d'import, à aucun moment on vous demandera de définir un mot de passe pour protégé la clef privée (on demande juste le mot de passe pour ouvrir le fichier certificat d'origine).

[vohufr]

Tryph> Et bien non. Je suis responsable de mes données et je ne synchronise pas mon google chrome sur des PC qui ne m'appartiennent pas. Je ne vois d'ailleurs pas l’intérêt de le faire.

Et lorsque ça arrive par accident, (c'est difficile de pas s'en rendre compte), je supprime le dossier cache et config de google chrome, et au démarrage suivant, on se retrouve avec une installe toute neuve de celui-ci.

C'est un peu comme si on disait d'un portefeuille qu'il était mal conçu. En effet, il n'est pas prévu pour s'ouvrir que lorsque c'est son propriétaire qui l'a entre les mains.
Si tu le poses et que tu l'oublies dehors.. c'est tampis pour toi, et c'est de ta faute.
Je vois cette fonctionnalité de google chrome exactement comme ce portefeuille.

[Tryph]

Tryph> Et bien non. Je suis responsable de mes données et je ne synchronise pas mon google chrome sur des PC qui ne m'appartiennent pas. Je ne vois d'ailleurs pas l’intérêt de le faire.

Et lorsque ça arrive par accident, (c'est difficile de pas s'en rendre compte), je supprime le dossier cache et config de google chrome, et au démarrage suivant, on se retrouve avec une installe toute neuve de celui-ci.

C'est un peu comme si on disait d'un portefeuille qu'il était mal conçu. En effet, il n'est pas prévu pour s'ouvrir que lorsque c'est son propriétaire qui l'a entre les mains.
Si tu le poses et que tu l'oublies dehors.. c'est tampis pour toi, et c'est de ta faute.
Je vois cette fonctionnalité de google chrome exactement comme ce portefeuille.

donc en gros, puisque tu es responsable et que tu sais ce que tu fais quand tu as un ordinateur entre les mains, tu estimes que chacun doit avoir le même niveau et que c'est seulement à l'utilisateur de faire attention à ce qu'il fait et aucunement à l'application.

si on part de ce principe, on peut arrêter de faire de contrôles sur les saisies utilisateurs dans nos programmes aussi...
bah oui après tout l'utilisateur n'est pas censé taper n'importe quoi dans les champs des formulaires qu'on lui présente. et puis s'il se rend compte qu'il a fait une erreur, il pourra toujours aller bidouiller la base de donnée pour corriger...

ça va être beau l'informatique dans quelques temps avec de tels concepts


edit pour le LOL:
http://www.gizmodo.fr/2009/12/02/iwa...bluetooth.html

[tomlev]

ça vous est jamais arrivé de connecter à un site à partir du PC de quelqu'un d'autre...? moi ça m'arrive de temps en temps.
le fait que ce quelqu'un d'autre puisse se voire fournir gracieusement vos mots de passe par google sur sa propre machine ne vous gène pas...?

Bah si c'est pas ton PC, tu vas pas synchroniser tes mots de passe dessus, c'est tout...

Figurez vous que cette fonctionnalité existe dans Firefox, je ne connais personnellement personne qui l'ait utilisé plus d'une heure avant de la désactiver.

Bof, c'est pas si horrible... ça demande le master password une fois par session, pas à chaque fois que tu vas sur un site

[vohufr]

Tryph > excuse moi, il faut être un peu stupide pour enregistrer VOLONTAIREMENT ses mots de passe sur l'ordinateur de quelqu'un d'autre.
Des gens stupides (en informatique), il y en a de plus en plus à force de les assister, on fini par avoir des gens qui ne comprennent strictement rien à l'informatique.

Je pense qu'il faut "former", plutôt que "faire à la place" !

[LSMetag]

Tryph > excuse moi, il faut être un peu stupide pour enregistrer VOLONTAIREMENT ses mots de passe sur l'ordinateur de quelqu'un d'autre.
Des gens stupides (en informatique), il y en a de plus en plus à force de les assister, on fini par avoir des gens qui ne comprennent strictement rien à l'informatique.

Je pense qu'il faut "former", plutôt que "faire à la place" !

Le problème c'est que si tu n'assistes pas, l'utilisateur finira par se planter.
On l'a bien vu en Espagne avec un train...

[Tryph]

excuse moi, il faut être un peu stupide pour enregistrer VOLONTAIREMENT ses mots de passe sur l'ordinateur de quelqu'un d'autre.

mais on est entièrement d'accord...
c'est stupide d'aller fournir les mots de passe en clair sur tous les ordis sur lesquels tu as osé te syncrhoniser un jour.
le truc c'est que c'est pas fait volontairement par l'utilisateur, c'est fait par une application qui part du principe que tu ne peux pas faire d'erreur et que tu es pleinement conscient de tout ce que la synchronisation implique.

Bah si c'est pas ton PC, tu vas pas synchroniser tes mots de passe dessus, c'est tout...

bah naïvement, je m'étais imaginé que l'intérêt de la synchro, c'était justement de pouvoir partager ses données sur plusieurs ordis et potentiellement ceux qui ne nous appartiennent pas.

à quoi sert la synchro si on la fait que sur son propre ordi? c'est juste pour stocker ses données dans le cloud et pouvoir les récupérer facilement sur son prochain ordi? auquel cas, ça me fait plus penser à du backup qu'a de la synchro...
(je n'utilise pas alors j'ai probablement des lacunes sur le sujet)

Le problème c'est que si tu n'assistes pas, l'utilisateur finira par se planter.
On l'a bien vu en Espagne avec un train...

sans compter que c'est un peu le but des ordinateurs de nous assister à la base...

[tomlev]

à quoi sert la synchro si on la fait que sur son propre ordi? c'est juste pour stocker ses données dans le cloud et pouvoir les récupérer facilement sur son prochain ordi? auquel cas, ça me fait plus penser à du backup qu'a de la synchro...
(je n'utilise pas alors j'ai probablement des lacunes sur le sujet)

Bah tu peux avoir plusieurs ordis (pro/perso, fixe/portable...)

[monsieurben]

la sécurité n'est pas qu'une histoire de défense contre les intrusions, il s'agit aussi de limiter les conséquences d'une attaque.


Google pourrait tout à fait crypter les mots de passe à l'aide d'un mot de passe maitre. 1Password et ses concurrents le gèrent parfaitement, avec une synchronisation multi-devices. C'est certes un peu plus contraignant qu'aujourd'hui, mais ça aiderait au moins leurs utilisateurs à adopter des reflexes sains sur le web. Si seulement Google pensait à ses utilisateurs...

[vohufr]

à quoi sert la synchro si on la fait que sur son propre ordi?

Comme l'a dit tomlev, UNIQUEMENT à synchroniser MES fovoris et/ou mots de passes etre MES machines et/ou systèmes d'exploitations.

A mon avis, cette option n'a jamais été ajoutée dans un objectif de partage. La preuve, pour faire une synchro, il faut donner ses identifiant et mot de passe d'une boite mail.

[tomlev]

Le grain de sel de Scott Hanselman à ce sujet : http://www.hanselman.com/blog/Saving...Passwords.aspx

J'aime bien la 3e "loi immuable de la sécurité" :

Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.

[neowinder]

Personnellement, je trouve ça très bien, je trouve que faire un article sur ça en 2013 alors que ça fais un baille que c'est ainsi, c'est un peu être à la bourre... pour info thunderbird fait la même chose dans Préférence->sécurité->mot de passe et pour google chrome c'est dans parametre->parametre avancé->Gérer les mots de passe enregistrés.
Donc dans les 2 cas il n'est nullement caché que les mots de passe soit accessible physiquement.
Enfin j'utilise des mots de passe généré, donc je suis bien content que chrome/thunderbird les enregistres et que je puisse les consulter en cas de besoins.

Le seul truc c'est si je me fais hacker ordinateurs, ce qui n'est pas près d'arriver