Discussion :

[Sandra Coret]

Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET

Chaque fois qu'un utilisateur de Chrome se connecte à un site ou à une plateforme de médias sociaux, il a la possibilité d'enregistrer ses informations de connexion afin de ne pas avoir à saisir à nouveau ses informations d'identification la prochaine fois.

Cependant, l'entreprise de cybersécurité ESET estime que si cette fonctionnalité peut faire gagner du temps aux utilisateurs, elle ne peut pas préserver leurs mots de passe et leurs informations d'identification des mauvais acteurs.

Le rapport de l'entreprise slovaque ESET aborde la question de la sécurité des mots de passe, la question de savoir si les utilisateurs doivent faire confiance à une telle fonction de gestion des mots de passe et ce qui peut se passer si les choses tournent mal.

Si un cybercriminel s'introduit dans le système, il aura un accès illimité aux informations de navigation de l'utilisateur ainsi qu'à toutes les données installées et enregistrées sur l'appareil. Non seulement cela, mais même les mots de passe enregistrés sur Google Chrome seront entre les mains des attaquants. Ce n'est pas la première fois qu'une telle attaque a lieu. Depuis longtemps, les cybercriminels se frayent un chemin dans les fichiers où les utilisateurs sauvegardent tous leurs mots de passe et d'autres informations précieuses, telles que les coordonnées bancaires.

Le fichier de données de connexion enregistré est présent dans le dossier de la base de données dans le stockage local. "DB Browser for SQLite" est ensuite utilisé pour extraire toutes les données stockées dans le fichier. Ces données comprennent les liens, le nom d'utilisateur et le code d'accès.

Bien que les données enregistrées soient chiffrées, le pirate a l'avantage de pouvoir contrôler l'appareil de la victime. Ainsi, le mot de passe est décodé grâce à CryptUnprotectData.

Si un pirate exécute ces fonctions manuellement, en revanche, un logiciel malveillant programmé spécialement à cet effet peut déchiffrer les informations instantanément. Non seulement les logiciels malveillants, mais même certains liens en ligne peuvent comporter des bogues cachés qui peuvent accueillir de tels logiciels malveillants capables de prendre le contrôle de n'importe quel système.

C'est pourquoi la meilleure façon d'empêcher ce genre de chose de se produire est de ne pas sauvegarder les mots de passe importants liés aux banques, aux dossiers médicaux ou à toute plateforme importante de médias sociaux.

Source : ESET

Et vous ?

Trouvez-vous ce rapport pertinent ?
Avez-vous l'habitude d'utiliser cette fonctionnalité de Google Chrome ?
Cela vous a-t-il jamais causé des problèmes ?

Voir aussi :

La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport

Microsoft Edge 88 est livré avec de nouvelles fonctionnalités de sécurité, parmi lesquelles un générateur de mot de passe, et un outil pour contrôler si vos informations de connexion ont fuité

Microsoft Authenticator synchronise les informations d'identification entre Edge, Chrome et les appareils mobiles, et bénéficie du remplissage automatique en Public Preview

Google va activer l'authentification à deux facteurs par défaut pour des millions d'utilisateurs d'ici la fin de l'année, pour mieux protéger l'accès à vos contacts

[QBasic]

La meilleure solution est de conserver ses mots de passe sur un gestionnaire hardware qui est offline la plupart du temps, comme Hoplite Key Manager !

[damthemad]

J'ai mis l'article de côté pour le lire à tête reposée car comme bcp de monde je pense, j'utilise ces fonctions de Chrome et j'y met tous mes mots de passe, même les plus sensibles. Sans trop y réfléchir et en partant du principe que c'est sécurisé.

Et après lecture c'est effectivement flippant. Si il suffit d'avoir un accès à la machine permettant de lancer un programme dans la session de l'utilisateur, alors déchiffrer les mots de passe de la base de données Google, dont l'emplacement est connu, semble pouvoir se faire très facilement (car ils sont chiffrés via une fonction système qui utilise le mot de passe de l'utilisateur et que la fonction inverse de déchiffrement utilise le même mot de passe et semble le récupérer automatiquement, probablement via kerberos).

Maintenant c'est à relativiser : de toute façon, si quelqu'un a réussi à s'introduire dans ta machine et peut exécuter ce qu'il veut sous ton compte, et en outre si comme la plupart des personnes tu utilise un compte privilégié, de toute façon tu es déjà dans la merde. Un simple keylogger permet de récupérer les mots de passe.