Les navigateurs web et les mots de passe

L'anti-feature des navigateurs

Posté par Alyve le 27 Aôut 2019 · 3 minutes de lecture

Vous le savez, j’aime beaucoup parler sécurité, surtout à destination des personnes qui ne sont pas éduquées aux sciences informatiques de manière générale. Si vous avez déjà lu un peu mon blog, vous savez d’ores et déjà que j’ai parlé des gestionnaires de mots de passe (Keypass, Lastpass, etc) et de la double authentification avec un smartphone.

Il y a quelques jours, une personne est venue me demander pourquoi utiliser un de ces outils si on ne l’utilise que pour stocker les mots de passe: la réponse fut très simple: la sécurité.

Cependant, pourquoi utiliser un gestionnaire de mots de passe si ce n’est que pour les sauvegarder (coucou maman) ? Et bien, partons du principe que les outils comme 1password ou Bitwarden ne peuvent pas générer de vraies clefs d’accès sécurisées comme il faut. Souvent, les navigateurs nous demande si on souhaite enregistrer nos identifiants sur le navigateur. La réponse est couramment “Oui” quand on ne sait pas grand chose derrière. De petites explications s’imposent.

So… no ?

Premièrement, vos informations de connexion sont stockés sur votre ordinateur, en local. Un des intérêts d’utiliser un manager est justement la sauvegarde dans les nuages ou d’utiliser un périphérique amovible (clef usb, carte SD, etc) pour se connecter et avoir accès aux données stockées. Deuxièmement, les mots de passe ne sont pas chiffrés sur le navigateur. Petite démonstration avec Firefox:

Capture d'écran des mots de passe sur Firefox

Aucune identification, credentials visible en un clique. Il suffit qu’une personne aille sur votre ordinateur et ouvre la boite de dialogue et c’est fini. Une balle dans le pied vous dites ? Aujourd’hui encore, il existe encore une infinité de personnes qui utilisent cette option pour sauvegarder leurs identifiants. Pour être claire: celle-ci n’est clairement pas suffisante et constitue une brèche de sécurité infâme pour tout utilisateur·rice. J’ai fait la démonstration avec Firefox mais rassurez vous, c’est pareil avec tous les navigateurs: Edge, Chrome, etc. 🙄

Donc j’insiste; bien que les gestionnaires de mots de passe constituent un risque (Single Point of Failure, c’est-à-dire un seul et unique point de défaillance), c’est toujours plus sécurisé que les conserver sur son navigateur qui, lui-même, synchronise ça sur votre téléphone.

Ceci constitue un principe de base. Utiliser un dispositif pour mieux gérer et sécuriser ses comptes, c’est bien. Si vous pouvez garder en mémoire 10 bons passwords, pourquoi pas. Mais ne jamais, jamais garder des identifiants sur son ordinateur à portée de tou·te·s. À vous de décider si vous souhaitez utiliser ces outils (et bien !) ou pas, au moins maintenant, vous savez. 🙃

Je te vois, toi, qui sauvegarde tout sur ton navigateur.

Je te vois…