Passer au contenu

Chrome : une faille de sécurité fait apparaître les mots de passe

Chrome, comme la plupart des autres navigateurs web, intègre une fonction de sauvegarde de mots de passe. Très pratique au demeurant, puisqu’avec la synchronisation automatique dans…

Chrome, comme la plupart des autres navigateurs web, intègre une fonction de sauvegarde de mots de passe. Très pratique au demeurant, puisqu’avec la synchronisation automatique dans le nuage de Google, ces identifiants sont disponibles où que l’on soit et peu importe la plateforme.

Image-2013-07-31-at-12.40

Seulement, il y a comme un gros trou de sécurité. Ces mots de passe sont stockés dans les préférences du logiciel, et masqués derrière des petits points très faciles à faire sauter : il suffit de cliquer sur le bouton Afficher ! Sans autre forme de procès, Chrome dévoilera la précieuse information. Dans les autres butineurs, il est demandé au moins un mot de passe maître pour débloquer ce type de données particulièrement sensibles… Il faut évidemment disposer d’un accès physique à l’ordinateur afin de récupérer les mots de passe.

Malheureusement, il semble bien que pour Google, tout cela ne soit pas très important. Justin Schuh, patron de la sécurité de Chrome, a répondu bizarrement en indiquant que le moteur de recherche ne souhaitait pas donner à l’utilisateur la sensation « du sentiment de sécurité et d’encourager des comportements à risque ». Si le hacker arrive à accéder physiquement à la machine de sa victime, rien ne pourra l’empêcher d’utiliser toutes sortes de techniques pour récupérer les données qu’il souhaite; un mot de passe maître, ou toute autre solution de sécurisation, n’y changerait rien. Un peu juste comme argument… Tim Berners-Lee a lui même qualifié cette réponse de « décevante ».

 

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Source : Source

38 commentaires
  1. Bah, pour Firefox c’est plus ou moins pareil…
    Il suffit d’aller dans Outils > Options > Sécurité > Mots de passe enregistrés…
    Et de cliquer sur Afficher les mots de passe. Un simple “Voulez-vous vraiment afficher les mots de passe ?” couplé à un Oui/Non sert de sécurité…

  2. Euh… Je crois rêver là !
    Une faille de sécurité ??? humhum
    Bref, je suis plutôt d’accord avec la politique de google, un hackeur qui utilisera cette “faille” (sic) aura besoin d’avoir accès à la machine pour cliquer sur le bouton “show”, or quelqu’un qui veut vraiment trouver des mots de passe utilisera un rootkit qui permet de voir en clair les mots de passe cryptés stockés sur le PC…
    Donc ça revient au même !

  3. Sur Firefox, il suffit de cliquer sur Afficher les mots de passe, il demande une confirmation et la liste s’affiche également …

    Je vois pas la différence de sécurité.

  4. Sur Firefox, c’est pas nouveau, mais les mots de passes sont sauvés et visible de la même façon 🙁

  5. Je sais pas c’est quoi le délire des sites high tech à reprendre ça partout en ce moment, y’a rien de nouveau, ça a toujours été le cas.

  6. La faille c’est l’utilisateur qui enregistre ses mots de passe dans son navigateur, pas le navigateur qui permet de voir les mots de passe qu’on a enregistré parce qu’on a pas assez de mémoire pour s’en souvenir.
    Firefox fait pareil, sauf qu’on peut (pas par défaut) mettre un mot de passe maître pour accéder aux autres mots de passe.
    Arrêtez de relayer les informations qui n’ont aucun sens…

  7. Dashlane ou (sans vouloir être trop parano) un calepin bien rangé et qu’on ressort au cas où pour récupérer un de ses mot de passe, ça me semble être des solutions de plus en plus viable en termes de sécurité au fur et à mesure des années… Les utilisateurs lamba ont la fâcheuse tendance à rechercher la simplicité comme la sauvegarde du mot de passe côté client, si ce n’est l’utilisation d’un seul et unique mot de passe pour tous leurs accès

  8. j’aime bien parce qu’un gugusse à découvert qu’on pouvait voir les mots de passe dans son navigateur (chose disponible depuis bien longtemps) et tout le monde s’empresse de reprendre l’info comme quoi c’est une faille ou je sais pas quoi ! c’est vraiment n’importe quoi la !
    seul Safari demande par défaut un mot de passe maitre pour voir ceux qui sont enregistré, Firefox et Opera c’est optionnel et Chrome pas de mot de passe…ce n’est pas une faille…

    article à clic à la con ! (comme pour les autres site d’ailleurs)

  9. J’aime beaucoup le titre de la news “Chrome : une faille de sécurité fait apparaître les mots de passe”. La faille de sécurité c’est le bouton “Afficher” ? Ce n’est pas une “faille de sécurité”, c’est une “fonctionnalité”. A moins que vous définissez l’action de l’utilisateur et donc par extension, l’utilisateur lui-même comme “faille de sécurité”.

    Vraiment n’importe quoi cette news…

  10. Clic droit, Inspect element, tu vire la balise “password” et done.
    Cette “faille” est connu depuis bien longtemps.

  11. Bien d’accord avec les autres c’est n’importe quoi cette news, ce n’est pas du tout une faille de sécurité, ce n’est pas du tout nouveau et Goole s’est très bien expliqué sur les raison de ce choix. Il partent du principe simple: si ta session est compromise il est totalement inutile de mettre des mot de passe de partout qui de toute façon peuvent être facilement détournés et ne font qu’entraver l’expérience utilisateur.
    C’est à l’utilisateur d’assurer la sécurité de l’accès à sa session et sur ce principe ils ont tout a fait raison.

  12. “Faille de sécurité sur Chrome : un mec peut venir vous casser la gueule et vous torturer pour connaitre vos mots de passe et repartir avec votre matériel et toutes vos informations !”
    Oui ok. J’ai hâte que ça soit corrigé dis donc.

  13. Je n’appellerai pas ça une faille mais c’est vrai que c’est un manque de sécurité, c’est d’ailleurs ce qui me rebute à utiliser Chrome.

    Etant sur OS X, je préfère utiliser Safari qui stocke ça dans le trousseau de clé système (crypté par votre mot de passe d’utilisateur), du coup pour les afficher il faut votre mot de passe. Et d’ailleurs, ce qui m’agace encore plus avec Chrome, c’est qu’il va vous demander à chaque fois s’il peut récupérer le mot de passe du nom de domaine que vous visitez (voir la source de l’article pour comprendre), et que du coup il est ensuite très facile de l’afficher.

    Après il faut savoir que tout mot de passe enregistré sur la machine peut être récupérer, donc même si un mot de passe général crypte le tout (avec le trousseau de clé comme dit plus haut, ou même Firefox où on a la possibilité de mettre un sécurité) il y a toujours un risque avec cette fonction.

    Donc même si leur choix me déçoit, leur position est compréhensible.

    (après comme dit dans le débat ici https://news.ycombinator.com/item?id=6165708, Chrome accède librement aux mots de passe stockés dans le trousseau de clés sans demander le mot de passe admin. Donc rien n’empêche d’y accéder en quelques lignes de code … et c’est justement ce faux sentiment de sécurité donné par Apple que Chrome critique et montre clairement qu’il n’y a pas de sécurité)

  14. La gueule de la “news”. Parlez pas de sécurité quand vous ne connaissez pas la définition de ce mot, merci.
    Maintenant vous pouvez rejoindre M6 et alimenter leurs reportages spécial ménagère sur les dangers de la fraude !

  15. Les mots de passe ne doivent JAMAIS être stockés en clair sur n’importe quel support.
    Ici, c’est bien le cas (comme le font les autres navigateurs) mais là on a une grosse “back door” sans sécurité!! Comme chrome fonctionne avec un compte Google, il faudrait au moins demander le mdp Google pour afficher les mdp enregistrés!

  16. Je suis très content de voir que le lectorat du JdG ne tombe pas dans le panneau d’un article aussi peu objectif avec un titre puant la recherche de clic.

    La politique de Google est exactement la même que celle de Mozilla (que ce soit pour Firefox ou même Filezilla), et ils ont raison. Le stockage des mots de passe en clair a toujours existé, et n’est en rien une faille de sécurité. A la limite, la seule chose que l’on peut leur reprocher est qu’ils ne préviennent pas l’utilisateur lors de la sauvegarde du premier mot de passe avec une popup “attention, vos mots de passes seront sauvegarder de manière non chiffrée, toute personne ayant un accès physique à votre ordinateur pourra les consulter.”

    Car au final, comme l’ont dit déjà plusieurs lecteurs, la vraie sécurité réside dans celle de l’OS. Les gens doivent impérativement prendre l’habitude de vérouiller leur station de travail lorsqu’ils quittent leur bureau.

  17. Encore tombé dans le panneau du titre a click pour un truc existant depuis le début ..

    C’est décidé, j’arrete le JDG, c’est vraiment de pire en pire niveau rédactionnel !

  18. @Kadcom : Tu te fous de moi ? Tu crois que le cloud de Google pour la synchronisation des mots de passe est plus sécurisé ?
    Je préfère faire confiance à une entreprise dédié a la sécurité de tes données plutôt qu’a Google !

  19. Je vous rappel aussi que le première chose que fais Google Chrome lors de son installation c’est de vous demandez de vous connecter avec votre compte Google pour pouvoir synchroniser Favoris, Historique et Mot de passe.
    Cette demande de connexion apparaît à chaque ouverture de Chrome.
    Niveau choix laissé a l’utilisateur et maîtrise des données ont a vu mieux.

  20. Juste comme çà, sur firefox on peut chiffrer les mots de passe avec l’option enregistrer un mdp principal ;p.

    Dès lors, lorsque vous souhaitez afficher vos mdp en cliquant sur “afficher les mots de passe”, le mdp principal est alors demandé.

    L’argument de google n’est ni bon ni mauvais, tout dépend de l’utilisation de chacun.

    Perso quand je suis au bureau j’ai pas forcément envie que quelqu’un puisse accéder à mes mots de passe, même si cela ne concerne que des mdp pas très important…

  21. Énorme fifool, je connaissais pas, simple pourtant, du coup les mots de passe protégé de firefox, c’est du pipo…

  22. Comment le JDG vient de perdre toutes crédibilités …

    Google devrait vous payer pour la découverte de cette “faille” ahahahahahah non mais sérieux ….

  23. Je n’aime pas “taper” sur le JdG mais la en effet le titre est vraiment… limite. Construit pour “faire du clic” au final cela n’a rien d’une nouveauté (et de 1) et c’est le même phénomène sous Firefox donc pas une ‘exclu’ Chrome (et de 2).

    Enfin cela serait aussi bien de compléter en rappelant qu’il existe existe des moyens simples pour se protéger : ne jamais sauvegarder en local ses mots de passe, utiliser un addon pour les gérer (ex: lastpass) … bref, moins de sensationnel copier/coller des sites US et plus d’info svp !

  24. YOUPIIIIIIIIIIIIIIIIIIIIIIII… depuis le temps que je cherche à faire apparaître ces %@&# de mots de passes !
    D’ailleurs quel est le crétin qui a eu l’idée lumineuse de les cacher sous des ****** ? Parce que dans le genre “utile seulement pour vous faire retaper votre mot de passe si vous pensez avoir fait une faute de frappe et SEULEMENT dans ce cas” il n’y a pas mieux.

  25. “Le journal du geek.. pour les nuls” Voila ce à quoi me fais penser cet article ^^
    ça à toujours été comme ça sur chrome et Firefox. De même qu’en jouant avec le code source d’une page, on peut afficher les mots de passe simplement en remplaçant le style de l’input password. Et ne parlons même pas des utilitaires tel que hiren’s boot cd =)

  26. Il faut être un peut débile pour enregistrer ses mots de passe sur un navigateur (si on se souci de la sécurité) …

    Je vous conseille un logiciel de gestion de mots de passe genre “Keepass”, il stocke les MDP dans une base de données crypter en AES 256 Bits et un simple copié collé suffit pour entrez le mot de passe …. Simple, efficace et suffisamment sécurisé !

  27. à qui doit on s’adresser à la NSA pour connaitre ses mots de passe dès lors qu’on les a oublié ?
    (chers rédacs du JdG cette info rendrait service)

  28. La faille de sécurité se trouve plutôt sur le Journal Du Geek, lui-même, qui envoie purement et simplement les mots de passe en clair lors de l’inscription sur le site.

    Stockez-vous également les mots de passe en clair dans votre base de données ?

  29. C’est vrai que Chrome enregistre les mots de passe sur son navigateur, mais la meilleures façons de protéger ces mot de passe est de protéger d’abord au PC par un mot de passe.
    Chrome exige toujours le mot de passe administrateur du PC avant d’afficher le premier mot de passe demandé. Ensuite les autres s’affichent sans demande de mot de passe. Mais dès que vous fermé la fenêtre et reprenez le processus, le mot de passe administrateur vous est à nouveau exigé.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Mode