Utiliser Google Chrome pour gérer vos mots de passe est une mauvaise idée. Voici pourquoi.
Il existe des risques majeurs pour la vie privée.
Que disent les experts en confidentialité de l’utilisation de Google Chrome et d’autres navigateurs pour la gestion des mots de passe ? Neil J.Rubenking du site frère de Indigo Buzz, PCMag a les réponses.
Programmes de gestion de mots de passe existent depuis les années 90, et les principaux navigateurs ajouté la gestion des mots de passe en tant que fonctionnalité intégrée au début des années 2000. Depuis lors, PCMag a conseillé de retirer vos mots de passe du stockage non sécurisé du navigateur et de les placer dans un gestionnaire de mots de passe approprié et bien protégé. À l’époque, nous pouvions pointer vers des gestionnaires de mots de passe qui extrayaient les mots de passe de votre navigateur, les supprimaient du navigateur et désactivaient la capture de mot de passe basée sur le navigateur. Cela ne semble pas sûr !
Heureusement, les navigateurs ont fait des progrès et ne laissent plus vos mots de passe aussi ouverts à la manipulation externe. Si vous souhaitez passer à un gestionnaire de mots de passe dédiépar exemple, vous devrez probablement exporter activement les mots de passe depuis le navigateur et les importer dans votre nouveau produit.
Mais les navigateurs ont-ils fait suffisamment de progrès pour que nous puissions recommander d’y stocker vos mots de passe ? Plus précisément, devriez-vous utiliser Google Password Manager, qui est intégré de manière pratique dans Chrome ? Selon les experts, la réponse reste un non catégorique.
Même les gestionnaires de mots de passe dédiés peuvent fuir
Pour une entreprise qui s’appuie sur la gestion des mots de passe, la confiance est primordiale. Les concurrents sérieux utilisent des techniques de connaissance zéro pour protéger vos données cryptées afin que personne – ni la société de mots de passe, ni le gouvernement, ni personne – ne puisse connaître votre mot de passe principal. ou décrypter vos données.
Même ainsi, des erreurs de mise en œuvre peuvent compromettre la sécurité des mots de passe. Dans une série de révélations à partir d’août dernier, nous avons appris que des pirates avaient compromis l’ordinateur d’un employé clé de LastPass pour voler un nombre inconnu de coffres-forts de données cryptés. Pire encore, certains éléments de données importants tels que les domaines de connexion n’étaient pas chiffrés. Il est difficile de faire confiance à LastPass maintenant.
KeePass est le gestionnaire de mots de passe préféré des techniciens, en grande partie en raison de ses possibilités infinies de personnalisation. Cependant, ce même pouvoir de personnalisation s’est révélé être une sorte de talon d’Achille. Toute personne qui accède à votre ordinateur, soit en utilisant un cheval de Troie d’accès à distance ou en s’asseyant en votre absence, peut voler tous vos mots de passe Keepass. C’est une simple question d’utiliser le Bloc-notes pour créer une action qui exporte les mots de passe en texte brut, puis envoie les données résultantes à une goutte sur Internet. Certes, obtenir l’accès requis peut être difficile, mais l’exploit est possible(Ouvre dans une nouvelle fenêtre). Ou plutôt, c’était possible. La dernière mise à jour de KeePass, 2.53.1, a supprimé l’option d’exportation des mots de passe sans nécessiter la saisie du mot de passe principal.
Comment activer ou désactiver Google Password Manager
Avant de déterminer si vous devez utiliser Google Password Manager, examinons comment vous pouvez le fermer (ou le lancer, si c’est votre choix). Tout d’abord, assurez-vous d’avoir activé la synchronisation dans toutes les instances Chrome où vous souhaitez partager des mots de passe. Cliquez sur le menu à trois points en haut à droite de la fenêtre Chrome, puis cliquez sur Paramètres. L’élément supérieur du menu du rail de gauche, intitulé Vous et Google, doit être sélectionné initialement ; sinon, cliquez dessus. Dans la boîte de dialogue résultante, vous pouvez activer ou désactiver la synchronisation.
Cliquez maintenant sur Remplissage automatique, juste en dessous de Vous et Google, puis cliquez sur Gestionnaire de mots de passe. Si vous souhaitez utiliser Google Password Manager, activez les éléments Offre d’enregistrement des mots de passe et Connexion automatique. Si ce n’est pas le cas, désactivez-les.
Pour en savoir plus, vous pouvez lire Comment maîtriser Google Password Manager. Non, nous ne le recommandons pas du point de vue de la sécurité ; mais, oui, nous savons que certaines personnes vont sacrifier la sécurité pour plus de commodité.
Ce que les experts disent des gestionnaires de mots de passe de navigateur
Pour compléter mes connaissances et mon expérience, j’ai fait appel à des experts de plusieurs sociétés de gestion de mots de passe commerciales bien connues, dont Craig Lurey, co-fondateur et CTO de Keeper; Nord Pass CTO Tomas Smalakys ; et Michael Crandell, PDG de Bitwarden.
Les gestionnaires de mots de passe de navigateur sont pratiques mais dangereux
Smalakys a lancé un avertissement contre l’utilisation du gestionnaire de mots de passe d’un navigateur, déclarant : « Malgré les avertissements continus des experts en cybersécurité concernant les vulnérabilités des gestionnaires de mots de passe des navigateurs, les internautes continuent de tomber dans le ‘Mais c’est pratique !’ piège. » Lurey a accepté, soulignant qu’un récent article de blog Keeper(Ouvre dans une nouvelle fenêtre) a parcouru une longue liste de raisons pour lesquelles les gestionnaires de mots de passe de navigateur ne sont pas sûrs.
Le cryptage à connaissance zéro est la raison pour laquelle les gestionnaires de mots de passe dédiés peuvent protéger vos données sans jamais avoir accès à votre mot de passe principal. « Le gestionnaire de mots de passe de Google n’utilise pas de cryptage à connaissance nulle », a déclaré Lurey. « Essentiellement, Google peut voir tout ce que vous enregistrez. Ils disposent d’une fonctionnalité « facultative » pour activer le cryptage des mots de passe sur l’appareil, mais même lorsqu’elle est activée, la clé pour décrypter les informations est stockée sur l’appareil. »
Smalakys a convenu que les données stockées dans le navigateur ne sont pas protégées comme le sont les données d’un gestionnaire de mots de passe. « Les pirates utilisent des méthodes d’ingénierie sociale pour inciter les internautes à télécharger de nouvelles extensions qui peuvent facilement extraire les données stockées sur un navigateur », a-t-il noté. Il a poursuivi en disant : « Bien qu’il n’y ait rien de mal avec le stockage des mots de passe dans le cloud, une entreprise doit s’assurer que les données des utilisateurs sont cryptées avant d’être stockées dans le cloud. Par conséquent, les internautes doivent choisir un fournisseur de services garantissant un chiffrement de bout en bout.
Crandell a jeté un os à Google en disant : « N’importe quel gestionnaire de mots de passe vaut mieux que pas de gestionnaire de mots de passe », mais a poursuivi en avertissant : « La limitation des gestionnaires de mots de passe basés sur un navigateur est qu’ils ne fonctionnent que dans un jardin clos. Si jamais vous avez besoin d’opérer dans un autre navigateur, ou dans un environnement où ce navigateur n’atteint pas, vous n’avez pas de chance.
Les gestionnaires de mots de passe ont plus de fonctionnalités
Lurey a proposé une longue liste de moyens simples par lesquels le gestionnaire de mots de passe intégré de Chrome ne répond pas aux normes des programmes de gestion de mots de passe dédiés. Pour commencer, c’est spécifique à Chrome ; si vous utilisez un autre navigateur, vous êtes en haut du ruisseau. Il n’y a pas d’option pour le partage sécurisé des mots de passe, ni pour établir un héritier numérique pour votre collection de mots de passe. Le navigateur stocke uniquement les mots de passe, pas les détails personnels tels que les adresses, les numéros de compte et les cartes de crédit.
Crandell a également souligné le manque de fonctionnalités importantes dans les systèmes de mot de passe basés sur un navigateur. Il a noté que ces systèmes manquent de « partage sécurisé des mots de passe avec les collègues et la famille, de prise en charge de la connexion biométrique et des clés de sécurité, de rapports indiquant si vos mots de passe sont faibles, réutilisés ou violés, d’intégration avec des systèmes au travail comme SSO, et bien d’autres caractéristiques. »
Smalakys a déclaré : « De nombreux navigateurs ne nécessitent pas de mot de passe principal ni d’authentification multifacteur (MFA). approbation. » Google autorise la MFA, mais ne l’exige pas. Et, en effet, il n’y a pas de mot de passe principal. Si vous quittez votre bureau avec Chrome actif, toute personne y ayant accès peut se connecter à vos comptes. Il en va de même si vous laissez quelqu’un d’autre utiliser votre téléphone.
Les navigateurs vous bloquent
« Faites attention à ne pas vous enfermer dans le jardin clos d’une seule grande entreprise », a averti Crandell. « Il est important d’avoir la liberté de travailler sur toutes les plates-formes et tous les environnements, qu’il s’agisse de navigateurs, de systèmes d’exploitation mobiles ou de bureau. »
Smalakys a souligné le danger des comptes connectés. « Dans un scénario… utilisant un navigateur Chrome, sa sécurité dépend de la sécurité du compte Gmail connecté », a-t-il déclaré. « Si ce compte Gmail est compromis, un pirate pourrait, sans trop d’efforts, accéder aux mots de passe de tous les autres comptes enregistrés sur le navigateur. » Dans le même ordre d’idées, Lurey a noté que « l’utilisateur doit faire entièrement confiance à Google pour protéger ses informations ». Si votre compte Google est piraté, tous vos mots de passe le sont aussi.
Un navigateur est conçu pour naviguer ; la gestion des mots de passe est une réflexion après coup. « Les gestionnaires de mots de passe dédiés mettent tout en œuvre pour développer un gestionnaire de mots de passe sécurisé et passent par des audits indépendants afin de garantir cette sécurité », a conclu Smalakys. Crandell a exprimé un sentiment similaire en déclarant : « Les principaux gestionnaires de mots de passe se concentrent à 100 % sur la sécurité optimale et les nombreux cas d’utilisation des mots de passe, ils sont donc plus riches en fonctionnalités. »
En bout de ligne, obtenez un vrai gestionnaire de mots de passe
Google Password Manager n’utilise pas les techniques de cryptage à connaissance nulle qui protègent les données de mot de passe de tout le monde, y compris de la société de gestion des mots de passe. Il n’utilise même pas de mot de passe principal. Les outils de mot de passe dédiés offrent de nombreuses fonctionnalités que vous n’obtenez pas avec un navigateur intégré. Et vous ne pouvez utiliser le système de mot de passe de Google que dans Chrome (ou, dans une certaine mesure, Android). Ce ne sont là que quelques-unes des raisons pour lesquelles vous devriez vous procurer un véritable gestionnaire de mots de passe au lieu de compter sur Chrome.
Il est extrêmement pratique que Google Password Manager soit une fonctionnalité gratuite d’un navigateur gratuit. Ce n’est cependant pas une raison suffisante pour accepter une sécurité limitée pour vos mots de passe. Nous avons évalué de nombreux gestionnaires de mots de passe gratuits qui offrent une protection sérieuse pour vos mots de passe au même prix de zéro dollar – utilisez l’un d’entre eux à la place.