Vous ne devriez pas stocker de mots de passe dans votre navigateur Web : voici pourquoi
Il est indéniable qu’enregistrer votre mot de passe sur votre navigateur Web est aussi simple que pratique. Lorsque votre navigateur vous demande poliment si vous souhaitez « enregistrer votre mot de passe pour la prochaine fois », cela ressemble à une faveur que vous devriez accepter. Après tout, c’est gratuit, peut être synchronisé sur vos appareils et vous fait gagner du temps passé à déterminer ou à saisir le mélange de lettres majuscules, de chiffres et de symboles que vous avez proposé pour votre connexion.
Le problème en acceptant cette faveur est que, par défaut, les gestionnaires de mots de passe des navigateurs ne disposent pas de certaines fonctionnalités de sécurité, car ils ne sont pas conçus pour protéger les informations de manière aussi robuste que les gestionnaires de mots de passe dédiés. Les navigateurs comme Chrome et Edge stockent les mots de passe dans les dossiers de profil du navigateur local, puis les synchronisent avec les serveurs Google et Microsoft. Ils n’utilisent pas de coffre-fort ou de serveurs chiffrés de bout en bout comme le ferait un gestionnaire de mots de passe dédié, offrant au mieux uniquement un chiffrement au niveau du système d’exploitation.
La raison pour laquelle cela n’est pas suffisant est que cela laisse vos mots de passe en danger pour toute personne qui se connecte à votre compte ou y a accès. Ainsi, si votre compte est compromis ou subit une attaque de malware, vos mots de passe sont aussi bons qu’un secret de polichinelle, et même vos mots de passe les plus complexes peuvent être vulnérables. Il existe ensuite des attaques de phishing et des extensions malveillantes, grâce auxquelles les navigateurs peuvent saisir automatiquement des mots de passe sur des sites Web qui semblent simplement légitimes. Ce que vous aurez besoin, c’est d’un gestionnaire de mots de passe dédié, car il utilise un mot de passe principal ou une clé que vous créez et contrôlez. De cette façon, vous seul pouvez avoir accès à vos informations d’identification même en cas de compromission de compte ou de cyberattaque.
Pourquoi un gestionnaire de mots de passe dédié pourrait mieux vous servir
En général, il existe plusieurs façons de bénéficier de l’utilisation d’un gestionnaire de mots de passe. Mais en utiliser un qui est dédié à cela et seulement à cela a encore plus d’avantages que d’utiliser le gestionnaire de mots de passe gratuit de Google, par exemple. Le principal avantage est que les gestionnaires de mots de passe dédiés utilisent un cryptage avancé et une architecture sans connaissance. Ils utilisent généralement AES-256 ou des normes de cryptage similaires, séparant les bases de données cryptées de l’accès au navigateur. Avec ces gestionnaires de mots de passe, vous pouvez déchiffrer les mots de passe uniquement lorsque cela est nécessaire et uniquement sur votre appareil local, réduisant ainsi votre exposition aux compromissions et aux logiciels malveillants.
En parlant de cela, les gestionnaires de mots de passe dédiés sont exceptionnels lorsqu’il s’agit de résister au vol de logiciels malveillants, aux cyberattaques et de fournir des alertes de violation. Il a été prouvé que les logiciels malveillants tels que RedLine Stealer et Raccoon, conçus pour récupérer les mots de passe de navigateur enregistrés, luttent contre les coffres-forts cryptés des gestionnaires de mots de passe. Ces gestionnaires de mots de passe dédiés réduisent également le risque que les sous-systèmes de saisie automatique posent aux escroqueries par phishing en vérifiant les noms de domaine avant de remplir les données. De plus, les gestionnaires de mots de passe surveillent activement les violations de données à l’aide de leurs outils intégrés de vérification des violations, ce qui ajoute une couche de défense que votre navigateur ne fournira pas.
Vous devez savoir que même si Google utilise la même technologie AES de haut niveau que celle utilisée par les gestionnaires de mots de passe dédiés, vous devrez toujours vous synchroniser avec la sécurité de votre appareil, comme Windows Hello, pour profiter de ses avantages. De plus, le trousseau d’Apple (ou l’application Mots de passe) se démarque quelque peu. Il utilise un cryptage de bout en bout sur les appareils Apple, ce qui signifie que même Apple ne peut pas accéder à vos mots de passe. Le trousseau est plus sécurisé que les gestionnaires de navigateur standards, mais pas aussi spécialisé ou transparent que les gestionnaires dédiés.
Que faire si vous décidez de vous en tenir au gestionnaire de mots de passe de votre navigateur
Si la commodité offerte par votre navigateur Web est trop grande pour la laisser passer, vous pouvez prendre certaines mesures pour vous assurer que vous l’utilisez de manière plus sécurisée. Une façon d’y parvenir consiste à activer le cryptage sur l’appareil disponible sur Google Password Manager. Le cryptage sur appareil de Google vous donne, à vous seul, les clés de cryptage pour gérer vos mots de passe en intégrant le verrouillage de l’écran de votre appareil. C’est comme une protection supplémentaire qui sera exclusive à votre appareil, mais signifie également que vous risquez de perdre vos mots de passe lorsque vous perdez votre identifiant Google.
Vous pouvez également empêcher votre navigateur de saisir automatiquement les mots de passe. Pour ce faire sur Chrome, cliquez sur les trois points dans le coin supérieur droit, accédez à « Paramètres », cliquez sur « Remplissage automatique et mots de passe », puis sélectionnez « Gestionnaire de mots de passe Google ». À partir de là, allez dans « Paramètres » et désactivez « Proposer d’enregistrer les mots de passe ». Pour Microsoft Edge, ouvrez « Paramètres » et sélectionnez « Mots de passe et saisie automatique ». Ensuite, allez dans « Plus de paramètres » et désactivez « Remplissage automatique des mots de passe et des clés d’accès ». Sur Safari pour macOS Catalina 10.15 et versions ultérieures, accédez à « Fichier », puis « Exporter » et cliquez sur « Mots de passe ». Une fois sur place, cliquez sur « Exporter les mots de passe » et entrez le mot de passe de votre Mac pour enregistrer le fichier.
Une autre chose que vous pouvez faire est d’activer l’authentification à deux facteurs (2FA) sur chaque compte en ligne dont vous avez enregistré le mot de passe dans votre navigateur. Ceci est distinct de l’intégration de la sécurité de votre appareil, telle que les codes PIN, les données biométriques et les mots de passe, dans votre gestionnaire de mots de passe. Enfin, prenez le temps de parcourir et de revoir vos mots de passe enregistrés et supprimez ceux que vous considérez comme trop sensibles au risque.
