Connexion
Abonnez-vous

Sur Windows, Chrome a fait disparaître les mots de passe pendant 18 heures

Une histoire d'œufs et de panier

Sur Windows, Chrome a fait disparaître les mots de passe pendant 18 heures

Photo de Jas Min sur Unsplash

Entre les 25 et 26 juillet, un « nombre important d'utilisateurs » de Chrome sur Windows ont vu leurs mots de passe disparaître. La panne a duré environ 18 heures. Google avait donné une solution temporaire, même si celle-ci était peu adaptée au grand public. L’entreprise est revenue sur cet incident.

Le 30 juillet à 16h45

Sale temps décidément pour les utilisateurs sous Windows. La panne du logiciel Falcon de CrowdStrike a touché 8,5 millions d’ordinateurs, qui se sont mis à enchainer les écrans bleus (BSOD). La faute à une mise à jour de la solution de sécurité, dont le pilote en espace noyau avait provoqué un plantage si grave qu’il entrainait le reste du système avec lui. CrowdStrike puis Microsoft ont tour à tour donné des informations techniques sur ce qui s’était passé.

Mais si cette panne touchait uniquement les ordinateurs d’entreprises (entrainant bien des désagréments pour la clientèle, notamment dans les aéroports), le grand public était épargné. Ce n’est pas le cas avec la panne qui a touché Chrome entre les 25 et 26 juillet.

Disparition de tous les mots de passe

Le 25 juillet, sur une page de statut de Chrome, Google indiquait rencontrer un problème avec le gestionnaire de mots de passe intégré à son navigateur. Le symptôme était aussi simple que radical : tous les mots de passe avaient disparu. Le problème ne concernait que la version 127 de Chrome pour Windows.

Dans une mise à jour le 26 juillet, Google a ajouté : « D'après l'analyse préliminaire, la cause première du problème est un changement de comportement du produit sans garde-fou approprié. Les ingénieurs de Google ont atténué le problème en déployant un correctif ».

Une solution temporaire était donnée : lancer le navigateur avec la ligne de commande « --enable-features=SkipUndecryptablePasswords » en option. Il ne s'agissait pas d'une suppression de données, mais « seulement » d'une inaccessibilité du gestionnaire de mots de passe.

Google indiquait que ses ingénieurs avaient identifié la cause du problème et travaillaient à le résoudre. 17 heures et 51 minutes plus tard, le souci était effectivement résolu. Google recommandait alors de redémarrer le navigateur pour appliquer le changement.

Plusieurs millions de personnes concernées

« Un nombre important d'utilisateurs ont été incapables de trouver ou d'enregistrer des mots de passe dans le gestionnaire de mots de passe pour le navigateur Chrome », a indiqué Google.

L’entreprise a donné quelques détails, puisque 2 % des utilisateurs sur les 25 % de l’ensemble où le changement de configuration a été appliqué ont été touchés.

Forbes s’est amusé à fournir une estimation. En partant du principe que les 3 milliards d’utilisateurs de Chrome sont en grande majorité sur Windows, 25 % représentent 750 millions de personnes. Sur cette base, le problème aurait donc concerné 15 millions d’utilisateurs.

SPOF !

Google, comme toutes les entreprises mettant à disposition un très grand nombre de services, peut devenir un SPOF (Single point of failure). Chez Windows Central, on s’interroge par exemple sur la concentration des informations : faut-il mettre tous ses œufs dans le même panier ?

La question est loin d’être nouvelle, mais ressort à chaque nouvel incident, même si ce type de situation est rare. Un compte Google couvre aujourd’hui à peu près tous les aspects de la vie numérique, comme ceux de Microsoft ou Apple. Les trois géants mettent à disposition de très nombreux services. Les comptes permettent la synchronisation des données entre de multiples appareils. Mais lorsque l’infrastructure fait défaut, tout peut se retrouver inaccessible.

Si vous possédez un tel compte, la question mérite d’être posée : faut-il tout laisser au même endroit, ou répartir dans plusieurs services plus spécialisés ? Les mots de passe, par exemple, peuvent être importés dans un gestionnaire dédié. L’intégration ne sera pas aussi fine que dans Chrome, mais ils ont le gros avantage d’être aisément exploitables dans un parc hétérogène, quand les systèmes d’exploitation et navigateurs changent d’un appareil à l’autre.

Il est également conseillé de réaliser régulièrement des sauvegardes de ses mots de passe. Tous les gestionnaires permettent de le faire facilement, via la fonction Export notamment.

Commentaires (19)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Forbes s’est amusé à fournir une estimation. En partant du principe que les 3 milliards d’utilisateurs de Chrome sont en grande majorité sur Windows, 25 % représentent 750 millions de personnes. Sur cette base, le problème aurait donc concerné 15 millions d’utilisateurs.
Forbes et Next oublient que les mobiles représentent maintenant une part très importante de la navigation web.
Windows ne représente que 27 % de la navigation Web et Android plus de 44.%. Ces calculs sont donc probablement très faux.
votre avatar
Je trouve l’avant-dernier paragraphe non pertinent par rapport à la panne : une telle panne aurait pu se produire avec un autre gestionnaire de mots de passe. Le dernier paragraphe est bien plus pertinent, en ajoutant que cette sauvegarde doit être facilement accessible et lisible.

Pour autant, cet avant-dernier paragraphe est très pertinent en lui-même : il est dangereux de mettre tous ses œufs dans le même panier…
votre avatar
en ajoutant que cette sauvegarde doit être facilement accessible et lisible.
Mais pas pour les méchants pirates, ce qui rend la chose très compliquée.
votre avatar
Je trouve l’avant-dernier paragraphe non pertinent par rapport à la panne : une telle panne aurait pu se produire avec un autre gestionnaire de mots de passe.
Tous les gestionnaires de mots de passe ne fonctionnent pas dans le cloud, heureusement : keepass, keeweb, etc. Les mdp issus de Chrome peuvent être exportés pour être utilisés dans des applis à usage local.
votre avatar
Je ne les connais pas tous mais la plupart des gestionnaires de mots de passe fonctionnent aussi avec une sauvegarde en local, accessible offline (exception notable si j'en crois des échanges sur Next : la version gratuite de Bitwarden).
Ceci dit, même en local, cela peut dysfonctionner (j'ai eu le soucis avec mon gestionnaire, qui, brièvement, a refusé de se lancer).
votre avatar
La création de containers VeraCrypt pour stocker ses backups, ses papiers d'identités, ses documents importants... devrait être enseignée à l'école.
votre avatar
À quelle école ? Rien de tout cela n'existait quand bon nombre d'entre nous étions à l'école.
votre avatar
On a eu un problème similaire avec Edge au boulot. Probablement lié.
votre avatar
Zut ! Comme je n'utilise ni chrome, ni google ni google pay j'ai raté ce bon bug. Il va falloir que je change mes habitudes.:bocul:
votre avatar
Bref, le plus fiable reste encore et toujours le post-it sur l'écran ... épissétou !
votre avatar
Attention c’est très peu sécurisé ! Il faut le placer _sous_ le clavier, la t’es sûr que personne ne le trouvera !
votre avatar
Certes, mais ça on le fait quand il n'y plus de place autour de l'écran. :fume:
votre avatar
Et qu'est-ce que tu fais lorsque la personne chargée des nettoyages soulève le clavier pour faire la poussière ? Il est plutôt préconisé de coller le post-it au clavier afin que celui-ci ne soit pas jeté à la poubelle car "ça trainait là"
votre avatar
Merci à tous pour vos bons conseils. C'est pour cela que je lis les commentaires : pour profiter de l'expérience professionnelle des lecteurs de Next.
votre avatar
Penser à mettre la sauvegarde dans un endroit protégé et/ou s'assure qu'elle est cryptée... Il ne faudrait pas que la sauvegarde soit le point faible dans la sécurité.
A noter qu'une base open source comme celle de Keepass est accessible par plusieurs outils : si l'un dysfonctionne, il suffit d'en prendre un autre. La base est cryptée et il suffit de la copier pour la sauvegarder.
votre avatar
D'habitude, je ne relève pas mais là, on est quand même sur Next donc... on dit chiffrée et pas cryptée :D ! https://chiffrer.info/
votre avatar
D'habitude, je ne relève pas mais là, on est quand même sur Next donc... on cite Next :D !
votre avatar
Le point faible de la sécurité a toujours été que l'utilisateur, à un moment ou un autre, a besoin d'accéder en clair aux données sécurisées. Si ce n'était pas le cas, il "suffirait" de chiffrer puis de jeter la clé.

Ce n'est pas nouveau. Franquin en parlait déjà en 1955, dans "La corne du rhinocéros".
votre avatar
Pour plus de sécurité, on peut déjà t'imiter, en choisissant judicieusement son pseudo :top:

Sur Windows, Chrome a fait disparaître les mots de passe pendant 18 heures

  • Disparition de tous les mots de passe

  • Plusieurs millions de personnes concernées

  • SPOF !

Fermer