Chrome : une protection supplémentaire sur le remplissage automatique des mots de passe
Le 20 septembre 2022 à 05h00
2 min
Logiciel
Logiciel
Chrome, comme la plupart des navigateurs aujourd’hui, peut enregistrer les mots de passe et en créer de nouveaux lors d’inscriptions. Les fonctions élémentaires d’un gestionnaire de mots de passe, en somme.
Il y a cependant un petit problème, selon que l’on veut encadrer cette utilisation ou pas. Chrome ne réclame en effet aucune forme d’identification avant de remplir automatiquement les champs. Et pas la peine de fouiller dans les options : il n’y a rien.
Dans le canal Canary et sous Windows, une nouvelle option est apparue dans les réglages de sécurité. Baptisée « Sign in with device password », elle déclenche l’apparition d’une fenêtre quand le navigateur est sur le point d’insérer l’identifiant et le mot de passe sur un site.
Cette sécurité provient en fait d’Edge, qui la propose depuis un moment déjà. Elle va cependant un peu plus loin, car la fenêtre de Chrome précise quel site est concerné, alors que l’avertissement est plus générique dans Edge.
Attention toutefois, car même si cette fonction sera clairement bienvenue, elle n’est pour l’instant que dans le grand chaudron de la branche Canary. Il faudra attendre qu’elle remonte les canaux Dev et Beta pour qu’elle soit réellement confirmée.
Le 20 septembre 2022 à 05h00
Commentaires (17)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/09/2022 à 07h29
Donc il faut entrer manuellement un password pour pouvoir entrer automatiquement un password.
Je comprend bien la volonté de sécuriser les mots de passe, mais ca devient compliqué.
Le 20/09/2022 à 07h36
Dans la même veine que le mot de passe maitre sur Firefox j’ai l’impression.
Justement je posais la question hier sur la brève sur Lastpass si Chrome avait un système similaire, cette brève tombe à pic.
Le 20/09/2022 à 07h42
C’est le mot de passe de la session et c’est optionnel :)
Le 20/09/2022 à 09h45
Sur mon MAC, Safari demande à chaque fois de scanner mon doigt. Si le lecteur digital n’est pas dispo alors il me demande une fois et une seule fois le mot de passe.
Je trouve un peu étrange de demander le mot de passe une seule fois, il est déjà saisit à l’ouverture de la session. Soit tu le demande à chaque fois, soit tu ne le demande pas. Ou alors il y a un concept que je n’ai pas compris ?
Le 20/09/2022 à 09h45
Je suis perdu
Il y a donc 4 niveaux d’authentification pour se connecter à un site web:
C’est ça ?
Le 20/09/2022 à 10h01
Du tout. Tu ouvres ta session OS, tu lances ton navigateur, et au moment où le gestionnaire intégré va remplir le mot de passe, le mot de passe session OS est redemandé pour confirmer le remplissage. C’est donc très rapide.
C’est surtout fait je pense pour s’assurer que la personne est bien celle qu’elle prétend être, par exemple si quelqu’un s’est levé de son bureau et qu’une autre personne est venue s’assoir quelques minutes.
C’est un cas classique. Apple a par exemple un truc quand tu as une Apple Watch liée à un Mac : l’éloignement physique de la machine la fait basculer sur l’écran de verrouillage, qui réclame à nouveau le mot de passe session ou l’empreinte digitale.
Le 20/09/2022 à 10h24
Ça le demande à chaque fois qu’on essaye de rentrer un mot de passe automatiquement, une seul fois par session, ou l’autorisation expire après un certain temps ?
Le 20/09/2022 à 12h43
Bonne question !
Le 20/09/2022 à 11h30
Aaah… effectivement, ca fait du sens. Donc c’est le même mécanisme déjà présent quand on veut voir/editer un password dans le gestionnaire de pwd de Chrome.
Sur le gif que j’avais posté plus haut qui demandait un “pin code”, j’avais pas capté que c’était le mdp de session OS.
Le 20/09/2022 à 16h30
C’est surtout un coup à devoir payer le resto à tout l’open space.
Le 20/09/2022 à 16h45
Non mais là, l’Open Space peut aller se faire enculer bien profond, façon macronie
Le 20/09/2022 à 18h38
C’est tout frais : https://www.01net.com/actualites/le-correcteur-orthographique-de-chrome-et-edge-fait-fuiter-vos-mots-de-passe.html
Le 20/09/2022 à 19h04
Encore un titre putaclick, pas étonnant venant de 01net.com. J’ai lu l’info sur Ghacks, je navais pas vu cette fonctionnalité dans Chrome et elle était désactivée par défaut, donc j’ai rien touché, mais elle était activée dans Edge, je ne crois pas avoir quelque chose d’activé de ce type sur Firefox.
Le 20/09/2022 à 19h10
Comment ça “titre putaclick” ?
Ce sont les mêmes propos que ceux tenus par les personnes qui ont découvert la faille : https://www.otto-js.com/news/article/chrome-and-edge-enhanced-spellcheck-features-expose-pii-even-your-passwords
Le 20/09/2022 à 19h25
Le 21/09/2022 à 05h18
C’est une fonctionnalité qui expose des données confidentielles de manière non sollicitée et vers un tiers dont on ne maîtrise pas l’usage derrière. Pour moi, c’est bien une fuite de données. Et les découvreurs de la faille parlent bien d’”exposition” aussi.
Forcément qu’elles sont traitées et analysées derrière, c’est du spell check avec machine learning, donc il apprend des “erreurs” vues pour proposer des corrections.
Ces fonctions semblent être du spécifique Chrome ou Edge, je n’ai pas vu qu’ils en parlaient dans Chromium et elle n’apparaît pas dans Vivaldi mais je n’en ai pas la certitude.
Le 21/09/2022 à 08h06
Les données sont envoyées sur un serveur tiers, elles ont donc bien fuité. Qui sait ce que Google en fait…
Sous firefox, il y a un correcteur orthographique, mais c’est en local. Pas d’envoi de données n’importe où.
(Et je ne crois pas qu’il soit actif sur les champs de mot de passe.)