Plusieurs évolutions appréciables sont arrivées récemment ou arriveront dans les prochaines semaines. Ainsi, on peut désormais accéder directement au gestionnaire depuis le menu principal de la version pour ordinateur, ou lorsqu’il propose des identifiants dans des champs de saisie. On peut même créer un raccourci sur le bureau.
Autre fonction très attendue, la possibilité d’ajouter des notes. Capacité courante des gestionnaires indépendants, les notes permettent de renseigner des informations complémentaires. L’accès se fera en cliquant sur l’icône de clé une fois que l’on est connecté au site.
Signe que l’entreprise est maintenant assez sûre d’elle sur ce service, Chrome peut maintenant importer les identifiants depuis d’autres gestionnaires en passant par un fichier CSV.
Deux autres évolutions sont attendues pour un peu plus tard. D’une part, la version pour ordinateur prendra bientôt en charge l’identification biométrique pour déverrouiller l’accès aux mots de passe. D’autre part, la version iOS sera capable de vérifier la force des mots de passe, et d’avertir quand ils sont détectés comme peu efficaces et/ou réutilisés.
Commentaires (23)
#1
Question: est ce que ces gestionnaires de mot de pass dans les navigateurs ne sont pas des SPOF?
Si on a accès à la machine on peut donc avoir accès à tout les comptes enregistrés de site web en allant sur ces dit siteweb?
#1.1
Oui pour Chrome, c’est bien pour ça que j’attend cette évolution : “la version pour ordinateur prendra bientôt en charge l’identification biométrique pour déverrouiller l’accès aux mots de passe.”
Pour Firefox, tu peux mettre un mot de passe maître pour avoir accès aux mdp stockés.
#1.2
À une époque, il n’y avait absolument aucune protection pour accéder à ce gestionnaire dans Chrome. . Et Google trouvait ça normal.
Enfin depuis quelques années , pour voir les mots de passe, Chrome demande de taper le mot de passe de l’OS…
#2
Parce que ce n’est pas possible dans Chrome ?!?!
#3
Chrome demande le mot de passe de la session Windows avant d’afficher le moindre mot de passe.
#3.1
Oui et non… il suffit d’aller sur n’importe quel site pour lequel un mot de passe est enregistré pour l’insérer dans le champ mot de passe correspondant. Ensuite, il ne reste plus qu’à éditer l’HTML pour changer la balise
input type="password"eninput type ="text"et tu as le mot de passe en clair… sans jamais avoir besoin de taper ton mot de passe de session Windows.#4
Mais c’est quoi Chrome ?
Il y en a qui utilise ça ?
Cela sert à quoi ⸮ ⸮ ⸮
#5
Le mot de passe maître dans Firefox n’est utile que si tu partages ton navigateur avec quelqu’un, il ne fourni aucun protection supplémentaire côté serveur.
Il était protégé par le mot de passe de ton compte Google, aujourd’hui tu as le chiffrement sur l’appareil pour Android et iOS, c’est mieux, cela s’étends sur la version bureau à présent, sans oublier Passkey.
#5.1
Je parle de la version Desktop Windows :
Non c’est faux. Je me rappelle très clairement il y a une dizaine d’années, après avoir lancé Chrome, on pouvait aller dans les paramètres pour consulter la liste des mots de passe (identifiants & mots de passe).
À l’époque, Google avait affirmé que de toute façon la session utilisateur était protégée par mot de passe pour démarrer une session du système (Windows, Linux)….
C’est vrai, mais ce qu’ils ont oublié de dire c’était donc qu’à chaque fois qu’on allait s’absenter pour une pause café ou pipi, il fallait donc verrouiller sa session avant de se lever de sa chaise. (aussi applicable pour coloc ou boyfriend / girlfriend… quand on va prendre une douche…)
Ils ont fini par comprendre quand même à la fin la limite de leurs explications foireuses, que c’est l’ OS qui assurait la confidentialité mais pas eux…
#6
Je rajouterais qu’il suffit d’utiliser un logiciel comme celui-ci (par exemple) pour avoir directement la liste de tous les mots de passe enregistrés en clair…
https://www.nirsoft.net/utils/chromepass.html
#7
Sans être connecté au compte Google ? Si c’était il y a une dizaine d’années, alors je ne m’en souviens pas et je devais être à 100% sur Firefox.
C ‘est pas claire comme déclaration, tu parles de la session de l’OS ? Si l’équipe en charge chez Google pensait cela, c’était faux effectivement.
Thanks.
#7.1
Donc le problème, c’était que si tu t’absentais sans verrouiller ta session Windows et que quelqu’un passait par la, il suffisait simplement d’ouvrir Chrome pour aller voir tous les mots de passe enregistrés dans Paramètres. (identifiant & mdp)
Google avait retorqué que de toute façon, normalement une tierce personne ne peut pas lancer ton Chrome à toi dans ta session Windows, car pour te logger dans ta session Windows, tu dois normalement créer un mot de passe Windows (ce qui facultatif sous Windows 8-10-11 d’ailleurs).
Donc ils sous entendaient que si tu laisses ton ordi “ouvert” à n’importe qui qui passe par là quand tu t’absentes quelques minutes , et bien c’était de ta faute, pas de la faute de Chrome…
Très très limite comme argumentation tellement limite qu’ils en sont revenu dessus. Maintenant, la visualisation des mdp dans les paramètres de Chrome est verrouillée avec le PIN ou le PASSWORD qui sert à se logger dans Windows 10-11.
#8
Le fait que les mots de passe sous Firefox soient chiffrés d’emblée me semblent déjà une bonne protection côté serveur (si Sync est activé bien entendu) ou alors tu penses à autre chose ?
#9
Les mots de passe sont stockés en claire si Sync n’est pas activé ? Etre connecté à un compte Mozilla fait-il une différence ?
Non à rien de particulier, j’ai simplement répondu à un commentaire que le mot de passe maître n’a d’intérêt que si tu partages ta session de navigation avec quelqu’un d’autre, si tu es seul chez toi par ex, ce n’est pas franchement utile et c’est fastidieux sur le long terme.
#9.1
Pour avoir déjà consulté les écrits de Mozilla à ce sujet, Firefox chiffre d’emblée localement les mots de passe. Dans le cas de Sync, les données circulent de manière chiffrées donc Mozilla n’a pas la possibilité de lire ces informations stockées sur leur serveur.
Concernant le mot de passe maître, il a une autre utilité peut être moins connue mais il ajoute une couche de sécurité supplémentaire au niveau du chiffrement.
Concrètement sans mot de passe maître, il est très facile de récupérer les mots de passe d’un profil pour les intégrer dans un autre, il suffit juste de déplacer la base de données des mots de passe et la clé, autrement dit deux fichiers.
Si le mot de passe maître est activé, il devient une composante de la clé de chiffrement et la récupération des données sera impossible sans ce mot de passe.
#9.2
Je rebondis là dessus (je ne suis pas un fan de Firefox, j’aimerai bien mais c’est lent… mais vraiment lent… genre des vidéos embedded dans les pages Web font ramer mon Ryzen 2400g quand tout est super fluide avec Chrome… Difficile a y croire pour un CPU de 2017 @ 4 cores et en plus je parle de 1080p seulement … et j’ai été trifouillé plusieurs fois dans about:config mais décevant juste en aparté).
Et bien ta phrase était exactement la philosophie de Chrome il y a 10 ans.
“Vous utilisez un IBM PC Compatible, c.a.d. un PERSONAL COMPUTER, donc pourquoi protéger l’accès et la visibilité de la base de mdp sauvegardée dans Chrome si c’est votre ordinateur personnel qu’à vous tout seul et seulement pour vous?”
Mouais, pas super épaisse la protection contre les amis trop curieux qui vont surfer sur internet “juste 2min promis pour checker mes mails” avec l’ordi d’un pote et vont aller jeter un coup d’œil par curiosité ou… plus..
Après il faut pas voir le mal partout mais malheureusement il y a bien quasi systématiquement des serrures sur la plupart des portes, notamment porte d’entrée d’habitation… de même que sur les voitures…
C’est triste mais c’est malheureusement la nature humaine…
#9.3
L’inverse de lent c’est rapide, pas fluide.
Curieux de savoir comment tu fais tes tests à ce niveau, pour bcp de monde pendant longtemps, les tests publiques montraient que FF avait souvent l’avantage de la performance sur Chrome. Et c’est mon expérience aussi, Chrome ne sait pas gérer +2k favoris ou +200 onglets.
#10
C’est bien ce que j’ai écris, les mots de passe enregistrés dans Chrome sont protégés par le mot de passe de ton compte Google, du moins avant il n’y avait que ça.
Il y a 10 ans, je ne sais pas s’il était déjà possible de créer des profils séparés dans Chrome, je n’enregistrerai pas mes mots de passe dans le navigateur dans un environnement de travail, mais cela dit, si un collègue passe derrière avec l’intention de voler mes mots de passe d’une session qui ne lui appartient pas, alors il y a un problème plus urgent à régler.
Oui c’est facultatif, leurs argument ne tenait pas.
Disons que c’était l’erreur de croire que l’utilisateur sait forcément être responsable
On apprends de ses erreurs (enfin pas toujours ^^)
#11
Ok merci, j’avais peut-être déjà lu à ce sujet mais je n’étais plus sûr.
Qui n’est utile que si tu partages ta session de navigation avec une personne physique, ce qui est loin d’être toujours le cas.
https://support.mozilla.org/fr/kb/utiliser-mot-passe-principal-proteger-identifiants
Si la personne a un accès physique à l’appareil, oui effectivement.
Tu parles d’un modèle de menace spécifique que je n’ai pas connu depuis des années, alors je ne me sens pas concerné, je comprends l’argument mais personne de mes connaissances ne vient chez moi pour me dire “tu peux me laisser ton PC pour surf stp ?” Ils ont tous le leurs, de plus, on est tous des adultes.
#11.1
Oui tout à fait, c’est du passé, maintenant depuis des années, la visu des mdp dans Chrome doit être déverrouillé avec le mdp ou PIN Windows et même si quelqu’un utilise cette session, il n’a donc pas connaissance du mdp Windows mais il aura fallu le temps à Google pour l’implémenter.
Sinon, pour le “on est tous des adultes”, ben justement, imaginons par exemple il y a 10 ans le gars qui s’était inscrit à un site de rencontre, sans rien dire à sa chérie, et que pendant qu’il prenait sa douche, allez hop, on lance Chrome et on va chopper identifiant/mdp pour ensuite aller fouiner dans tous les messages de l’inbox de son très cher sur ce site…
Ben là, il pouvait prendre très cher justement , très très cher le pauvre… Une bonne grosse dérouillée…
Mais bon, bref, du passé tout ça…
#12
Si tu as une machine susceptible d’être partagée avec des invités, tu peux éventuellement créer une session limitée en droits prévue à cet effet.
#13
Par défaut, le gestionnaire de mots de passe de Chrome chiffre les mots de passe avec une clé qui est stockée dans le compte Google.
Donc techniquement, Google a accès à tous les mots de passe.
Il y a bien un mode « chiffrement sur l’appareil » (on device encryption), depuis peu, qui permet d’éviter ça, mais il faut l’activer manuellement.
https://support.google.com/accounts/answer/11350823?sjid=2756416653311716598-EU
#13.1
Pour tous les services de stockage Cloud “grand public” comme Dropbox, Google Drive, OneDrive, iCloud, ces presta utilisent tous leur propre clé privée pour chiffrer les données clients sur leurs serveurs. Donc ils peuvent y avoir accès en clair si besoin… pour la Police ou la Justice.
Pour s’en affranchir, il faut aller vers un prestataire qui propose une option “Zero-trust”. Mais là, il ne faut pas perdre sa clé car personne d’autre (le presta) n’est censé posséder une clé privée de déchiffrement. Donc les données sont irrécupérables si on n’est pas trop précautionneux …