Chrome, comme la plupart des navigateurs aujourd’hui, peut enregistrer les mots de passe et en créer de nouveaux lors d’inscriptions. Les fonctions élémentaires d’un gestionnaire de mots de passe, en somme.
Il y a cependant un petit problème, selon que l’on veut encadrer cette utilisation ou pas. Chrome ne réclame en effet aucune forme d’identification avant de remplir automatiquement les champs. Et pas la peine de fouiller dans les options : il n’y a rien.
Dans le canal Canary et sous Windows, une nouvelle option est apparue dans les réglages de sécurité. Baptisée « Sign in with device password », elle déclenche l’apparition d’une fenêtre quand le navigateur est sur le point d’insérer l’identifiant et le mot de passe sur un site.
Cette sécurité provient en fait d’Edge, qui la propose depuis un moment déjà. Elle va cependant un peu plus loin, car la fenêtre de Chrome précise quel site est concerné, alors que l’avertissement est plus générique dans Edge.
Attention toutefois, car même si cette fonction sera clairement bienvenue, elle n’est pour l’instant que dans le grand chaudron de la branche Canary. Il faudra attendre qu’elle remonte les canaux Dev et Beta pour qu’elle soit réellement confirmée.
Commentaires (17)
#1
Donc il faut entrer manuellement un password pour pouvoir entrer automatiquement un password.
Je comprend bien la volonté de sécuriser les mots de passe, mais ca devient compliqué.
#1.1
Dans la même veine que le mot de passe maitre sur Firefox j’ai l’impression.
Justement je posais la question hier sur la brève sur Lastpass si Chrome avait un système similaire, cette brève tombe à pic.
#1.2
C’est le mot de passe de la session et c’est optionnel :)
#2
Sur mon MAC, Safari demande à chaque fois de scanner mon doigt. Si le lecteur digital n’est pas dispo alors il me demande une fois et une seule fois le mot de passe.
Je trouve un peu étrange de demander le mot de passe une seule fois, il est déjà saisit à l’ouverture de la session. Soit tu le demande à chaque fois, soit tu ne le demande pas. Ou alors il y a un concept que je n’ai pas compris ?
#3
Je suis perdu
Il y a donc 4 niveaux d’authentification pour se connecter à un site web:
C’est ça ?
#3.1
Du tout. Tu ouvres ta session OS, tu lances ton navigateur, et au moment où le gestionnaire intégré va remplir le mot de passe, le mot de passe session OS est redemandé pour confirmer le remplissage. C’est donc très rapide.
C’est surtout fait je pense pour s’assurer que la personne est bien celle qu’elle prétend être, par exemple si quelqu’un s’est levé de son bureau et qu’une autre personne est venue s’assoir quelques minutes.
C’est un cas classique. Apple a par exemple un truc quand tu as une Apple Watch liée à un Mac : l’éloignement physique de la machine la fait basculer sur l’écran de verrouillage, qui réclame à nouveau le mot de passe session ou l’empreinte digitale.
#3.2
Ça le demande à chaque fois qu’on essaye de rentrer un mot de passe automatiquement, une seul fois par session, ou l’autorisation expire après un certain temps ?
#3.3
Bonne question !
#4
Aaah… effectivement, ca fait du sens. Donc c’est le même mécanisme déjà présent quand on veut voir/editer un password dans le gestionnaire de pwd de Chrome.
Sur le gif que j’avais posté plus haut qui demandait un “pin code”, j’avais pas capté que c’était le mdp de session OS.
#5
C’est surtout un coup à devoir payer le resto à tout l’open space.
#5.1
Non mais là, l’Open Space peut aller se faire enculer bien profond, façon macronie
#6
C’est tout frais : https://www.01net.com/actualites/le-correcteur-orthographique-de-chrome-et-edge-fait-fuiter-vos-mots-de-passe.html
#7
Encore un titre putaclick, pas étonnant venant de 01net.com. J’ai lu l’info sur Ghacks, je navais pas vu cette fonctionnalité dans Chrome et elle était désactivée par défaut, donc j’ai rien touché, mais elle était activée dans Edge, je ne crois pas avoir quelque chose d’activé de ce type sur Firefox.
#7.1
Comment ça “titre putaclick” ?
Ce sont les mêmes propos que ceux tenus par les personnes qui ont découvert la faille : https://www.otto-js.com/news/article/chrome-and-edge-enhanced-spellcheck-features-expose-pii-even-your-passwords
#8
#8.1
C’est une fonctionnalité qui expose des données confidentielles de manière non sollicitée et vers un tiers dont on ne maîtrise pas l’usage derrière. Pour moi, c’est bien une fuite de données. Et les découvreurs de la faille parlent bien d’”exposition” aussi.
Forcément qu’elles sont traitées et analysées derrière, c’est du spell check avec machine learning, donc il apprend des “erreurs” vues pour proposer des corrections.
Ces fonctions semblent être du spécifique Chrome ou Edge, je n’ai pas vu qu’ils en parlaient dans Chromium et elle n’apparaît pas dans Vivaldi mais je n’en ai pas la certitude.
#8.2
Les données sont envoyées sur un serveur tiers, elles ont donc bien fuité. Qui sait ce que Google en fait…
Sous firefox, il y a un correcteur orthographique, mais c’est en local. Pas d’envoi de données n’importe où.
(Et je ne crois pas qu’il soit actif sur les champs de mot de passe.)