Les navigateurs sûr pour les mots de passe ?
Table des matières
Dans ce billet de blogue, je vais vous parler de mot de passe et de gestionnaires de mots de passe qui permettent de les conserver tous au même endroit. Vous avez surement eu l'occasion d'entendre parler des mots de passe. Ces suites de caractères que nous devons saisir pour nous authentifier sur les sites Web (et autre application ou ordinateurs) que nous visitons. Vous avez peut-être entendu parler également des gestionnaires de mot de passe ; ces logiciels spécialisés dans la gestion et la synchronisation de vos informations sensibles (identifiant, mot de passe, carte bleue, etc.).
Les navigateurs et les systèmes d'exploitation testés
Nos navigateurs Web intègrent eux aussi un gestionnaire de données personnelles sensibles (identifiant/mot de passe, carte bleue, adresse postale, saisie courante), mais qu'en est-il de la protection de nos données par défaut ? J'ai réalisé un petit test sur la gestion des mots de passe uniquement sur différent système d'exploitation et différent navigateur. Côté navigateur voici la liste retenue :
- Firefox de la fondation Mozilla.
- Chromium la base libre d'un grand nombre de navigateurs (Google + la communauté).
- Google Chrome, le navigateur de Google basé sur Chromium.
- Opera, un navigateur basé également sur Chomium et édité par Opera Software.
- Brave, un navigateur basé également sur Chomium et édité par Brave Software qui met l'accent sur le respect de la vie privée.
- Tor Brower, un navigateur basé sur Firefox et orienté sur l'anonymisation de la navigation et le respect de la vie privée.
Le premier test a été réalisé sur Linux via la distribution Ubuntu en version 19.04. Le second a été réalisé sur Windows 10 (1903) enfin le dernier a été réalisé sur macOS (10.13.6).
Résumé de la situation
Tous les navigateurs intègrent un outil pour la gestion des mots de passe. Cependant seul Tor Browser le bloque complètement.
Erreur affiché lors de la définition d'un mot de passe maître sur Tor Browser
Les mots de passe sont donc par défaut stocké chiffré sur le disque dur avec une clé non protégés par un mot de passe. Étant donné que la sécurité n'est pas dans les algorithmes, trouver l'emplacement de la clé et pouvoir déchiffrer les mots de passe sera donc possible. Il est donc important de pouvoir verrouiller ce coffre-fort numérique. Sur Linux, Firefox est les seuls à proposer une solution.
Paramètre par défaut de Firefox pour la gestion des identifiants de connexion.
Les navigateurs basés sur Chromium ne proposent rien (ai-je mal cherché ?) pour Linux. Sur Windows et macOS, Firefox propose les mêmes options, mais les navigateurs basés sur Chromium utilisent le mot de passe du compte local pour protéger votre coffre-fort.
Chrome sur macOs demande me mot de passe du compte pour afficher un mot de passe sauvegardé.
C'est déjà mieux tant que vous avez défini un mot de passe pour votre compte sur votre ordinateur. Si ce n'est pas le cas, je vous conseille vivement de le faire. J'ai noté une petite particularité sur Safari, même avec un compte sans mot de passe, un mot de passe vide est réclamé pour accéder à la liste des mots de passe enregistrés.
Safari sur macOs demande un mot de passe pour afficher les informations sauvegardées même si le mot de passe est vide.
Conclusion
En conclusion, la situation sur les gestionnaires de mot de passe des navigateurs n'a pas changé depuis que j'ai décidé de désactiver toutes les fonctionnalités de gestions de mot de passe, carte bleue et saisie semi-automatique de mes navigateurs. Continuerait donc d'utiliser un vrai gestionnaire de mot de passe et je vous conseille de faire de même. Voici quelques exemples :
- 1password (https://1password.com/fr/)
- Dashlane (https://www.dashlane.com/fr)
- Keepass (https://keepass.info/) pour windows (Keepass XC (https://keepassxc.org/) sur Linux et macOS)
Et vous, comment configurez-vous votre navigateur ? Ai-je oublié quelque chose dans mon comparatif ? Si votre navigateur préféré n'est pas dans la liste, donnez-moi son nom dans les commentaires pour que je regarde. Autre sujet : 10 astuces pour éviter des failles de sécurité
Modification du 9 mars 2023, suppression du lien vers LastPass suite à leur problème de sécurité.