MarcoServices - informatique langon à votre domicile
MarcoServices - informatique langon à votre domicile
Édito : Nous profitons du
#CyberMois pour revenir sur le sujet des mots de passe.
Où peut-on stocker les identifiants et mots de passe en
toute sécurité ? Dans un navigateur internet comme : Google
Chrome, Mozilla Firefox, Microsoft Edge... ou dans un
gestionnaire de mots de passe ?
L’enregistrement de vos mots de passe dans un navigateur vous
évite de devoir les saisir à chaque fois, ce qui représente un
véritable gain de temps. Mais à quel point ce système est-il
sûr ? Cet article examine trois raisons pour lesquelles
vous ne devriez pas stocker vos mots de passe dans votre
navigateur, et pourquoi vous devriez utiliser une méthode de
stockage beaucoup plus sûre : un gestionnaire de mots de
passe.
Nous vous rappelons que nous avons mis à votre disposition un groupe facebook : entraide informatique Sud-Gironde 100% gratuit !!
Le principal problème du stockage des mots de passe dans les navigateurs est qu’ils sacrifient la sécurité au profit de la convivialité. Ce constat vaut au moins pour les trois navigateurs les plus populaires : Google Chrome, Mozilla Firefox et Microsoft Edge, qui stockent tous les mots de passe des utilisateurs de manière très peu sécurisée.
La raison en est que tous ces navigateurs stockent les mots de passe à un endroit très prévisible, dans un dossier dont le chemin d’accès n’est un secret pour personne. Et bien que les mots de passe eux-mêmes soient chiffrés, la clé de chiffrement est stockée à proximité et est facilement accessible. Grâce à cette clé, un pirate informatique peut déchiffrer et voler les mots de passe. Voilà donc une situation grotesque : la porte semble être bien verrouillée, mais la clé est en fait sous le paillasson, et tout le monde le sait.
En fait, les navigateurs profitent de cette situation pour se faire concurrence : pour faciliter un changement de navigateur, ils proposent souvent d’importer toutes les données enregistrées de l’ancien navigateur, y compris les mots de passe stockés.
Devinez qui d’autre profite de cette fonctionnalité ? C’est exact ! Il existe toute une classe de logiciels malveillants (appelés à juste titre voleurs de mots de passe *) dédiés au vol d’identifiants. Ces programmes malveillants passent au crible les dossiers qui contiennent généralement les mots de passe stockés dans le navigateur, trouvent la clé sous le paillasson, déchiffrent les mots de passe et transfèrent le butin sur le serveur des cybercriminels. Par la suite, ces mots de passe sont généralement compilés dans des bases de données et vendus en vrac sur le Dark Web à d’autres escrocs qui s’en servent pour pirater des comptes (les spécialisations étroites sont depuis longtemps la norme dans le monde de la cybercriminalité).
* Voleurs de mots de passe :
Trojan (cheval de Troie) PSW : Password Stealing Ware (logiciel de vol de mots de passe)
Type de logiciel malveillant conçu pour voler des mots de passe et d'autres informations de compte. Les voleurs extraient les clés secrètes stockées des navigateurs et d'autres utilitaires, analysent les fichiers cache et cookies, et accèdent aux données de portefeuille de crypto-monnaie. Les données collectées par les chevaux de Troie sont généralement envoyées au serveur de commande.
Pour comprendre à quel point il est facile de voler les mots de passe stockés dans un navigateur, nous vous recommandons de visionner une vidéo de démonstration qui explique clairement comment extraire rapidement des mots de passe de Chrome, Firefox et Edge à l’aide d’un script Python uniquement.
Ce ne sont pas seulement les programmes malveillants spécialement conçus qui peuvent accomplir ce genre de méfaits, mais aussi toute personne ayant un accès physique à votre ordinateur. De plus, il n’est pas nécessaire d’avoir des compétences de piratage approfondies : des scripts permettant d’exfiltrer les mots de passe stockés dans les navigateurs sont largement accessibles en ligne. Il suffit de les exécuter.
Même un proche ou un collègue de travail trop curieux pourrait le faire si vous laissez votre ordinateur déverrouillé. Ou encore un pirate informatique en mission de repérage dans vos locaux. Bref, n’importe qui. Le point important est que tous vos mots de passe stockés dans le navigateur se retrouveront entre des mains potentiellement hostiles.
Et même si l’intrus ne dispose pas du script adapté pour extraire les mots de passe du fichier enregistré par le navigateur, il peut parcourir les paramètres à la recherche de la liste des sites pour lesquels des mots de passe sont stockés, puis se connecter à l’un d’eux pour lire votre correspondance, par exemple, ou découvrir d’autres secrets à votre sujet.
Le navigateur le plus populaire au monde (Google Chrome, au cas où vous ne le sauriez pas) ne possède même pas de mécanisme de base pour empêcher de telles actions. Et si les développeurs de Firefox se sont montrés assez bons pour permettre aux utilisateurs de protéger les mots de passe enregistrés par un mot de passe principal, ils ont laissé cette option désactivée par défaut. Le mot de passe principal doit être explicitement activé et configuré, et il est peu probable que de nombreux utilisateurs de Firefox le sachent.
Le problème suivant est commun à tous les navigateurs qui permettent aux utilisateurs, pour leur confort, de créer un compte pour synchroniser les navigateurs sur différents appareils. Cela signifie que les favoris, les sessions de navigation, les extensions, les paramètres, ainsi que les mots de passe enregistrés sont tous synchronisés et stockés dans le cloud. Et si un pirate informatique s’introduit dans votre compte de navigateur, il lui suffit de se connecter sur un autre ordinateur en utilisant le même compte. Tous vos comptes dont les mots de passe sont stockés dans le navigateur (qu’il s’agisse de réseaux sociaux ou de banques en ligne) lui seront alors accessibles.
Tout comme les navigateurs, Kaspersky Password Manager mémorise vos identifiants et vous permet de les renseigner automatiquement lorsque vous vous connectez à des sites Internet. Mais contrairement aux développement des navigateurs, la sécurité est primordiale de vos identifiants et mots de passe. Dans le gestionnaire de mots de passe, le mot de passe principal est utilisé par défaut et ne peut pas être désactivé – tous vos mots de passe enregistrés sont protégés à tout moment. Ainsi, même si quelqu’un parvient à accéder physiquement à votre ordinateur, il ne pourra pas simplement se connecter à des sites en utilisant les identifiants stockés dans le gestionnaire. Pour ce faire, il aurait besoin du mot de passe principal, que personne d’autre que vous ne connaît (à moins que vous ne l’ayez collé à l’écran sur un post-it).
Un autre avantage de Kaspersky Password Manager est, bien sûr, que tous les mots de passe sont stockés uniquement sous forme chiffrée. Et, surtout, il n'y a pas de clé de déchiffrement. La clé de chiffrement est générée à la volée à l’aide de l’algorithme AES-256 à partir du mot de passe principal, ce qui nous permet de ne pas la stocker. N’importe où. Jamais. Ainsi, même si un utilisateur malveillant parvient à s’introduire dans votre ordinateur, il ne pourra rien voler, car tous vos mots de passe sont chiffrés de façon sécurisée.