Ici, à PerlmOl, nous avons déjà expliqué comment afficher les mots de passe enregistrés dans Google Chrome. Cette fonction est très utile si vous avez oublié un mot de passe et avez besoin d’un accès immédiat au système ou si vous ne pouvez pas créer un nouveau mot de passe. Mais le mécanisme utilisé par Chrome pour stocker et protéger les mots de passe sauvegardés est-il sûr ? Comprenons comment tout cela fonctionne.
Vous pouvez régler Chrome pour vous souvenir des mots de passe des sites. Voici comment cela fonctionne : lorsque vous entrez un nouveau mot de passe sur un site, Chrome vous demande si vous voulez le sauvegarder. Pour accepter, cliquez sur “Enregistrer” et c’est tout. Le mot de passe sera toujours disponible dans votre navigateur.
Sommaire
Démarrer ou arrêter la sauvegarde des mots de passe dans Chrome
Par défaut, Google Chrome propose d’enregistrer le mot de passe .
Si, pour une raison quelconque, cela ne se produit pas ou si vous souhaitez désactiver l’option :
En plus du mot de passe enregistré, vous pouvez décider si vous voulez vous “auto-loguer” aux sites où vous avez enregistré vos informations d’identification. En activant cette fonction, vous n’aurez pas besoin de confirmer votre nom d’utilisateur et votre mot de passe chaque fois que vous accéderez, par exemple, à votre Facebook.
Comment consulter, supprimer ou exporter des mots de passe enregistrés dans Chrome
Vous pouvez vérifier ce qui est déjà enregistré et décider de supprimer ou même d’exporter le fichier.
Pour effacer tous les mots de passe enregistrés, effacez les données de navigation et sélectionnez “Mots de passe”.
Comment Chrome sauvegarde-t-il et synchronise-t-il les mots de passe ?
Selon Google, la manière dont Chrome enregistre vos mots de passe dépend de votre choix de les stocker et de les utiliser sur tous les appareils (smartphone, tablette et/ou ordinateur). Une fois synchronisés, les mots de passe peuvent être utilisés dans Chrome sur tous vos appareils et aussi sur certaines applications Android que vous utilisez.
La synchronisation des mots de passe étant activée dans Chrome, les mots de passe sont enregistrés dans votre compte Google. Sinon, elles ne sont stockées dans Chrome que sur votre ordinateur.
ESET, fabricant d’antivirus et d’autres solutions anti-malware, a donné plus de détails sur le mécanisme utilisé par Chrome pour stocker et protéger les mots de passe sauvegardés et a analysé certains aspects plus techniques de la sécurité sur le sujet.
Selon Daniel Kundro, chercheur sur les logiciels malveillants à ESET Latin America, lorsqu’un utilisateur clique sur le bouton “accepter”, ces données (login et mot de passe) sont stockées dans une base de données SQLite3 du navigateur web.
Que l’on peut généralement trouver à l’adresse suivante :
%LocalAppData%GoogleChromeLes données de l’utilisateurDéfautLes données de connexion.
Le danger de l’accès physique et des logiciels malveillants
Ce fichier, qui contient la base de données, est uniquement utilisé par Google Chrome, il est donc supposé qu’aucun autre logiciel n’y accédera. Pour des raisons de sécurité évidentes, les mots de passe ne sont pas stockés en texte clair ? ils sont cryptés ;
Cette fonction est conçue dans le navigateur de manière à ce que les données ne puissent être décryptées que par le même utilisateur du système d’exploitation qui était connecté lorsque le même mot de passe était crypté ou même sur le même ordinateur.
Si un cybercriminel a accès à votre ordinateur, il peut facilement obtenir des mots de passe, les décrypter et les voler en clair”, explique-t-il. C’est-à-dire que si quelqu’un d’autre a accès à l’ordinateur, il peut utiliser des méthodes simples et exporter les mots de passe.
Test avec un compte Facebook
Cependant, l’accès physique n’est pas le seul danger. Certains logiciels malveillants se concentrent exactement sur cette fonction du navigateur et, lorsqu’ils sont présents sur la machine, peuvent l’utiliser.
Ce type de comportement a été observé dans plusieurs codes malveillants et même dans des chevaux de Troie bancaires spécifiquement destinés à l’Amérique latine, où ils sont destinés à voler les références d’accès aux services bancaires à domicile, ajoute M. Kundro.
En se connectant à Facebook avec un nom d’utilisateur et un mot de passe fictifs, l’équipe a accepté que Google Chrome sauvegarde ses informations d’identification. Ensuite, ils ont essayé de localiser le fichier avec les informations enregistrées. Pour y avoir accès, il suffit d’ouvrir le fichier avec un programme qui permet de visualiser les bases de données comme DB Browser for SQLite.
Les entrées révèlent les données de connexion, qui comprennent : URL, nom d’utilisateur et mot de passe. Le mot de passe stocké est crypté dans une structure BLOB, et en cliquant sur ce champ, le programme en affiche la représentation hexadécimale. Là, l’attaquant a déjà crypté le nom d’utilisateur, le site et le mot de passe, il ne manque plus que de décrypter le mot de passe et de préparer .
Le cybercriminel profite de l’accès (physique ou virtuel) au dispositif, car il est très probable que l’utilisateur actif soit le même que celui qui a enregistré le mot de passe, ce qui permet de décrypter les informations à l’aide de la fonction : CryptUnprotectData.
Cela semble compliqué, mais pour ceux qui s’intéressent à vos données, ce n’est peut-être pas le cas.
Toutes ces étapes peuvent être exécutées par des logiciels malveillants rapidement et automatiquement. Toutefois, les logiciels malveillants ne sont pas le seul risque que nous devons garder à l’esprit, car il existe actuellement plusieurs programmes facilement accessibles par le biais d’une enquête en ligne qui sont capables d’effectuer ces mêmes étapes”, explique M. Kundro.
Est-il sûr d’enregistrer des mots de passe sur Google Chrome ?
Cela dépendra du degré de sécurité de votre ordinateur ou de vos habitudes d’utilisation. Tous les risques mentionnés sont limités au mécanisme de sauvetage des mots de passe et au risque de vol des mots de passe stockés. Sans aucun doute, ce film est utile.
Mais attention.
Idéalement, vous ne devriez pas utiliser la sauvegarde automatique des mots de passe avec des services de paiement sensibles, la banque à domicile, les réseaux sociaux, les sites médicaux ou les sites web qui contiennent des informations personnelles auxquelles vous ne voudriez pas que d’autres personnes aient accès. Faites ce filtre dans la liste.
Bonne navigation. ?