Chrome, le navigateur Web de Google a été critiqué sur sa sécurité vis-à-vis du stockage des mots de passe, après qu’un développeur a constaté qu’en se connectant au même compte utilisateur d’un OS, il est facile de voir tous les mots de passe des sites enregistrés en clair.
Elliot Kember a montré à quel point les mots de passe peuvent facilement être vus en clair dans l’onglet “mots de passe” au sein de Google Chrome, en appuyant simplement sur un bouton “Voir”.
Kember a décrit la stratégie de mot de passe Google comme “folle”, en déclarant : “Google n’est pas clair à propos de la sécurité des mots de passe. Les utilisateurs ne savent pas que cela fonctionne comme cela. Ils ne s’attendent pas à ce qu’il soit aussi facile de voir leurs mots de passe. Chaque jour, des millions d’utilisateurs ordinaires enregistrent leurs mots de passe dans Chrome. Ce n’est pas bien. “
L’équipe de sécurité de Chrome a répondu à l’accusation en disant que la fonction était une décision consciente, et que, lorsqu’un utilisateur a accordé à quelqu’un d’autre l’accès à son compte utilisateur Windows, il est alors normal que ce dernier puisse accéder à toutes les données de la machine.
David Harley, chargé d’études chez l’éditeur de solutions de sécurité ESET, a déclaré quand à lui : “C’est une très mauvaise idée d’enregistrer ses mots de passe dans Google Chrome sur une machine qui peut être accessible sans authentification , ou lorsqu’un compte est partagé (au bureau ou au domicile, ce n’est pas une bonne pratique). Je suggère qu’il est généralement préférable d’utiliser un gestionnaire de mot de passe pour stocker tous vos mots de passe et non un navigateur Web…“
Justin Schuh, le responsable de la sécurité de Chrome a répondu en détail au poste de Kember sur YCombinator en disant : “La limite d’autorisation pour le stockage de mot de passe est le compte utilisateur de l’OS. Donc, Chrome utilise tout le stockage chiffré que le système fournit afin de garder vos mots de passe en sécurité au sein d’un compte utilisateur. Au-delà de cela, cependant, nous avons constaté que les frontières au sein du compte utilisateur OS ne sont tout simplement pas fiables, et sont pour la plupart simplement inexistantes “.
Il continue en donnant un exemple : “Prenons le cas où une personne malveillante obtienne l’accès à votre compte. Elle peut alors s’emparer de tous vos cookies de session, de votre histoire, et même installer une extension malveillante capable d’intercepter toutes vos activités de navigation ou encore d’installer un logiciel de surveillance du niveau de compte utilisateur de l’OS. Mon point est que, une fois que l’attaquant a obtenu l’accès à votre compte, la partie est perdue parce qu’il y a tout simplement de trop nombreux vecteurs pour lui permettre d’obtenir ce qu’il veut.“
Schuh explique aussi que les mots de passe maîtres au sein des navigateurs fournissent aux utilisateurs un faux sentiment de sécurité, et que lorsque les utilisateurs sont victime d’un accès frauduleux sur leur compte utilisateur OS, l’attaquant peut s’emparer de tout ce qu’il souhaite…