Commentaires : Oui, vous devriez effacer tous vos mots de passe de Chrome et voici pourquoi

Entre failles techniques, attaques par malware et promesses non tenues en matière de confidentialité, Chrome n’a de toute évidence plus grand-chose à offrir pour stocker vos mots de passe en toute sécurité.

En effet, il ne faut pas mettre tous ses oeufs dans le même panier.

1 « J'aime »

Je ne suis pas sûr de tout comprendre. Il y a deux méthodes de stockage dans le navigateur Firefox ou Chrome : avec ou sans mot de passe principal. Ici l’article parle de quel cas ? Car quand il dit que les mots de passe ne sont pas cryptés sur l’ordinateur, bien sûr que si, en AES-256. Il suffit de les voir le fichier sur son disque dur et de l’ouvrir pour comprendre ! Et pourquoi aller chez des prestataires est plus sûr quand on voit régulièrement qu’ils se font hacker ! Même si les mots de passe son salés, savoir que leur base de données a été piratée n’est pas rassurant.

Perso j’utilise Proton Pass, ça fonctionne bien, aucune raison d’en changer.

De toutes façons le mot de passe seul ne suffit plus pour les sites critiques et sérieux maintenant c’est la double authentification qui est imposée .
Les antivirus aussi comme Norton 360 for gamers permet de bien protéger les navigateurs comme le fait de pouvoir les mettre en sandbox dans les réglages .
Les moteurs de recherche comme duck duck go sont susceptibles aussi de filtrer les sites vérolés.
Sur smartphone avec Android ,il faut voir comment ça fonctionne mais je ne suis pas sûr que les mots de passe soient forcément stockés dans le navigateur.

Sam ALTMAN vient de donner l’alerte car il s’inquiète des deepfake :

  1. énormément de logiciels maintenant permettent de dupliquer des voix ,des visages ,etc…
  2. les filigranes ,watermark ,sont facilement désactivable comme expliqué sur le site de KORBEN donc les sites les plus performants dans le deepfake ( les fermes de serveur) qui permettent de faire des choses ultra réaliste,leur vidéo créé permettent d’être utilisé à des fins malintentionnées .

Au bureau on a fait une démo avec un Flipper pour expliquer au personnel pourquoi il faut TOUJOURS vérouiller son pc quand on n’est pas devant.
Un flipper et un pc non vérouillé et tous les mots de passe de Chrome sont téléchargés.

Bit warden Perso, jusqu’à la ça marche et enregistré jamais la banque
Sinon un bon vieux internet Explorer

Donc le flipper il arrive à te deviner le mot de passe Windows du PC ? Permet moi d’en douter… Parce que même si le PC n’est pas verrouillé, pour exporter la liste de mots de passe de Chrome, il faut le mot de passe Windows…

Bon bien sûr cela ne dispense pas pour autant de ne pas verrouiller le PC quand on n’est pas devant !

C’est justement un des gros défaut de Chrome… les mots de passe sont facile à éxtraire si le pc n’est pas vérouillé.
Voici le tuto :wink:

1 « J'aime »

Oki, j’avais pas imaginé l’utilisation du flipper de cette façon, pour fournir un binaire à exécuter sur la machine pour aller taper directement dans les fichiers, je pensais plus à une utilisation pour casser le prompt de mot de passe Windows quand on utilise la fonction native d’exports des mots de passe de Chrome, j’étais surpris que le Flipper sache faire ça.

Du coup c’est en fait une « faille » commune avec tous les softs qui utilisent DPAPI pour chiffrer leurs données ou leur master key, si le PC n’est pas verrouillé, DPAPI permet de déchiffrer les données sans prompt du mot de passe.

Pour faire autrement il faudrait que le soft stocke sa master key dans un fichier nécessitant une élévation de privilège pour y accéder (donc pas pratique pour l’utilisateur, besoin de cette élévation à chaque fois…), ou qu’il gère lui même son chiffrement avec un mot de passe non stocké sur la machine (mais pareil, mot de passe réclamé à l’utilisateur quand il y en a besoin, ce qui emmerde pas mal d’utilisateurs :sweat_smile: ).

1 « J'aime »

Crois moi qu’apres cette démo… pas mal de gens ont pris le reflexe WINDOWS+L quand on quitte sont poste :wink:
J’ai meme ajouté le Dynamic locking pour que des que mon smartphone s’éloigne du pc… il se vérouille si j’ai oublié.

Anecdote d’un ami qui travaillait à la Caisse des dépôts et Consignations il y a 25 ans: il fallait absolument verrouiller son pc, même pour s’absenter 2 minutes, par contre, les bandes de sauvegardes quotidiennes des serveurs étaient stockées à côté des serveurs !

L’article recommande 1Password ? vraiment ? Celui là même qui était pris dans une grosse attaque il y a 2 ans ?
Alors oui un gestionnaire de mot de passe c’est mieux qu’un coffre de navigateur, mais rien n’est infaillible, il ne faut pas y aller les yeux fermer et avoir conscience qu’il y a quand même un risque !

C’est mieux d’utiliser un coffre fort hors ligne genre Keepass, moins souple oui, mais plus sûr car vos données sont chiffrées juste sur votre machine et pas dans un cloud ouvert à toutes les attaques en ligne…

1 « J'aime »

Si Katz pirate le navigateur et se fait passer pour ce dernier, je ne vois pas pourquoi KeePass ne répondrait pas aux demandes de mot de passe (provenant du navigateur légitime mais « hacké »).
Je vais me renseigner sur le fonctionnement de Katz.

Ils sont stocker ou les mots de passe du coup avec un gestionnaire autre que le navigateur, en local sur le pc ou a distance sur un serveur ?

Ça dépend du gestionnaire. Certains sont 100% en local (KeePass par exemple), mais la plupart stockent sur des serveurs (Proton Pass, 1Password…), avec quand même généralement une copie en local également, et parfois la possibilité d’utiliser ton propre serveur plutôt que celui fourni par l’éditeur (Bitwarden, Passbolt…).

Et il y en a même qui ne les stockent pas du tout, comme LessPass, qui te génère le mot de passe à la volée quand tu en as besoin à partir du nom du site, de ton identifiant et d’un mot de passe maître qui n’est stocké nulle part.

Ok merci pour le réponse, donc sa reste toujours stocker a distance mais avec de la sécurité en plus normalement.

Je ne comprenais pas trop non plus, donc j’ai un peu creusé.
Dans Edge, il est vrai qu’on te demande ton mot de passe utilisateur pour consulter les identifiants enregistrés. Mais cette protection ne s’applique que via l’interface du navigateur. Un malware comme Katz Stealer contourne cette étape : il accède directement aux fichiers locaux et utilise les droits de l’utilisateur Windows pour déchiffrer les mots de passe sans passer par l’interface.

Dans le cas de Bitwarden (basé aux États-Unis et soumis au Cloud Act) ou Proton Pass (basé en Suisse), il existe toujours un risque de piratage. Je pense qu’il est préférable d’utiliser Proton Pass, mais l’idéal reste selon moi de stocker sa base localement avec KeePass. C’est la méthode la plus saine, même si elle n’est pas toujours très pratique sur smartphone. Bref, il n’y a pas de solution simple. Je pense aussi qu’il faut éviter les gestionnaires intégrés aux navigateurs, surtout pour limiter les risques — qui restent faibles — et éviter les entreprises soumises au Cloud Act.

Et quand on est sous Linux avec Firefox, a-t-on le même risque ?