L’enregistrement de vos mots de passe dans un navigateur vous évite de devoir les saisir à chaque fois, ce qui représente un véritable gain de temps. Mais à quel point ce système est-il sûr ? Cet article examine trois raisons pour lesquelles vous ne devriez pas stocker vos mots de passe dans votre navigateur, et pourquoi vous devriez utiliser une méthode de stockage beaucoup plus sûre : un gestionnaire de mots de passe.
1. Voleurs de mot de passe
Le principal problème du stockage des mots de passe dans les navigateurs est qu’ils sacrifient la sécurité au profit de la convivialité. Ce constat vaut au moins pour les trois navigateurs les plus populaires : Google Chrome, Mozilla Firefox et Microsoft Edge, qui stockent tous les mots de passe des utilisateurs de manière très peu sécurisée.
La raison en est que tous ces navigateurs stockent les mots de passe à un endroit très prévisible, dans un dossier dont le chemin d’accès n’est un secret pour personne. Et bien que les mots de passe eux-mêmes soient chiffrés, la clé de chiffrement est stockée à proximité et est facilement accessible. Grâce à cette clé, un pirate informatique peut déchiffrer et voler les mots de passe. Voilà donc une situation grotesque : la porte semble être bien verrouillée, mais la clé est en fait sous le paillasson, et tout le monde le sait.
En fait, les navigateurs profitent de cette situation pour se faire concurrence : pour faciliter un changement de navigateur, ils proposent souvent d’importer toutes les données enregistrées de l’ancien navigateur, y compris les mots de passe stockés.
Devinez qui d’autre profite de cette fonctionnalité ? C’est exact ! Il existe toute une classe de logiciels malveillants (appelés à juste titre voleurs de mots de passe) dédiés au vol d’identifiants. Ces programmes malveillants passent au crible les dossiers qui contiennent généralement les mots de passe stockés dans le navigateur, trouvent la clé sous le paillasson, déchiffrent les mots de passe et transfèrent le butin sur le serveur des cybercriminels. Par la suite, ces mots de passe sont généralement compilés dans des bases de données et vendus en vrac sur le Dark Web à d’autres escrocs qui s’en servent pour pirater des comptes (les spécialisations étroites sont depuis longtemps la norme dans le monde de la cybercriminalité).
Pour comprendre à quel point il est facile de voler les mots de passe stockés dans un navigateur, nous vous recommandons de visionner une vidéo de démonstration qui explique clairement comment extraire rapidement des mots de passe de Chrome, Firefox et Edge à l’aide d’un script Python uniquement.
2. Accès physique à l’ordinateur
Ce ne sont pas seulement les programmes malveillants spécialement conçus qui peuvent accomplir ce genre de méfaits, mais aussi toute personne ayant un accès physique à votre ordinateur. De plus, il n’est pas nécessaire d’avoir des compétences de piratage approfondies : des scripts permettant d’exfiltrer les mots de passe stockés dans les navigateurs sont largement accessibles en ligne. Il suffit de les exécuter.
Même un proche ou un collègue de travail trop curieux pourrait le faire si vous laissez votre ordinateur déverrouillé. Ou encore un pirate informatique en mission de repérage dans vos locaux. Bref, n’importe qui. Le point important est que tous vos mots de passe stockés dans le navigateur se retrouveront entre des mains potentiellement hostiles.
Et même si l’intrus ne dispose pas du script adapté pour extraire les mots de passe du fichier enregistré par le navigateur, il peut parcourir les paramètres à la recherche de la liste des sites pour lesquels des mots de passe sont stockés, puis se connecter à l’un d’eux pour lire votre correspondance, par exemple, ou découvrir d’autres secrets à votre sujet.
Le navigateur le plus populaire au monde (Google Chrome, au cas où vous ne le sauriez pas) ne possède même pas de mécanisme de base pour empêcher de telles actions. Et si les développeurs de Firefox se sont montrés assez bons pour permettre aux utilisateurs de protéger les mots de passe enregistrés par un mot de passe principal, ils ont laissé cette option désactivée par défaut. Le mot de passe principal doit être explicitement activé et configuré, et il est peu probable que de nombreux utilisateurs de Firefox le sachent.
3. Piratage de compte de navigateur
Le problème suivant est commun à tous les navigateurs qui permettent aux utilisateurs, pour leur confort, de créer un compte pour synchroniser les navigateurs sur différents appareils. Cela signifie que les favoris, les sessions de navigation, les extensions, les paramètres, ainsi que les mots de passe enregistrés sont tous synchronisés et stockés dans le cloud. Et si un pirate informatique s’introduit dans votre compte de navigateur, il lui suffit de se connecter sur un autre ordinateur en utilisant le même compte. Tous vos comptes dont les mots de passe sont stockés dans le navigateur (qu’il s’agisse de réseaux sociaux ou de banques en ligne) lui seront alors accessibles.
Pourquoi un gestionnaire de mots de passe est-il plus efficace qu’un navigateur ?
Tout comme les navigateurs, Kaspersky Password Manager mémorise vos identifiants et vous permet de les renseigner automatiquement lorsque vous vous connectez à des sites Internet. Mais contrairement aux développeurs de navigateurs, nous ne faisons aucun compromis sur la sécurité. Dans notre gestionnaire de mots de passe, le mot de passe principal est utilisé par défaut et ne peut pas être désactivé – tous vos mots de passe enregistrés sont protégés à tout moment. Ainsi, même si quelqu’un parvient à accéder physiquement à votre ordinateur, il ne pourra pas simplement se connecter à des sites en utilisant les identifiants stockés dans le gestionnaire. Pour ce faire, il aurait besoin du mot de passe principal, que personne d’autre que vous ne connaît (à moins que vous ne l’ayez collé à l’écran sur un post-it).
Un autre avantage deKaspersky Password Manager est, bien sûr, que tous les mots de passe sont stockés uniquement sous forme chiffrée. Et, surtout, nous ne gardons pas la clé de déchiffrement » sous le paillasson « . La clé de chiffrement est générée à la volée à l’aide de l’algorithme AES-256 à partir du mot de passe principal, ce qui nous permet de ne pas la stocker. N’importe où. Jamais. Ainsi, même si un utilisateur malveillant parvient à s’introduire dans votre ordinateur, il ne pourra rien voler, car tous vos mots de passe sont chiffrés de façon sécurisée. D’ailleurs, si vous utilisez Kaspersky Password ManagerKaspersky Premium[/placeholder], nous ne laisserons même pas entrer de logiciels malveillants.
Une dernière chose. Bien entendu, nous utilisons le cloud pour synchroniser les mots de passe entre les appareils. Tous vos mots de passe sont liés à votre compte My Kaspersky. Mais même si un intrus venait à accéder à ce compte, vos mots de passe stockés dans Kaspersky Password Manager resteraient protégés. En effet, dans le cloud, ils sont stockés exclusivement sous forme chiffrée, et la clé de déchiffrement est générée à partir du mot de passe principal, que vous êtes le seul à connaître et sans lequel les attaquants ne peuvent rien faire.
Nous avons également récemment mis à jour Kaspersky Password Manager compatible avec les navigateurs Opera et Opera GX qui ne cessent de gagner de nouveaux utilisateurs. Cela signifie que nous prenons désormais en charge tous les navigateurs les plus courants : Chrome (et les navigateurs basés sur Chromium), Safari, Firefox, Edge et Opera.