Mots de passe sur les navigateurs WEB

Lorsque vous surfez, certains sites et services réclament de vous identifier.
En général, cela se passe par la saisie d’un utilisateur et mot de passe correspond à un compte que vous avez créer sur le site.
Les navigateurs WEB proposent alors d’enregistrer ces informations afin de vous éviter à les saisir ultérieurement.
Quels sont les risques et comment gérer ces informations (utilisateur/mot de passe) pour chaque navigateur WEB.

logo-mot-de-passe

 

Présentation

Comme évoqué dans l’introduction, lorsque vous saisissez des identifiants/mot de passe pour accéder à un compte sur un site WEB, le navigateur WEB peut vous proposer d’enregistrer ces derniers.

navigateurs_WEB_mot_passe_enregistres

Si vous acceptez, lorsque vous allez à nouveau accéder à ce même site, le nom d’utilisateur et mot de passe vont s’inscrire automatiquement :

identifiants et mot de passe enregistrés dans le navigateur WEB

Cela signifie que votre navigateur WEB stocke ses informations de connexion, qui peuvent être volés par un tiers.
En outre, c’est aussi pour cela, qu’il faut bien que chaque utilisateur de Windows ait son propre compte d’utilisateur Windows; ainsi une personne pourra pas s’identifier sur un site à votre place.

Mots de passe, vol et virus

Les accès à divers sites sont très prisés des cybercriminels qui peuvent revendre ces derniers ou se connecter à vos comptes pour effectuer des achats.
Ce qu’il faut bien comprendre, c’est que lorsque vous enregistrez vos identifiants et mots de passe dans vos navigateurs WEB, un malware/virus peut très facilement aller lire ces derniers.

Un billet de 2011 évoqué d’ailleurs cela : Firerox : Stockage des mots de passe et vols mais cela est vrai pour tous les navigateurs WEB : Mozilla Firefox, Google Chrome ou Internet Explorer / Microsoft Edge.

Divers méthodes pour subtiliser les mots de passe peuvent être utilisés par les logiciels malveillants, parmi lesquelles :

  • Aller lire directement dans la base des mots de passe du navigateur WEB
  • intercepter les transactions réseaux durant la phase d’authentification sur le site
  • voler les mots de passe lorsque vous les saisissez sur le navigateur WEB (keylogger).
  • Effectuer des captures d’écran lors de la saisie du mot de passe, dans le cas d’une utilisation d’un clavier virtuel.

Il va d’ailleurs de même pour les cookies qui peuvent servir à s’authentifier sur un site WEB.

keylogger/stealer : vol de mot de passe des navigateurs WEB

 

Mozilla Firefox et mot de passe principal

Mozilla Firefox propose une option pour protéger vos mots de passe, il s’agit du mot de passe principal.
Le mot de passe principal va chiffrer vos mots passe stockés dans le navigateur WEB à l’aide du mot de passe principale.
Lors de l’utilisation de ces derniers vous devrez saisir un mot de passe principal.

Ouvrez dans un nouvel onglet : about:preferences#security
ou Cliquez sur le menu avec les trois traits > Options > Onglet Securité

Mozilla Firefox : menu options

Activez l’option « Utiliser un mot de passe principal »

firefox_mot_passe_mot_passe_principal

Google Chrome et Secure Profile

Sur le navigateur WEB, vous pouvez installer l’extension Secure Profile

Voici comment gérer les mots de passe enregistrés sur les navigateurs WEB.
Le principe est le même et consiste à créer un mot de passe principal afin de chiffrer les mots de passe stockés sur votre profile Google Chrome.

Google_Chrome_Secure_Profile

Gérer les mots de passe

Google Chrome

Cliquez sur le menu avec les trois traits en haut à droite puis Paramètres.
Ou ouvrir l’adresse : chrome://settings

Google Chrome : ouvrir les paramètresDans les paramètres, cliquez en bas pour afficher les paramètres avancés.
Un paragraphe « mot de passe et formulaires » est alors disponible.
Google_Chrome_mot_passe_enregistres

Cliquez sur mot de passe afin de lister les identifiants/mot de passe des sites enregistrés.
Vous pouvez alors supprimer ces derniers ou supprimer les exceptions.

Google_Chrome_mot_passe_enregistres_2

Mozilla Firefox

Ouvrez dans un nouvel onglet : about:preferences#security
ou Cliquez sur le menu avec les trois traits > Options > Onglet Securité

Mozilla Firefox : menu options

Cliquez sur « Identifiants enregistrés » pour ouvrir les identifiant/mots de passe des sites enregistrés.
Notez que sur cette page, vous avez un bouton Exceptions qui vous permet d’empêcher l’enregistrement (ou supprimer) des identifiants de sites.


firefox_mot_passe_enregistres

Les identifiants enregistrés apparaissent en liste, vous avez le site WEB et le nom d’utilisateur.
Vous pouvez ensuite supprimer le ou les sites à partir du bouton « Supprimer » ou « Tout Supprimer ».
Notez le bouton en bas à droite qui permet d’afficher le mot de passe en clair.

firefox_mot_passe_enregistres_2

Internet Explorer

Ouvrez les options internet, sur Internet Explorer, cliquez en haut à droite sur l’icône roue crantée puis Options Internet.
Ou depuis le Panneau de configuration > Options Internet

Internet_explorer_options_internetOuvrez l’onglet contenu.
Puis au niveau de la saisie semi-automatique, cliquez sur Paramètres.
Dans la nouvelle fenêtre, cliquez sur « Gérer les mots de passe ».

Internet_explorer_mot_passe_enregistres

Sur Windows 8 et Windows 10, cela va ouvrir  le Panneau de configuration > Gestionnaire d’identification.
A partir de là, vous devez pouvoir visualiser les identifiants/mot de passe des sites enregistrés.
Vous pouvez supprimer en cliquant sur le site puis supprimer.

edge_mot_passe_enregistres_gestionnaire_identifications_2

Microsoft Edge

Ouvrez Microsoft Edge.
Cliquez en haut à droite sur l’icône avec les trois petits points puis Paramètres pour ouvrir les paramètres de Microsoft Edge.
En bas, Afficher les paramètres avancés.
Puis cherchez l’option « Gérer mes mots de passe enregistrés »

edge_mot_passe_enregistres_gestionnaire_identifications

Les mots de passe des sites enregistrés apparaissent en liste.
La croix permet de supprimer ce dernier.
edge_mot_passe_enregistres

Coffre fort de mot de passe

Au lieu de stocker vos mots de passe sur vos navigateurs WEB, il existe des coffres forts à mot de passe ou gestionnaire de mot de passe.
Il s’agit d’applications qui permettent de stocker vos mot de passe en les chiffrant, le stockage peut se faire en local sur l’ordinateur ou à distance.
Ces solutions ne protège pas contre les keylogger ou autres virus mais protège contre le programme malicieux qui tentent de voler les mots de passe contenus dans les navigateurs WEB.

Keepass par exemple permet de stocker vos mots de passe sur votre ordinateur.

Keepass : coffre fort à mot de passe

Gestionnaire de mots de passe en ligne

Les gestionnaires de mots de passe enregistrent les identifiants et mots de passe sur un compte en ligne.
A partir d’une extension sur le navigateur WEB, il est possible de saisir automatiquement ces derniers.
Les gestionnaires de mots de passe vous indique aussi quels sont les mots de passes faibles, qu’il faut changer.

Les avantages :

  • Saisi des identifiants et mot de passe beaucoup plus faibles, rien est sur l’ordinateur
  • Comme tout est enregistré, vous pouvez utiliser des mots de passe forts sans vraiment connaître vos mots de passe.

Les inconvénients :

  • Les identifiants et mots de passe sont centralisés, si la base de données du gestionnaire de mots de passe est piratée, vos accès sont en péril. Sachez que pour certains cela est déjà arrivé : piratage LastPass – A lire Piratage/Hack massif de comptes en ligne
  • Pensez que vous augmentez les chances d’avoir vos mots de passe dans la nature, puisque vous passez par un intermédiaire.

LastPass

LastPass lui stocke les informations sur des serveurs et non pas sur votre ordinateur.
LastPass fonctionne sous forme d’extension sur vos navigateurs WEB.

LasPass : coffre fort à mot de passe

Dashlane

Voir tutoriel Dashlane

tutoriel_dashlane_securite

Autres gestionnaire de mots de passe

Les éditeurs d’antivirus s’engouffre aussi sur ce marché, par exemple, Avast! propose dans son antivirus gratuit un gestionnaire de mot de passe.
Vos mot de passe seront stockés sur les serveurs Avast!

avast_mot_passe_synchronisation

Authentification en deux temps

Devant la facilité à récupérer les mots de passe et les vols de plus en plus fréquents de comptes en ligne. La majorité des services WEB (Yahoo, Microsoft, Google, Facebook, Paypal) proposent une authentification en deux temps, qui consiste à envoyer un SMS vers un mobile quand vous souhaitez vous connecter.
Vous trouverez sur ces deux tutoriels, la manière pour activer cette authentification en deux temps :

Conclusion

Soyez vigilant lorsque vous stockez vos mot de passe, si vous utilisez Mozilla Firefox, nous vous recommandons d’utiliser un mot de passe principal.
Pour d’autres tutoriels liés aux navigateurs WEB et notamment pour sécuriser vos navigateurs WEB, rendez-vous sur la page suivante : Tutoriel navigateur WEB

A lire aussi, autour du piratage des comptes utilisateurs en ligne : Piratage/Hack massif de comptes en ligne

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 702 times, 4 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *