Menu Fermer

Gérer les mots de passe sur les navigateurs WEB et éviter les piratages

Cette entrée fait partie d'une série de 2 sur 12 dans la série Le gestionnaire de mot de passe pour les navigateurs WEB

Lorsque vous surfez, certains sites et services réclament de vous identifier.
En général, cela se passe par la saisie d’un utilisateur et mot de passe correspondant à un compte que vous avez créer sur le site.
Les navigateurs WEB proposent alors d’enregistrer les identifiants et mots de passe afin de vous éviter à les saisir ultérieurement.

De plus il existe des gestionnaires de mots de passe (LastPass, Dashlane, KeePass, Bitwarden, etc).
Ils permettent de stocker vos identifiants dans des coffres forts.

Mais quels sont les risques et comment gérer ces données sensibles pour chaque navigateur WEB.
Comment stocker et gérer ses mots de passe en toute sécurité.

Cet article vous aide à sécuriser les mots de passe de vos comptes internet afin d’éviter les hacks et piratages.

identification et mot de passe sur internet
identification et mot de passe sur internet

Les mots de passe dans les navigateurs internet

Si vous utilisez des mots de passe forts, il n’est pas simple de les mémoriser.
Les recommandations pour un bon mot de passe sont données sur la page :

Pour faciliter le surf, vous pouvez mémoriser les mots de passe dans les navigateurs internet.
Comme évoqué dans l’introduction, lorsque vous saisissez des identifiants et mot de passe pour accéder à un compte sur un site WEB, le navigateur WEB peut vous proposer d’enregistrer ces derniers.

Enregistrer l'utilisateur et mot de passe sur votre navigateur WEB

Si vous acceptez, lorsque vous allez à nouveau accéder à ce même site, le nom d’utilisateur et mot de passe vont s’inscrire automatiquement :

Mot de passe enregistré dans le navigateur WEB
Mot de passe enregistré dans le navigateur WEB

Cela signifie que votre navigateur WEB stocke ses informations de connexion afin de proposer un saisie automatiquement.
En outre, c’est aussi pour cela, qu’il faut bien que chaque utilisateur de Windows ait son propre compte d’utilisateur Windows.
Ainsi une personne pourra pas s’identifier sur un site à votre place.

A tout moment, vous pouvez visualiser les mots de passe enregistrés dans Google Chrome, Firefox, Opera, Vivaldi, etc.

visualiser les mots de passe enregistrés dans votre navigateur WEB

Et donc, si le navigateur peut retrouver les mots de passe alors un programme externe aussi ce qui peut permettre de voler ces données.

Sécurité et vol des mots de passe

Les accès aux sites sont très prisés des cybercriminels.
Ainsi ils peuvent voler de l’argent ou revendre ces derniers.
Or voler les mots de passe enregistrés dans les navigateurs WEB est très simple.
En effet, un malware, trojan, ou virus peut très facilement aller lire ces derniers.

Le problème principal vient du fait que le navigateur WEB stocke les mots de passe sen clair ou avec une méthode très facile pour les retrouver.
Puisque le but est que l’utilisateur puisse les récupérer à tout moment.
Le navigateur WEB doit aussi pouvoir le faire afin de pré-remplir les champs lors de la connexion à un site internet.

Un billet évoque ces vols de mot de passe, suivre ce lien : Les vols de mot de passe sur les navigateurs WEB
Mais cette vidéo montre aussi comment récupérer les mots de passe stockés dans les navigateurs WEB.

Les méthodes pour voler les mots de passe

Les logiciels malveillants utilisent divers méthodes pour subtiliser les mots de passe.
Voici les principales :

  • Aller lire dans la base des mots de passe du navigateur WEB
  • Intercepter les connexions réseaux durant la phase d’authentification avec le site WEB
  • Voler les mots de passe lorsque vous les saisissez sur le navigateur WEB. Principe des attaques type keylogger.
  • Effectuer des captures d’écran lors de la saisie du mot de passe, dans le cas d’une utilisation d’un clavier virtuel.

Il va d’ailleurs de même pour les cookies qui peuvent servir à s’authentifier sur un site WEB.

Vol de mot de passe sur les navigateurs WEB
Vol de mot de passe sur les navigateurs WEB

Comment s’en protéger

Selon le navigateur WEB, les solutions pour se protéger du vol de mot de passe sont différents.

Pour supprimer les navigateurs internet, vous pouvez suivre notre article dédié : 

Le gestionnaire de mots de passe en ligne

Le gestionnaire de mots de passe enregistre les identifiants et mots de passe sur un serveur en ligne.
A partir d’une extension sur le navigateur WEB ou une application, il est possible de saisir automatiquement ces derniers.
Le gestionnaire de mots de passe vous indique aussi les mots de passes faibles, qu’il faut sécuriser.
Enfin souvent ils fournissent un générateur de mot de passe forts.

Le stockage est en ligne avec une partie en local souvent chiffré.
Là aussi des malwares ne peuvent pas accéder à vos mots de passe de manière direct.

En général, ils supportent beaucoup de navigateur WEB et des versions Android ou IOS existent.
Ainsi vous pouvez les utiliser pour tous vos appareils.

AvantagesInconvénients
Saisie des identifiants et mot de passe beaucoup plus facile. En effet le site set reconnu et le mot de passe est pré-rempliLes identifiants et mots de passe sont centralisés. Ainsi, si la base de données du gestionnaire de mots de passe est piratée, vos accès sont en péril. Cela dépend des méthodes de stockage des mots de passe sur les serveurs. En général, ils sont chiffrés. Enfin sachez que pour certains cela est déjà arrivé : piratage LastPass – A lire Piratage/Hack massif de comptes en ligne
Les attaques classiques pour récupérer les mots de passe enregistrés dans le navigateur ne fonctionne pas.Pensez que vous augmentez les chances d’avoir vos mots de passe dans la nature, puisque vous passez par un intermédiaire.
Comme tout est enregistré, vous pouvez utiliser des mots de passe forts sans devoir retenir vos mots de passe.
Avantages et inconvénient des gestionnaires de mots de passe

LastPass

LastPass lui stocke les informations sur des serveurs et non pas sur votre ordinateur.
Ce gestionnaire de mot de passe fonctionne sous forme d’extension sur vos navigateurs WEB.

Les paramètres du coffre fort LastPass
Les paramètres du coffre fort LastPass

Dashlane

DashLane est un gestionnaire de mot de passe très répandu.
Plus d’informations sur DashLane.

DashLane : coffre fort à mot de passe
Dashlane : un gestionnaire de mot de passe

Bitwarden

Bitwarden est un logiciel de gestion de mot de passe opensource et libre.
Bien qu’il existe une version payante avec plus de fonctions.

Il existe sous la forme d’un client Windows, Linux ou MacOSX.
Bien entendu en extension pour Mozilla Firefox, Google Chrome et bien d’autres navigateurs WEB.
On peut enregistrer ses mots de passe, identité et carte de paiement.

Le gestionnaire de mot de passe Bitwarden

L’outil dispose de beaucoup d’options.
Par exemple vous pouvez protéger la connexion par une double authentification 2FA ( Google Authenticator, Duo Mobile).
Les clés de sécurité Yubikey sont supportés.

Le gestionnaire de mot de passe Bitwarden

Enfin un Docker est fournit ce qui permet de l’installer sur un serveur dédié ou un NAS pour de l’auto-hébergement.

Et le tutoriel complet pour l’utiliser.

KeePass

KeePass est un gestionnaire de mots de passe libre.
Il fonctionne sur Windows, MacOSX, Linux et Android.

Contrairement aux autres solutions, la base de données des mots de passe est géré par vous même.
Vous pouvez la stocker sur votre PC ou en ligne via des solutions Cloud.
Dans ce dernier cas, cela permet de partager votre coffre fort de mots de passe à plusieurs appareils.

Le coffre fort est chiffré (crypté) à travers du chiffrement asymétrique.
Vous protégez vos mots de passe avec un mot de passe principal ou un fichier de clé ou encore à travers votre compte Microsoft.

L’article suivant présente ce gestionnaire de mot de passe.

KeePass : un gestionnaire de mot de passe

KeePassXC

Voici un autre client KeePass avec une interface moderne et la prise en charge de clé de sécurité Yubikey pour une double authentification.
Il peut aussi faire un audit de vos mots de passe et indiquer les mots de passe faible.

KeePassXC : un gestionnaire de mot de passe

KeeWeb

C’est une alternative à KeePass pour gérer vos de passe.
Ce gestionnaire de mots de passe opensource peut aussi lire les bases de données KBDX.
Il permet de sécuriser vos identifiants et mots de passe avec une clé sécurisé Yubikey.

KeePass2Android (Android)

Il existe aussi des clients de type KeePass pour Smartphone Android.
Cela permet donc de partager un coffre fort de mot de passe sur plusieurs appareils.
Un des plus populaires et KeePass2Android.
Très simple d’utilisation et sûr.

Suivez ce tutoriel pour l’installer et l’utiliser au quotidien :

Firefox Lockwise

Firefox Lockwise est le gestionnaire de mot de passe inclus dans Mozilla Firefox.
Il permet :

  • Enregistrer et stocker vos mots de passe. Il vous aide à vous identifier sur les sites et services WEB.
  • En option, partager les mots de passe entre appareil avec la synchronisation (Android, IOS, Windows, etc)
  • Vous prévenir lorsque le mot de passe est compromis via Firefox Monitor

Le tutoriel du site :

Le gestionnaire de mot de passe de Google Chrome

Google Chrome possède aussi un gestionnaire de mot de passe de Google Chrome.
Il vous permet :

  • d’enregistrer, récupérer et consulter les mots de passe de vos sites internet
  • une connexion automatique pour s’identifier automatiquement sur les sites WEB.

L’article suivant présente son fonctionnement :

Autres gestionnaire de mots de passe

Les éditeurs d’antivirus s’engouffre aussi sur ce marché, par exemple, Avast! propose dans son antivirus gratuit un gestionnaire de mot de passe.
Vos mot de passe seront stockés sur les serveurs Avast!

Avast! et l'enregistrement de mot de passe
Avast! et l’enregistrement de mot de passe

La synchronisation des navigateurs

Tous les navigateurs WEB actuels proposent des fonctions de synchronisation.
Cela permet de synchroniser le profil du navigateur WEB sur des serveurs en ligne.
Ainsi, les cookies, l’historique et le cache internet sont stockés en ligne.
A partir de là, on peut utiliser ce profil sur différents appareils afin de retrouver son environnement.
Cela permet donc de partager votre navigateur WEB sur plusieurs appareils.
Par exemple, vous ouvrez un site sur un PC.
Ensuite sur votre téléphone grâce à la synchronisation de l’historique, vous retrouvez le site consulté.

Synchronisation de Mozilla Firefox

On peut aussi synchroniser les mots de passe.
Enfin avec le mot de passe principal de Mozilla Firefox, vous protégez l’accès en local sur votre appareil.
De ce fait, on peut très bien se passer des gestionnaires de mot de passe.

Les articles suivants expliquent comment faire :

Authentification en deux temps

Devant la facilité à récupérer les mots de passe et les vols de plus en plus fréquents de comptes en ligne. La majorité des services WEB (Yahoo, Microsoft, Google, Facebook, Paypal) proposent une authentification en deux temps, qui consiste à envoyer un SMS vers un mobile quand vous souhaitez vous connecter.
Vous trouverez sur ces deux tutoriels, la manière pour activer cette authentification en deux temps :

De manière plus générale, suivez cet article :

Conclusion

Soyez vigilant lorsque vous stockez vos mot de passe, si vous utilisez Mozilla Firefox, nous vous recommandons d’utiliser un mot de passe principal.
Pour d’autres tutoriels liés aux navigateurs WEB et notamment pour sécuriser vos navigateurs WEB, rendez-vous sur la page suivante : Tutoriel navigateur WEB

A lire aussi, autour du piratage des comptes utilisateurs en ligne : Piratage/Hack massif de comptes en ligne

Naviguer dans la série<< Les meilleurs gestionnaires de mots de passe : le dossierLastPass : un gestionnaire de mot de passe gratuit et sûr >>