Lorsque vous surfez, certains sites et services réclament de vous identifier.
En général, cela se passe par la saisie d’un utilisateur et mot de passe correspond à un compte que vous avez créer sur le site.
Les navigateurs WEB proposent alors d’enregistrer ces informations afin de vous éviter à les saisir ultérieurement.
Quels sont les risques et comment gérer ces données sensibles (utilisateur/mot de passe) pour chaque navigateur WEB.
Table des matières
Si vous utilisez des mots de passe forts, il n’est pas simple de les mémoriser.
Les recommandations pour un bon mot de passe sont données sur la page : Comment choisir un mot de passe fort et sécurisé (et sans souvenir)
Pour faciliter le surf, vous pouvez mémoriser les mots de passe dans les navigateurs internet.
Comme évoqué dans l’introduction, lorsque vous saisissez des identifiants/mot de passe pour accéder à un compte sur un site WEB, le navigateur WEB peut vous proposer d’enregistrer ces derniers.
Si vous acceptez, lorsque vous allez à nouveau accéder à ce même site, le nom d’utilisateur et mot de passe vont s’inscrire automatiquement :
Cela signifie que votre navigateur WEB stocke ses informations de connexion afin de proposer un saisie automatiquement.
En outre, c’est aussi pour cela, qu’il faut bien que chaque utilisateur de Windows ait son propre compte d’utilisateur Windows; ainsi une personne pourra pas s’identifier sur un site à votre place.
Enfin, si le navigateur peut retrouver les mots de passe alors un programme externe aussi ce qui peut permettre de voler ces données.
Sécurité et vol des mots de passe
Les accès à divers sites sont très prisés des cybercriminels qui peuvent revendre ces derniers ou se connecter à vos comptes internet pour voler d’autres accès ou directement de l’argent.
Ce qu’il faut bien comprendre, c’est que lorsque vous enregistrez vos identifiants et mots de passe dans vos navigateurs WEB, un malware/virus peut très facilement aller lire ces derniers.
Le problème principal vient du fait que les mots de passe sont stockés en clair ou que la méthode pour les récupérer est connue, du fait que le navigateur WEB doit pouvoir y accéder pour saisir automatiquement ce dernier.
Un billet évoque ces vols de mot de passe, suivre ce lien : Les vols de mot de passe sur les navigateurs WEB
Cette vidéo montre combien il est facile de récupérer les mots de passe stockés dans les navigateurs WEB.
Les méthodes pour voler les mots de passe
Divers méthodes pour subtiliser les mots de passe peuvent être utilisés par les logiciels malveillants, parmi lesquelles :
- Aller lire directement dans la base des mots de passe du navigateur WEB
- intercepter les transactions réseaux durant la phase d’authentification sur le site
- voler les mots de passe lorsque vous les saisissez sur le navigateur WEB (keylogger).
- Effectuer des captures d’écran lors de la saisie du mot de passe, dans le cas d’une utilisation d’un clavier virtuel.
Il va d’ailleurs de même pour les cookies qui peuvent servir à s’authentifier sur un site WEB.
Comment s’en protéger
Selon le navigateur WEB, les solutions pour se protéger du vol de mot de passe sont différents.
- Pour Mozilla Firefox, vous pouvez utiliser le mot de passe principal. Pour cela, suivre la page : Firefox et mot de passe principal : protéger ses mots de passe
- Du côté de Google Chrome aucune option en interne ne permet de protéger des mots de passe stockés. Le plus simple est donc d’utiliser un gestionnaire de mot de passe.
Pour supprimer les navigateurs internet, vous pouvez suivre notre article dédié : Comment supprimer un mot de passe enregistré sur Chrome, Firefox ou Edge
Coffre fort de mot de passe
Au lieu de stocker vos mots de passe sur vos navigateurs WEB, il existe des coffres forts à mot de passe ou gestionnaire de mot de passe.
Il s’agit d’applications qui permettent de stocker vos mot de passe en les chiffrant, le stockage peut se faire en local sur l’ordinateur ou à distance.
Ces solutions ne protège pas contre les keylogger ou autres virus mais protège contre le programme malicieux qui tentent de voler les mots de passe contenus dans les navigateurs WEB.
Keepass par exemple permet de stocker vos mots de passe sur votre ordinateur.
Gestionnaire de mots de passe en ligne
Les gestionnaires de mots de passe enregistrent les identifiants et mots de passe sur un compte en ligne.
A partir d’une extension sur le navigateur WEB, il est possible de saisir automatiquement ces derniers.
Les gestionnaires de mots de passe vous indique aussi quels sont les mots de passes faibles, qu’il faut changer.
Les avantages :
- Saisi des identifiants et mot de passe beaucoup plus faibles, rien est sur l’ordinateur
- Comme tout est enregistré, vous pouvez utiliser des mots de passe forts sans vraiment connaître vos mots de passe.
Les inconvénients :
- Les identifiants et mots de passe sont centralisés. Ainsi, si la base de données du gestionnaire de mots de passe est piratée, vos accès sont en péril. Sachez que pour certains cela est déjà arrivé : piratage LastPass – A lire Piratage/Hack massif de comptes en ligne
- Pensez que vous augmentez les chances d’avoir vos mots de passe dans la nature, puisque vous passez par un intermédiaire.
LastPass
LastPass lui stocke les informations sur des serveurs et non pas sur votre ordinateur.
Ce gestionnaire de mot de passe fonctionne sous forme d’extension sur vos navigateurs WEB.
Dashlane
DashLane est un gestionnaire de mot de passe très répandu.
Plus d’informations sur DashLane, se reporter à la page : tutoriel Dashlane
Autres gestionnaire de mots de passe
Les éditeurs d’antivirus s’engouffre aussi sur ce marché, par exemple, Avast! propose dans son antivirus gratuit un gestionnaire de mot de passe.
Vos mot de passe seront stockés sur les serveurs Avast!
Authentification en deux temps
Devant la facilité à récupérer les mots de passe et les vols de plus en plus fréquents de comptes en ligne. La majorité des services WEB (Yahoo, Microsoft, Google, Facebook, Paypal) proposent une authentification en deux temps, qui consiste à envoyer un SMS vers un mobile quand vous souhaitez vous connecter.
Vous trouverez sur ces deux tutoriels, la manière pour activer cette authentification en deux temps :
Conclusion
Soyez vigilant lorsque vous stockez vos mot de passe, si vous utilisez Mozilla Firefox, nous vous recommandons d’utiliser un mot de passe principal.
Pour d’autres tutoriels liés aux navigateurs WEB et notamment pour sécuriser vos navigateurs WEB, rendez-vous sur la page suivante : Tutoriel navigateur WEB
A lire aussi, autour du piratage des comptes utilisateurs en ligne : Piratage/Hack massif de comptes en ligne
Salut,
Toujours sympas de lire tes posts de qualités. Bon moi j’ai vraiment un gros dilemme avec la gestion de mes mots de passe.
J’utilise Keepass mais si je veux y avoir accès lors de mes déplacements ou au boulot, soit je le met sur une clé USB. Inconvénient est que beaucoup de poste de travail pro ne les acceptent plus. En plus ça pose de sérieux souci de synchro et de backup. C’est lourd à gérer.
La seconde solution est de mettre votre Keepass en ligne sur un hebergeur de type dropbox et là on revient au problème du piratage.
Aujourd’hui mon conseil pour être tranquille à 95% c’est de séparer les bases de données. Pour tout ce qui touche au paiement il faut tout mettre dans une base à part et la garder sur un support amovible.
Pour le reste utilisez last pass c’est très bien et si vous vous faites piquer les identifiants pour des forum ce n’est pas bien grave.
Ah et autre chose, n’utilisez pas le même e-mail pour les forum que pour vos données sensibles.