Une question courante sur le navigateur Google Chrome est "Pourquoi n'y a-t-il pas de mot de passe principal?" Google a (officieusement) a pris la position qu'un mot de passe principal fournit un faux sentiment de sécurité et la forme la plus viable de protection pour ces données sensibles est la sécurité globale du système.
Alors, à quel point vos données de mot de passe enregistrées sont-elles exactement sécurisées dans Google Chrome?
Affichage des mots de passe enregistrés
Chrome, comprend son propre gestionnaire de mots de passe accessible via Options> Données personnelles> Gérer les mots de passe enregistrés. Ce n'est pas nouveau et si vous autorisez Chrome à stocker vos mots de passe, vous êtes probablement déjà au courant de cette fonctionnalité.
Une bonne touche de sécurité mineure est que vous devez d'abord cliquer sur le bouton Afficher à côté de chaque mot de passe que vous souhaitez afficher.
Bien qu'il n'y ait aucune restriction pour accéder à cet écran (c'est-à-dire si vous avez accès au bureau sur lequel Chrome est installé, vous pouvez accéder aux mots de passe), il y a au moins une intervention de l'utilisateur requise pour afficher chaque mot de passe sans aucun moyen de les exporter en masse dans un fichier texte brut.
Où sont stockées les données de mot de passe?
Les données de mot de passe enregistrées sont stockées dans une base de données SQLite située ici:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Login Data
Vous pouvez ouvrir ce fichier (le nom du fichier est simplement «Données de connexion») à l'aide du navigateur de base de données SQLite et afficher le tableau des «connexions» qui contient les mots de passe enregistrés. Vous remarquerez que le champ «password_value» est illisible car la valeur est chiffrée.
Dans quelle mesure les données chiffrées sont-elles sécurisées?
Pour effectuer le cryptage (sous Windows), Chrome utilise une fonction API fournie par Windows qui rend les données cryptées uniquement déchiffrables par le compte utilisateur Windows utilisé pour crypter le mot de passe. Donc, essentiellement, votre mot de passe principal est le mot de passe de votre compte Windows. En conséquence, une fois que vous êtes connecté à Windows à l'aide de votre compte, ces données sont déchiffrables par Chrome.
Cependant, comme le mot de passe de votre compte Windows est une constante, l'accès au «mot de passe principal» n'est pas exclusif à Chrome car les utilitaires externes peuvent accéder à ces données - et les déchiffrer - également. À l'aide de l'utilitaire ChromePass de NirSoft disponible gratuitement, vous pouvez voir toutes vos données de mot de passe enregistrées et les exporter facilement dans un fichier texte brut.
Il est donc logique que si l'utilitaire ChromePass peut accéder à ces données, les logiciels malveillants exécutés en tant qu'utilisateur respectif puissent également y accéder. Quand le ChromePass.exe est téléchargé sur VirusTotal , un peu plus de la moitié des moteurs antivirus le signalent comme dangereux. Bien que dans ce cas l'utilitaire soit sûr, il est un peu rassurant de voir que ce comportement est à tout le moins signalé par de nombreux packages AV (bien que Microsoft Security Essentials ne soit pas l'un des moteurs audiovisuels qui l'ont signalé comme dangereux).
La protection peut-elle être contournée?
Supposons que votre ordinateur soit volé et que le voleur réinitialise votre mot de passe Windows afin de vous connecter nativement à votre installation. S'ils essayaient ensuite d'afficher les mots de passe dans Chrome ou d'utiliser l'utilitaire ChromePass, les données de mot de passe ne seraient pas disponibles. La raison est simple car le «mot de passe principal» (qui était le mot de passe de votre compte Windows avant de le réinitialiser de force en dehors de Windows) ne correspond pas et le décryptage échoue.
De plus, si quelqu'un copiait simplement le fichier de base de données SQLite du mot de passe Chrome et essayait d'y accéder sur un autre ordinateur, ChromePass afficherait des mots de passe vides pour la même raison expliquée ci-dessus.
Conclusion
En fin de compte, la sécurité des mots de passe enregistrés dans Chrome dépend totalement de l'utilisateur:
- Utilisez un mot de passe de compte Windows très fort. Gardez à l'esprit qu'il y a utilitaires capables de déchiffrer les mots de passe Windows . Si quelqu'un obtient le mot de passe de votre compte Windows, il a accès aux mots de passe de votre navigateur enregistrés.
- Protégez-vous contre les logiciels malveillants. Si les utilitaires peuvent accéder facilement à vos mots de passe enregistrés, pourquoi les logiciels malveillants ne le peuvent-ils pas?
- Enregistrez vos mots de passe dans un système de gestion de mots de passe tel que KeePass. Bien sûr, vous perdez la commodité de laisser le navigateur remplir automatiquement vos mots de passe.
- Utilisez un utilitaire tiers qui s'intègre à Chrome et utilise un mot de passe principal pour gérer vos mots de passe.
- Cryptez l'intégralité de votre disque dur à l'aide de TrueCrypt. Ceci est complètement facultatif et pour la protection ultra, mais si quelqu'un ne peut pas déchiffrer votre disque, il ne peut certainement rien en retirer.
L'essentiel est simplement de protéger votre système et vos mots de passe Chrome doivent également être raisonnablement sécurisés.
