Dans quelle mesure les mots de passe du navigateur Chrome que vous avez enregistrés sont-ils sécurisés?
Une question fréquente à propos du navigateur Google Chrome est la suivante: "Pourquoi n'y a-t-il pas de mot de passe principal?" Google a (officieusement) adopté la position selon laquelle un mot de passe principal fournit un faux sentiment de sécurité et la forme de protection la plus viable pour ces données sensibles est: grâce à la sécurité globale du système.
Le niveau de sécurité de vos données de mot de passe enregistrées dans Google Chrome est donc parfaitement sécurisé.?
Affichage des mots de passe enregistrés
Chrome inclut son propre gestionnaire de mots de passe, accessible via Options> Objets personnels> Gérer les mots de passe enregistrés. Ce n'est pas nouveau et si vous autorisez Chrome à stocker vos mots de passe, vous êtes probablement déjà au courant de cette fonctionnalité..
Une petite touche de sécurité mineure est que vous devez d'abord cliquer sur le bouton Afficher en regard de chaque mot de passe que vous souhaitez afficher..
Bien qu'il n'y ait aucune restriction pour accéder à cet écran (par exemple, si vous avez accès au bureau sur lequel Chrome est installé, vous pouvez accéder aux mots de passe), l'utilisateur doit au minimum intervenir pour afficher chaque mot de passe sans possibilité de les exporter en bloc. dans un fichier texte brut.
Où sont les données de mot de passe stockées?
Les données de mot de passe enregistrées sont stockées dans une base de données SQLite située ici:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Données utilisateur \ Par défaut \ Données de connexion
Vous pouvez ouvrir ce fichier (le nom du fichier est simplement «Données de connexion») à l'aide de SQLite Database Browser et afficher le tableau «Connexions» contenant les mots de passe enregistrés. Vous remarquerez que le champ "password_value" est illisible car la valeur est cryptée.
Comment sécuriser les données cryptées?
Pour effectuer le chiffrement (sous Windows), Chrome utilise une fonction API fournie par Windows, qui permet aux données chiffrées de ne pouvoir être déchiffrées que par le compte d'utilisateur Windows utilisé pour chiffrer le mot de passe. Donc, essentiellement, votre mot de passe principal est votre mot de passe de compte Windows. Par conséquent, une fois que vous êtes connecté à Windows avec votre compte, ces données sont déchiffrables par Chrome..
Toutefois, étant donné que le mot de passe de votre compte Windows est une constante, l'accès au «mot de passe principal» n'est pas exclusif à Chrome, car des utilitaires externes peuvent accéder à ces données - et les déchiffrer - également. À l'aide de l'utilitaire gratuit ChromePass de NirSoft, vous pouvez afficher toutes vos données de mot de passe enregistrées et les exporter facilement dans un fichier texte..
Il est donc logique que si l'utilitaire ChromePass peut accéder à ces données, les logiciels malveillants exécutés en tant qu'utilisateur respectif peuvent également y accéder. Lorsque ChromePass.exe est chargé sur VirusTotal, un peu plus de la moitié des moteurs antivirus le signalent comme dangereux. Bien que dans ce cas l’utilitaire soit sûr, il est un peu rassurant de voir que ce comportement est au moins signalé par de nombreux packages AV (bien que Microsoft Security Essentials ne soit pas l’un des moteurs qui l’a signalé comme dangereux)..
Peut-on contourner la protection?
Supposons que votre ordinateur soit volé et que le voleur réinitialise votre mot de passe Windows afin de vous connecter en mode natif à votre installation. S'ils essayaient par la suite d'afficher les mots de passe dans Chrome ou d'utiliser l'utilitaire ChromePass, les données de mot de passe ne seraient pas disponibles. La raison en est simple, car le «mot de passe principal» (qui était le mot de passe de votre compte Windows avant qu'il ne soit forcé de le réinitialiser hors de Windows) ne correspond pas, de sorte que le déchiffrement échoue..
En outre, si quelqu'un copiait simplement le fichier de base de données SQLite du mot de passe Chrome et essayait d'y accéder sur un autre ordinateur, ChromePass afficherait des mots de passe vides pour la même raison que celle expliquée ci-dessus..
Conclusion
En fin de journée, la sécurité des mots de passe enregistrés dans Chrome dépend entièrement de l'utilisateur:
- Utilisez un mot de passe très fort pour votre compte Windows. N'oubliez pas qu'il existe des utilitaires capables de déchiffrer les mots de passe Windows. Si quelqu'un obtient le mot de passe de votre compte Windows, il aura accès aux mots de passe de votre navigateur enregistrés..
- Protégez-vous contre les logiciels malveillants. Si les utilitaires peuvent accéder facilement à vos mots de passe enregistrés, pourquoi les logiciels malveillants ne peuvent-ils pas?
- Enregistrez vos mots de passe dans un système de gestion de mots de passe tel que KeePass. Bien sûr, vous perdez la commodité de laisser le navigateur saisir automatiquement vos mots de passe..
- Utilisez un utilitaire tiers intégré à Chrome et utilisant un mot de passe principal pour gérer vos mots de passe..
- Cryptez l'intégralité de votre disque dur à l'aide de TrueCrypt. Ceci est complètement optionnel et très protecteur, mais si quelqu'un ne peut pas déchiffrer votre disque, il ne peut sûrement rien en retirer..
L'essentiel est simplement de protéger votre système et vos mots de passe Chrome doivent également être raisonnablement sécurisés..
Téléchargez ChromePass de NirSoft
Téléchargez le navigateur SQLite à partir de Sourceforge