Salut !
Avez-vous déjà eu accès au PC de quelqu'un qui utilise Chrome, un ''ordinateur partagé' par exemple' ? Voulez-vous utiliser plus tard ce navigateur comme si c'était lui qui s'en servait ?
Dans son blog, Eliott Kember décrit comment trouver facilement les mots de passe stockés par Chrome : Chrome’s insane password security strategy.
Quand un usager tape un mot de passe pour voir son courrier électronique ou accéder à des réseaux sociaux, le navigateur permet de garder l'historique de navigation et ces éléments répétitifs pour une utilisation ultérieure simplifiée, plus rapide.
Cette liste de ''démarrage de session'' ne semble pas protégée. Toute personne ayant accès à l'ordinateur qui les stocke peut les trouver et accéder sans restriction aux comptes utilisés.
Selon Eliott Kember ...
« There’s no master password, no security, not even a prompt that “these passwords are visible”. »
Il suffit en effet d'entrer l'URL des mots de passe dans la barre d'adresse pour accéder directement au gestionnaire de mots de passe. puis retrouver une liste des sites Internet enregistrés avec leur identifiant et leur mot de passe. Celui-ci n'est que mal masqué puisqu'il suffit d'un ''clic'' pour le voir en clair.
Justin Schuh ''Chrome browser security tech lead'' chez Google a fait à ce sujet une remarque que certains trouveront marrante et d'autres pathétique ou même franchement ridicule selon laquelle il ne faut pas donner à l'utilisateur un faux sentiment de sécurité et encourager les comportements risqués.
« We've also been repeatedly asked why we don't just support a master password or something similar, even if we don't believe it works. We've debated it over and over again, but the conclusion we always come to is that we don't want to provide users with a false sense of security, and encourage risky behavior. We want to be very clear that when you grant someone access to your OS user account, that they can get at everything. Because in effect, that's really what they get. »
Avec ce genre d'excuse il faut craindre que Google ne soit pas disposé à modifier ce système pour le sécuriser.
Si vous avez sous la main Chromium ou un autre dérivé de Chrome, à vous de vérifier si cette faille s'y trouve également.
@+
Note : Un navigateurs comme Firefox dispose d'un dispositif de sécurité. Il est possible de préciser une clé d'administrateur qui sera demandée avant d'accéder à ce type d'information.
Voir aussi → Google Chrome policy exposes user passwords on purpose: Here's how to prevent it (Jared Newman - PC World)