Lors de nos recherches, nous sommes tombés sur un article du blog de la société Avast, spécialiste de la cybersécurité, intitulé Pourquoi ne jamais enregistrer vos mots de passe dans votre navigateur. Cet article de janvier 2017 incitait les internautes à ne pas utiliser les gestionnaires intégrés des navigateurs sous prétexte « qu'un pirate informatique n'aurait pas de mal à trouver ces mots de passe » car il serait « très facile [de les récupérer], et sans aucune connaissance technique ».

Nous avons pensé que cet article envoyait un très mauvais message aux internautes, complètement à l'opposé de nos recommandations, et pourrait les inciter à ne pas se munir d'un gestionnaire pour de mauvaises raisons.

Explications

L'auteur de l'article oublie de préciser que pour accéder aux mots de passe enregistrés dans le navigateur, le pirate doit avoir accès à la machine de l'utilisateur, avec la session ouverte1. Donc pas si facile après tout, ni à la portée de tous.

Il est vrai que si quelqu'un laisse sa machine allumée sans surveillance, une personne malintentionnée pourrait consulter aisément les mots de passe du navigateur. Dans ce cas, ce n'est pas la sécurité du gestionnaire qui est mise en cause, mais l'accès physique au matériel.

Les gestionnaires apportent une réponse face à une menace extérieure qui tenterait de trouver le mot de passe de l'utilisateur mais ne sont pas la solution à tout. Son utilisation doit néanmoins être plébiscitée, car il apporte une couche de sécurité et un confort pour l'utilisateur, comme nous l'avons écrit dans l'article « Laissez vos utilisateurs utiliser leur gestionnaire de mots de passe » ou expliqué dans la vidéo « Les techniques des hackers pour trouver les mots de passe et les façons de s'en protéger ».

Enfin, le fait que l'article ait été écrit en 2017 ne change pas grand-chose, les recommandations dans ce domaine n'ayant que très peu évoluées ces dernières années.

Réponse

Les équipes d'Avast ont été contactées et ont choisi de retirer l'article.

Remerciements

eWatchers.org remercie Avast pour sa coopération et son soutien à notre mission de promotion des bonnes pratiques sur Internet.

Nous tenons particulièrement à remercier @Avast USA qui a été très réactif et nous a permis d'entrer en relation avec les équipes de Avast France.

Notes et références

  1. Les mots de passe enregistrés dans les gestionnaires des navigateurs ne sont pas stockés en clair sur le disque mais sont chiffrés à l'aide du mot de passe de la session de l'utilisateur. C'est notamment le cas pour Google Chrome (source) et Apple Safari (source). Mozilla Firefox semble travailler vers la même solution (source). Firefox propose aussi la possibilité de définir un mot de passe principal à son gestionnaire intégré appelé Firefox Lockwise. Ce mot de passe principal est utilisé pour restreindre l'accès aux mots de passe enregistrés et pour les chiffrer sur le disque (source).