Le navigateur Google Chrome dispose d'un mécanime encourageant les utilisateurs à sauvegarder leurs identifiants et leurs mots de passe pour une connexion ultérieure simplifiée. Ces données sont ensuite synchronisées sur les autres machines depuis lesquelles l'internaute s'identifie au sein de Chrome. Le développeur Elliot Kember explique sur son blog personnel qu'il est bien trop simple pour un tiers d'accéder à ces informations.
Il suffit en effet d'entrer l'URL chrome://settings/passwords dans la barre d'adresse pour accéder directement au gestionnaire de mots de passe. Depuis cette page, il est possible de retrouver une liste des sites Internet avec pour chacun d'entre eux l'identifiant et le mot de passe masqué associé. Un clic sur le mot de passe permet ensuite de le voir en clair.
En plus d'être un peu moins facile d'accès qu'une simple URL, les navigateurs Firefox, Internet Explorer et Safari appliquent de leur côté un dispositif de sécurité supplémentaire. Le premier permet de configurer une clé d'administrateur, laquelle sera nécessaire avant d'accéder à ce type d'information. De leurs côtés, IE et Safari requièrent la saisie du mot de passe associé au compte utilisateur sur Windows et OS X.
Au cours d'une discussion sur le sujet, Justin Schuh, responsable de la sécurité de Google Chrome, explique que pour récupérer les mots de passe de cette manière il faudra de toute façon accéder à la machine de la victime. Il ajoute que les mécanismes de sécurité inhérents aux systèmes d'exploitation « ne sont pas fiables ».
Il n'en reste pas moins que dans certaines situations, par exemple sur un ordinateur partagé, il sera relativement facile de lancer la session Chrome d'un tiers puis de récupérer ses mots de passe. Sur son flux Twitter Tim Berners-Lee, considéré comme le créateur du Web, pointent l'explication fournie par Google. Reste à savoir si les prochaines moutures du navigateur rectifieront le tir.
Concernant la gestion des mots de passe, Google a d'autres idées dans les cartons :
- Google : ne vous souciez plus de vos mots de passe, Chrome s'en chargera
- Google planche sur l'authentification par USB
- Google : bientôt une pilule électronique à ingérer pour s'identifier ?