Ne laissez pas Chrome exposer vos mots de passe

Luttez-vous encore pour vous souvenir de votre mot de passe ? (Malgré nos efforts pour vous aider : « Entraînez votre cerveau : ne mettez pas votre mot de passe sur papier ! », « Créativité@CERN » et « Les maths à votre secours ! »). Alors, vous avez peut-être envisagé d’utiliser la fonctionnalité « Sauvez votre mot de passe » dans votre navigateur Chrome, Firefox ou Internet Explorer, pour stocker vos mots de passe Facebook, CERN, Twitter, Amazon, eBay... Mais prenez garde : ceux-ci pourraient être facilement lisibles !

 

Si la fonctionnalité correspondante est activée, Chrome, Firefox, Internet Explorer et autre vous permettent de retenir vos mots de passe pour des sites spécifiques une fois que vous vous êtes identifié une première fois. Cependant, comme les mots de passe sont stockés en texte clair, ils peuvent quand même être lus par n'importe qui ayant accès à votre ordinateur : pour Chrome, tapez juste « chrome://settings/passwords » et cliquez sur le mot de passe que vous voulez révéler ; pour Firefox, allez dans « Options > Sécurité > Mots de passe enregistrés » et cliquez sur « Afficher les mots de passe ». Internet Explorer ne fournit pas de méthode aussi « simple », mais d'autres outils le font(1).

Si vous êtes conscient des problématiques de sécurité et voulez rester hors de danger, n’entrez jamais votre mot de passe sur un ordinateur que vous ne possédez pas ou en lequel vous n'avez pas confiance. Les ordinateurs publics comme ceux des cybercafés, hôtels, conférences ou les ordinateurs près du bureau des utilisateurs du CERN, dans la bibliothèque du CERN ou du centre de formation du CERN sont de bons exemples. Si vous devez le faire, utilisez la navigation privée, par exemple, les fenêtres de navigation privées dans Chrome ou Firefox et la navigation « InPrivate » dans Internet Explorer. Envisagez aussi de changer votre mot de passe une fois que vous retournez sur votre ordinateur personnel. Pour stocker vos mots de passe sur votre propre ordinateur, protégez-les avec un mot de passe principal. Dans Firefox, l'option est dans « Options > Sécurité > Utiliser un mot de passe principal ». Pour Chrome et Internet Explorer, le mot de passe principal est lié au compte connecté. Autrement, vous pouvez aussi utiliser un gestionnaire de mots de passe générique tel que KeePass ou Password Safe(2).

Cependant, Google a fait une déclaration importante concernant les mots de passe, en soulignant que la sécurité de vos mots de passe sur votre propre ordinateur dépend fortement de qui y a accès. Et ils ont raison. La sécurité finale de vos mots de passe individuels dépend fortement du niveau de protection de votre ordinateur : vos applications, en particulier le système d'exploitation et votre navigateur, sont-elles mises à jour régulièrement ? De quelle façon naviguez-vous sur internet et gérez-vous vos emails (« Jekyll ou Hyde ? Mieux vaut naviguer en toute sécurité ») ? Et surtout, quelle est la force du mot de passe de votre compte ? Vous pouvez trouver des recommandations sur le choix d'un bon mot de passe sur notre site web.


(1) Vous trouverez ici un document très intéressant (en anglais) à ce sujet.

(2) Notez que leur utilisation engage votre responsabilité. Ni l’équipe de la Sécurité informatique ni le département IT ne cautionnent l’utilisation de ces outils.


Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).

Et bien sûr, n'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.

Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Computer Security Team