Peut-on avoir confiance dans les fonctions de synchronisation de Chrome et Firefox pour retrouver ses mots de passe et autres données de navigation sur tous ses appareils de manière sécurisée ? Wladimir Palant répond par la négative.
Ce développeur qui a notamment créé Adblock Plus (il n’est plus impliqué dans son développement depuis un moment) a trouvé des faiblesses dans les systèmes de synchronisation proposés par Google et Mozilla.
Pour commencer, celui de Chrome n’impose pas la création d’une phrase secrète chiffrant les données de telle sorte que même Google ne puisse pas lire les données.
Mais même si vous paramétrez une phrase secrète, il apparaît que les techniques de chiffrement et de salage (PBKDF2-HMAC-SHA1) utilisées ne sont pas les plus fortes qui soit. Si un malandrin parvenait à dérober les données de synchronisation des serveurs de Google — ce qui n’est sûrement pas une mince affaire, tout de même —, il pourrait les déchiffrer en quelques jours seulement, voire moins, avec un ordinateur classique, selon Wladimir Palant.
Du côté de Firefox Sync, la faiblesse tient dans le fait qu’une partie du chiffrement est réalisée côté serveur, or quelqu’un qui se placerait entre le client et le serveur pourrait deviner relativement facilement les mots de passe. Le développeur a notifié Google et Mozilla de ces risques qui ne sont pas immédiats, mais qui remettent en cause la confiance que l’on peut placer en eux.
Et Safari ? Wladimir Palant n’a pas étudié la fonction de synchronisation du navigateur d’Apple qui exploite iCloud. Les mots de passe sont synchronisés dans le Trousseau iCloud qui est chiffré de bout en bout et qui ne peut donc être lu par Apple. Le Trousseau est chiffré en AES 256-bits, un algorithme réputé fort.
