Les navigateurs de plus en plus avancés dans la gestion des mots de passe

Stéphane Moussie |

Logiciels dans lesquels on est le plus amené à saisir ses mots de passe, les navigateurs web font enfin de la gestion de ces données sensibles l'une de leurs priorités. Le dernier exemple en date vient de Google.

Chrome

Désormais, lorsque vous saisissez votre identifiant et votre mot de passe sur un site web, Chrome est capable de vous prévenir si ces informations font partie d'une fuite malencontreuse, comme il y en a régulièrement. Le cas échéant, Chrome vous suggérera de les modifier afin d'éviter qu'un malandrin ne les utilise à votre insu.

Cette fonction de sécurité intégrée à Chrome prenait auparavant la forme d'une extension nommée Password Checkup. Google avait expliqué au début de l'année avoir constitué son propre stock de quatre milliards de données de connexion ayant fuité un jour — un stock sans doute plus important aujourd'hui.

La vérification des données de connexion compromises est en cours de déploiement pour les utilisateurs qui ont connecté leur compte Google à Chrome (une connexion que Google force par défaut depuis l'année dernière). Si vous n'en voulez pas, il est apparemment possible de la désactiver dans les paramètres Services Google/Synchronisation.

Sur Firefox, les améliorations du gestionnaire de mots de passe ont été tellement nombreuses cette année que la fonction a désormais un nom, Firefox Lockwise. Les mots de passe enregistrés dans le navigateur libre ne sont plus présentés dans une fenêtre étriquée, l'interface se rapproche de celle d'un gestionnaire dédié.

Firefox

Comme Chrome, Firefox (Lockwise) vous prévient si vos identifiants et mots de passe ont fuité. Pour cela, le navigateur exploite la base de données Have I Been Pwned?, que vous pouvez consulter librement et que 1Password utilise aussi pour rendre le même service.

La vérification se fait de manière sécurisée : Firefox n'envoie pas votre mot de passe en clair pour voir s'il figure dans la base de données. C’est seulement une partie de son hash (une empreinte calculée par un algorithme) qui est utilisée pour voir si elle figure dans la base (plus de détails ici).

Si Mozilla a doté son gestionnaire de mots de passe d'un nom, c'est surtout pour le proposer sous la forme d'une application à part entière disponible sur iOS et Android. Ainsi, si on utilise Firefox sur bureau mais qu'on préfère Safari sur mobile, on peut toujours retrouver ses mots de passe dans une app distincte.

En parlant de Safari, la dernière amélioration concernant le gestionnaire de mots de passe intégré remonte à l'année dernière. Depuis macOS Mojave et iOS 12, le navigateur (ou la section des réglages dédiée aux mots de passe dans iOS) indique quand un mot de passe est réutilisé sur plusieurs sites.

Safari

Si vous l'ignoriez encore, il faut éviter de réutiliser un mot de passe, puisque s'il est compromis, les piratages de comptes peuvent être multiples. Safari simplifie le changement de mot de passe en menant directement vers la page du site en question si c'est possible.

En fait, Apple concentre depuis quelque temps ses efforts sur un plan plus ambitieux qui consiste à faire disparaître les mots de passe. Disponible sur les plateformes d'Apple et sur le web, le système « Connexion avec Apple » permet de s'authentifier sur des sites et des apps sans avoir à créer de mot de passe, à l'instar de Google Sign-In et Facebook Connect.

Seulement, ces systèmes d'authentification restent encore assez minoritaires. Les mots de passe font toujours partie du quotidien, et ce pendant encore un bon moment, certainement. Il est donc nécessaire que les navigateurs renforcent leur gestion.

1Password

Les gestionnaires intégrés à Safari, Firefox et Chrome sont convenables pour les utilisateurs occasionnels. Leur principal avantage est d'être intégré justement : ils sont les plus à même d'assister les personnes qui ne se préoccupent pas de leur sécurité informatique ou qui n'ont pas les bons réflexes.

Les applications dédiées, comme 1Password, Dashlane ou encore LastPass, gardent néanmoins de sérieux atouts. Elles permettent de synchroniser plus largement ses mots de passe, de stocker d'autres données sensibles, de prendre en charge les seconds facteurs d'authentification, de contrôler les éléments de sa famille, etc. Ces coffres-forts numériques n'ont pas dit leur dernier mot.


avatar Kriskool | 

Ce qui devient pénible c’est lorsque la saisie du mot de passe doit se faire sur une page annexe de l’identifiant. Là les gestionnaires de mots de passe bottent souvent en touche! Et aussi les mots de passe à taper sur des pavés numériques virtuels pour lesquels les gestionnaires de mdp sont d’aucune aide. Je ne comprends pas d’ailleurs pourquoi ces mots de passe numériques subsistent encore... 🙄

avatar YoannGoW | 

Concernant les pavés numériques virtuel (des banques l'utilisent par exemple)
il s'agit d'une protection contre les Keylogger (analyseur de frappe clavier, clics souris...) qui peuvent savoir quels chiffres on tape... les chiffres virtuels changeants de place à chaque fois cela élimine les plus basiques des attaques possibles mais mieux vaut une authentification à 2 facteurs assurément car si la personne réussi à voir votre écran vous l'aurez quand même dans l'os.

avatar mcai | 

N’oublions pas le gestionnaire de mots de passes multiplateforme et
Open Source, KeePass, qui me rend bien service au quotidien

avatar FredMac92 | 

@mcai

Keepass sur iOS ? Note 2/5 ?

avatar R5555 | 

KeepassXC ou MacPass sur mac et StrongBox sur iOS, c'est la versionde Keepass la plus aboutie sur ce système. (Android a également un très bon Keepass)

avatar FredMac92 | 

@R5555

Merci.
Question :
Ils sont interopérables ? Un mot de passe dans l’un peut se mettre à jour sur l’autre ? (Via iCloud par ex)

avatar R5555 | 

C'est ça, iCloud, OneDrive... :)

avatar Eyquem | 

@mcai

Bitwarden : open source, multiplateforme et possibilité de le gérer sur son propre serveur, j’ai pas trouvé mieux...

avatar Ktv75 | 

Je n’ai toujours pas croisé de sign with Apple..

avatar Ramlec | 

@Ktv75

J’en ai vu 1 sur AlloCiné si mes souvenirs sont bons.

Les développeurs ont jusqu’à avril pour mettre à jour leurs apps et rentrer dans les clous d’Apple

avatar alexis83 (non vérifié) | 

@Ktv75

GIPHY l’utilise !

avatar Tomtomrider | 

@Ktv75

TikTok

avatar iBakarorea | 

Sur le trousseau iCloud, quelqu’un sait comment supprimer tous les mots de passe ? Sur iPhone

avatar raoolito | 

@iBakarorea

les sélectionner et les supprimer ?
mais quel interet  ? Au pire on peut fermer son compte icloud

avatar iBakarorea | 

@raoolito

Parce que j’ai des doublons, triplons etc et je veux remettre à zéro

avatar raoolito | 

@iBakarorea

Si j'avais le problème je ne supprimerai pas tous mes mots de passe c'est dangereux sauf à tous les connaître.
J'ai également pas mal de doublons et de vieux mots de passe il suffira qu'un jour je m'enlève les doigts du cul et que je me prenne une journée pour faire un grand nettoyage
Mais c'est vrai que c'est mon point de vue par rapport à mes mots de passe comme notre compte centralise celui de ma femme et de ma fille on risque de perdre beaucoup si je m'amuse à tout supprimer
Normalement il suffit de supprimer dans iCloud toutes les synchronisations liees au trousseau d'accès

avatar iBakarorea | 

@raoolito

J’ai tout dans 1Password donc pas grave si j’ôte tout. Je vais reconstituer la liste petit à petit 😄

avatar YuYu | 

@iBakarorea

Réglages/comptes et mots de passe

avatar iBakarorea | 

@YuYu

Merci 🙏🏻

avatar palmsnipe | 

Pendant des années, j'ai utilisé 1password, mais depuis le passage à l'abonnement, je suis passé sur enpass, puis ces derniers mois sur Keepass. C'est open source, ça gère le TOTP, et ça marche très bien quelque soit la plateforme. Mon utilisation a aussi changé. Alors que 1password gérait tous les mots de passe, maintenant j'ai une utilisation plus hybride, en combinant le gestionnaire de mots de passe des navigateurs pour les sites web, mais keepass apporte plus de flexibilité avec la possibilité de stocker des documents, TOTP, diverses notes, ...
Alors 1password est vraiment raffiné et l'application est excellente, mais payer 4$/mois pour un gestionnaire de mots de passe n'est pas justifié en usage personnel.
Utiliser uniquement les gestionnaires des navigateurs est trop limite, surtout que beaucoup de sites requièrent la double authentification.

avatar alexis83 (non vérifié) | 

@palmsnipe

J’ai fais installer keepass au travail et le fichier est sur notre serveur donc toute l’entreprise y a accès mais est ce que tu peux mettre ton fichier sur iOS et y accéder sur iOS (d’ailleurs tu utilise quel app ? Il y a en pas mal et certaine avec abonnement pour des fonctions de base...)
Mon but c’est de migrer mon compte perso 1Password vers keepass justement mais je n’ai pas trouvé l’authentification à deux facteurs dessus 🤨

avatar palmsnipe | 

@alexis83 Sur mac et windows, j'utilise KeepassXC (il existe MacPass qui est développé nativement et joli visuellement mais il ne supporte pas le TOTP), android Keepass2Android, et iOS Kypass. Tous supportent l'authentification à double facteur (il faut juste faire attention comment le TOTP est formaté parce que KeepassXC et Kypass le font différemment et du coup il y a 2 attributs avec le même code d'authentification mais le résultat est le même), et tout se synchronise via Google Drive (mais dropbox ou autre serveur devrait marcher tout aussi bien).
Il y a plusieurs applications iOS pouvant lire les bdd keepass, mais de ceux que j'ai testé, Kypass est le meilleur.

avatar alexis83 (non vérifié) | 

@palmsnipe

Super merci ! Je viens de voir pour la version iOS et pas d’abonnement c’est parfait et d’après le descriptif prend en charge iCloud Drive donc au top ! Pour la version mac ça m’a l’air tout aussi bien !

Je vais bien regarder ça ce week-end et surtout voir les différences concernant la double authentification car tu me dis que c’est différent entre les deux app mais que le résultat est le même.

En tout cas merci, si tout est concluant je migre tout vers keepass !

avatar macfredx | 

@palmsnipe

1Password existe toujours sans abonnement.

avatar palmsnipe | 

@macfredx oui, mais repayer une licence pour utiliser la dernière version de 1password n'est pas justifié pour mon usage. Voyant le chemin que ça prend entre le modèle d'abonnement, la direction du tout cloud et ses fonctionnalités exclusives, j'ai préféré aller voir ailleurs.

avatar Filou53 | 

Un peu hors sujet mais c'est aussi de la sécurité:

Moi, ce que j'aimerais savoir c'est comment 'Dé-spammer' une de mes adresses mails !

Je m'explique, je me suis rendu compte qu'une de mes adresses était très régulièrement considérée comme du spam chez les destinataires de mes mails...
(je précise que je n'ai pas l'habitude d'inonder mes correspondants de mails intempestifs ou à caractère pornographique ou que sais-je encore ;-)
En plus, même en leur demandant d'installer un filtre acceptant mon adresse, cela ne marche pas toujours.
Quelqu'un aurait une idée ? Merci d'avance

avatar benny_mac | 

C'est une adresse type gmail, iCloud,… ou ton propre nom de domaine ?

avatar Filou53 | 

C'est une mac.com ... et tous ses alias avec :-(

avatar benny_mac | 

tu utilise bien les serveur SMTP d'Apple pour l'envoi ?

avatar Filou53 | 

Non, celui de mon provider (VOO en l'occurrence - je suis en Belgique)

avatar benny_mac | 

C'est pour cela, mac.com possède un record SPF qui dit quels sont les serveur autorisé à envoyer des mails depuis @mac.com.
Les serveurs de Voo ne sont pas repris dans cette liste et donc, ton mail n'est pas légitime.

La seule solution est d'utiliser les serveur smtp d'Apple.

Nom du serveur : smtp.mail.me.com.
Protocole SSL obligatoire : oui.
Si un message d’erreur s’affiche lors de l’utilisation du protocole SSL, utilisez le protocole TLS ou STARTTLS.
Port : 587.
Authentification SMTP obligatoire : oui.
Nom d’utilisateur : votre adresse e-mail iCloud dans son intégralité (par exemple, emilyparker@icloud.com, et non emilyparker).
Mot de passe : utilisez le mot de passe pour application que vous avez généré lors de la configuration du serveur de messagerie entrant.

Tu peux évidement mettre ton adresse @mac.com dans le login au lieu de @iCloud.com vu que tu as une adresse @mac.com

https://support.apple.com/fr-be/HT202304

avatar Filou53 | 

Super !
Je vais tester cela.
Un grand merci à toi...
Depuis le temps que cela m’embête.

avatar Filou53 | 

Ton explication me paraît claire MAIS je ne parviens pas à changer le serveur smtp ...
Je vais dans Mail / préférences / sur mon compte Mac / onglet réglages serveur
Actuellement, il y a 'autres (Voo)'
Je clique à droite, il déroule et je crée un serveur Apple via l'option 'modifier la liste ...'
Quand je reviens sur le compte Mac, je choisi le nouveau serveur créé...
et dans les secondes qui suivent, Mail remet l'ancien ... ???
Pourquoi tant de haine ;-(

avatar Filou53 | 

doublon, sorry

avatar pagaupa | 

Bientôt la revente des mots de passe!

avatar CorbeilleNews | 

Si on utilise firefox mais qu'on préfère safari sur mobile,

C'est vrai que sur iOS, vu les limites imposées par Apple pour mettre des bâtons dans les roues des autres navigateurs et des utilisateurs, ont a vachement le choix...

avatar pioneer6014 | 

Je continue inlassablement de copier le lien, puis de le coller dans Firefox pour court-circuiter Safari. Mais c'est fatiguant...

avatar pioneer6014 | 

Y a-t-il un moyen simple de transférer ses mots de passe d'un application à l'autre ? (1Password vers FF Lockwise, par exemple.) J'imagine que c'est compliqué pour des raisons de sécurité...

avatar Castio | 

C'est aussi amusant et rafraîchissant de lire en matière de sécurité et de gestion des mots de passe que "le dernier exemple en date vient de Google", les GAFA étant mondialement réputées en matière de sincérité, de respect des données personnelles et de robustesse de leur organisation de sauvegardes des données collectées.
Parler de sécurité et utiliser des produits Google confine en effet à l'oxymore.

avatar Indecence | 

Apple ne sécurise pas plus. Et si on compare Android 10 vs iOS, ben Android gagne niveau sécurité. Point.

avatar Bigdidou | 

@Castio

« Parler de sécurité et utiliser des produits Google confine en effet à l'oxymore. »

Nul oxymore.
En terme de sécurité, c’est difficile pour le coup de mettre les GAFA dans le même panier.
Tu confonds comme d’habitude ici sécurité et confidentialité.
Et oui, concernant la sécurité des données que tu leur confient, Google et Amazon sont plutôt bien réputés.
Tu veux quelques clients de Google comme exemple de gens qui badinent pas avec la sécurité ?

avatar Castio | 

Comme si la confidentialité ne faisait pas partie d'une politique globale de sécurité!
Les grandes oreilles de Google plaisent manifestement toujours.
Apple ne sécurise effectivement pas mieux pour répondre en mm temps à l'autre intervention, c'est tout le pb de la téléphonie mobile au niveau mondial que d'être l'otage de la peste ou du choléra.
Je rêve du jour où Huawei sortira son OS.
J'ai récemment mis en service un smartphone/Android, c'est surréaliste de constater le nombre et la nature des droits que Goggle sollicite, jusqu'à consulter, modifier et rédiger en votre nom.
Il n'y a pas pratiquement pas de produits Google dont les fonctions ne sont pas commercialisés par des gens sincères.
À chacun de faire ses choix:
Chrome > Firefox.
Maps > Openstreet.
GMail > Mailo.
You Tube > framatube etc etc.

avatar Bigdidou | 

@Castio

« Comme si la confidentialité ne faisait pas partie d'une politique globale de sécurité! »

Ça n’est absolument pas le même débat.
La sécurité est nécessaire à la confidentialité mais ça s’arrête là.

avatar Castio | 

"Google et Amazon sont plutôt bien réputés."

Les marmottes ne sont pas prêtes d'être au chômage en ces périodes de forte consommation de chocolat.
https://www.lebigdata.fr/google-plus-ferme-urgence

avatar Bigdidou | 

@Castio

En voilà une nouvelle. Par contre, attention au CO2, elle est super congelée.
Et surtout sans aucun rapport.

avatar Castio | 

Les GAFA ont besoin de gens comme vous.

avatar Bigdidou | 

@Castio

« Les GAFA ont besoin de gens comme vous. »

Oh, de gens comme toi.
Qui confondent tout, racontent n’importe quoi et diluent le discours important.

avatar fbrcdrnd | 

Attention Chrome 79 pose problème avec OSX 10.10 et 10.11, le navigateur devient inopérant.
Une nouvelle mouture est en route.
https://support.google.com/chrome/thread/18507302?hl=en
https://support.google.com/chrome/thread/18507302?msgid=22785860

CONNEXION UTILISATEUR