Votre navigateur divulgue vos mots de passe !

Scène classique : « Tu peux me prêter ton ordi pour que je regarde mes e-mails? »

En toute confiance, vous prêtez votre ordi, navigateur ouvert. Vous prenez soin de ne pas regarder l’écran pendant quelques minutes: les e-mails, c’est personnel.

Grave erreur… Quelques secondes de liberté auront suffit à n’importe qui pour connaître vos mots de passe les plus utilisés.

Dans Firefox, menu Edition > Préférences > onglet Sécurité > bouton « Afficher les mots de passe… » > bouton « Afficher les mots de passe » et le tour est joué.

Epiphany a le même comportement. Menu Edition > Données personnelles > onglet Mots de passe.

Je méconnais les autres nauvigateurs.

Comment s’en protéger?

Firefox donne la possibilité de donner un mot de passe principal nécessaire pour accéder aux différents mots de passe stockés dans le navigateur. Belle initiative mais lourde à l’utilisation puisque vous devez taper ce mot de passe principal à chaque fois que vous voulez pré-remplir un formulaire de connection sur une page web.

Epiphany n’a pas de moyen de protection à première vue.

A mon sens, il faudrait au moins protéger l’accès à la liste de mot de passe par le mot de passe de session par défaut.

14 réactions sur “ Votre navigateur divulgue vos mots de passe ! ”

  1. Anonymous

    ou simplement utiliser un compte « guest » ..

  2. Renaud

    Le mot de passe principal ne se saisit pas à chaque fois, mais:
    – une seule fois par session pour utiliser les mdp enregistrés (à la première demande);
    – systématiquement pour accéder à la liste des mots de passe dans les options.

  3. ArthurC

    « – systématiquement pour accéder à la liste des mots de passe dans les options. »

    Je viens de tester sur firefox 3 beta 3 et on a besoin de saisir qu’une fois le mot de passe principal pour rentrer dans la liste des mots de passe, sortir et re-rentrer.

  4. Ducatman

    il me semble que le soucis c’est surtout quand tu veux accèder à un site qui à la mot de passe enregistré dans le navigateur ! si tu as protégé ta liste il te demande le mot de passe à chaque fois !

    à l’époque c’était ça mais maintenant j’ai pas testé depuis :p

  5. David

    Salut,
    pour firefox, j’utilise le plugin master password timeout qui permet de te redemander le mot de passe principal au bout d’un certain délai et je trouve ça pratique…
    Certes, il faut retaper plusieurs fois le mot de passe mais ça augmente la sécurité

  6. Osku

    D’où peut être l’intérêt d’avoir un compte « guest » ou « invité » sur sa machine ?
    D’autant qu’il y a un chouette applet pour switcher entre les comptes..
    -> Vérouiller sa session
    -> Ouvrir la nouvelle pour le copain.

    ça prend 1 minute et les mdp sont à l’abri ;)

  7. Sinklar

    La faute n’en revient nullement à Firefox ou Epiphany, mais ça tient plutôt de la responsabilité personnelle et individuelle. C’est comme de garer sa voiture sur un parking public en la laissant ouverte : même le meilleur des amis peut partir avec sans prévenir. ;-)

  8. Anonymous

    Si l’appli tourne déjà dans une session, j’ai du mal à comprendre pourquoi ajouter une nouvelle authentification.

    Comme sous mac, seul les opérations sensibles devraient revérifier l’identité de l’utilisateur en se basant sur le mot de passe de session.

    Le risque vient justement des mauvaises habitudes : pas de blocage de session au bout de 5mn d’inactivité ou de départ, donner l’accès à son ordinateur ou ses applis à une autre personne (merci le compte invité)…

  9. Tuxce

    Belle initiative mais lourde à l’utilisation puisque vous devez taper ce mot de passe principal à chaque fois que vous voulez pré-remplir un formulaire de connection sur une page web
    il ne le demande qu’une fois, mais de toute facon, la meilleure solution de protéger ses données si on ne fait pas confiance, c’est un autre compte, car même si l’affichage des mots de passe en clair est protégé depuis le menu de firefox, il est toujours possible de les lire depuis le formulaire prérempli.

  10. Samaelh

    +1 pour le compte guest

    Ou alors aller vers une intégration aux gestionnaires de mots de passe de Gnome/KDE ?

  11. Eon

    @billyboylindien : !!! bon…ok -> compte invité.

    Mais c’est contraire à l’aspect collaboratif que l’on peut avoir d’un ordinateur. Parfois, on demande l’aide sur sa session parce qu’on a besoin des fichiers présents dessus ou pour remplir un formulaire etc..

    Gnome et KDE ont un gestionnaire de clés et mots de passe. On ne peut pas s’en servir pour les pages web plutot que de passer par celui des navigateurs?

  12. djibux

    C’est ce que fait kwalletmanager sous KDE. Par contre il faut bien penser à le fermer si on prête son PC.

  13. Tuxicoman

    Le mac a un compte « invité » qui s’auto détruit à la fin de la session. Je trouve cela bien vu.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.