Publié par Guillaume Champeau, le Lundi 18 Août 2014

Comment Chrome envoie tous vos mots de passe à Google

Le saviez-vous ? Lorsque vous vous connectez à Chrome avec votre compte Google, le navigateur envoie par défaut l'ensemble de vos mots de passe des sites tiers sur les serveurs de Google, pour vous permettre de les retrouver. Un risque considérable pour la sécurité, que la firme documente très mal.

Désormais, lorsque vous vous connectez à votre compte Google avec Chrome ("Menu" / "Se connecter à Chrome..."), Google synchronise par défaut l'ensemble des éléments enregistrés dans le navigateur avec ses serveurs, y compris la liste des mots de passe mémorisés localement. Le tout avec une transparence largement perfectible, pour ne pas dire plus.

En effet, lorsque l'internaute demande sur Chrome à se connecter à son compte pour "accéder à vos favoris, à votre historique et à vos paramètres sur tous vos appareils", le formulaire de connexion suivant apparaît, sans que la case "Sélectionner les éléments à synchroniser" ne soit cochée par défaut :

Une fois la connexion effectuée, un message apparaît en haut à droite du navigateur pour prévenir l'internaute que désormais, "vos favoris, votre historique et d'autres paramètres seront synchronisés avec votre compte Google". Il n'est rien dit sur les mots de passe, qui sont inclus dans ces "autres paramètres" :

Il faut que l'internaute soit curieux et clique sur le lien vers les "paramètres avancés" pour en apprendre davantage et découvrir que par défaut, Chrome partage l'ensemble des mots de passe de l'utilisateur avec ses serveurs, et qu'il le fait d'une manière étrangement sécurisée. En effet, il propose par défaut à l'utilisateur de chiffrer ces mots de passe "avec vos certificats Google", c'est-à-dire avec la clé que Google connaît. La firme de Mountain View est ainsi capable, au moins en théorie à défaut de le mettre en pratique, de déchiffrer l'ensemble des mots de passe et d'accéder aux comptes des utilisateurs.

Si lui-même ne souhaite pas exploiter ces mots de passe, Google peut recevoir l'ordre de les communiquer aux autorités judiciaires ou administratives qui les demandent. Mais surtout de façon plus pragmatique, pour qui synchronise son compte avec Chrome, la découverte par un tiers du mot de passe d'un compte Gmail peut donner l'accès à l'ensemble des comptes utilisés sur Facebook, eBay, Yahoo, etc. Plus que jamais, le compte Gmail devient le saint-graal des hackers.

Ce n'est qu'une option particulière qui permet d'enregistrer ses mots de passe avec "votre propre phrase secrète de synchronisation", qui n'est pas connue de Google :

Publié par Guillaume Champeau, le 18 Août 2014 à 17h07
 
83
Commentaires à propos de «Comment Chrome envoie tous vos mots de passe à Google»
Inscrit le 26/01/2010
152 messages publiés
C'était ça le vol des 1,2 milliard de mots de passe.
[message édité par SurfingBird le 18/08/2014 à 17:21 ]
Inscrit le 23/07/2009
30 messages publiés
qu'en est-il de firefox sync?
[message édité par djsunn le 18/08/2014 à 17:27 ]
Inscrit le 12/04/2014
252 messages publiés
il a la même utilités par contre ce service est bien moins mise en avant que sur chrome (dans un menu plutôt que sur l'onglet de démarrage).


en ce qui concerne firefox sync, le fait que les mots de passe soit concernés est affiché plus clairement aussi.

google:
"Connectez-vous pour accéder à vos favoris, à votre historique et à vos paramètres sur tous vos appareils. "

mozilla:
"Connectez-vous pour synchroniser vos onglets, marque-pages, mots de passe et bien plus."
[message édité par ar7awn le 18/08/2014 à 17:47 ]
Inscrit le 25/04/2008
545 messages publiés
Firefox sync est sûr: https://blog.mozilla...security-model/

Mozilla ne peut pas décrypter vos mots de passes, ils sont stockés de manière chiffrée sur les serveurs de Mozilla (tout comme Google) mais c'est le navigateur qui chiffre les données et le mot de passe n'est jamais communiqué à Mozilla, avec Google, on ne sait pas, c'est pas documenté.
Inscrit le 11/02/2009
401 messages publiés
Alors comment ils font pour te connecter a un site web? ils leur envoient pas leur version du mot de passe crypté, il faut bien qu'il le soit a un moment ou non. Donc j'ai du mal a croire qu'ils ne peuvent pas le lire. Ils sont stocker crypté, mais ils ont la clé
Inscrit le 23/11/2011
205 messages publiés
Avec firefox sync tu peux héberger les données sur ton propre serveur.
Inscrit le 05/04/2011
579 messages publiés
Mouais ... ça me choque pas. Le choix est donné à chaque étape de faire confiance à Google ou non. C'est bien mieux géré que la plupart des sites que vous visitez.

Sur Numérama, comment sont stockés les mots de passe ?
Inscrit le 10/07/2008
3474 messages publiés
Numerama n'a pas mon mot de passe Paypal.
Inscrit le 05/04/2011
579 messages publiés
Une majorité de gens utilisent des mots de passe identiques pour chaque plate-forme (oui oui, une majorité).
Inscrit le 09/04/2009
225 messages publiés
C'est pas la question.
Inscrit le 20/01/2012
382 messages publiés
En même temps si vous enregistrez votre mot de passe paypal, on peut plus grand chose pour vous.
Inscrit le 12/04/2014
252 messages publiés
Sur numerama les mdp stockés sont seulement ceux de numerama, en l’occurrence ça na rien a voire avec le sujet.

[édite]  grillé...
[message édité par ar7awn le 18/08/2014 à 17:36 ]
Inscrit le 05/04/2011
579 messages publiés
Cf post qui t'as grillé
Inscrit le 23/12/2011
383 messages publiés
Et le jour où ça saute, c'est tous les comptes de dizaines de millions de personnes qui sautent. On parle pas des quelques milliers d'inscrits sur Numerama, qui ne concernent que Numerama, rien d'autre.
Inscrit le 05/04/2011
579 messages publiés
C'est un des inconvénients de la centralisation : Si on coupe à un endroit, y a au moins un des deux bouts qui est mort.
Inscrit le 13/08/2002
24969 messages publiés
Pour répondre : sur Numerama, nous ne stockons pas vos mots de passe. On stocke uniquement une signature de votre mot de passe (hash), calculée avec une formule maison (hash salé). Si la signature de votre mot de passe au moment de sa saisie correspond à la signature qu'on a en magasin, alors vous avez accès. Sinon, non. 
Alors que pour Google, il s'agit bien de stocker les mots de passe d'une manière qui permet de les récupérer en clair. Chose impossible pour nous, même pour votre seul mot de passe Numerama.
Inscrit le 05/04/2011
579 messages publiés
Merci. C'était une vraie question. C'est une bonne chose d'avoir des vrais hash.
Inscrit le 12/04/2014
1585 messages publiés
Ca c'est la théorie, voire la propagande et on est obligé d'y croire. ce n'est pas propre à Numérama, c'est propre à tous les sites : on est obligé de croire sur parole les mecs qui nous expliquent que les mots de passe ne sont pas enregistrés en clair.

Sauf que les mots de passe arrivent en clair sur le serveur Numerama et que même si le grand chef est persuadé (parce que son informaticien lui a dit) que les mots de passe ne sont pas stockés en clair, en fait, il n'en sait rien du tout.

Seul l'administrateur du système sait réellement ce qu'il en est. Et encore !!! Un stagiaire passé par là peut très bien avoir posé une bretelle pour enregistrer les mots de passe. Et comme ces codes PHP achetés tout fait pour faire des forums sont un véritable bordel et qu'on ne s'amuse pas à les vérifier tous les jours, bref on n'en sait rien.

De toute façon, on n'aura strictement aucune garantie tant que le système fonctionne comme actuellement. Je redis encore une fois ce que j'ai déjà dit et écrit : un mot de passe NE DOIT PAS voyager. Un mot de passe doit être purement local. C'est uniquement une demande d'autorisation qui doit se transmettre entre le browser et le serveur. Ou alors un mot de passe crypté localement.

Il y a des solutions très simples que même Numerama pourrait mettre en oeuvre : du javascript qui coderait l'identifiant et le mot de passe sur la machine de l'utilisateur, puis qui enverrait le hash à Numerama. Et en plus comme c'est du javascript, tout le monde pourrait vérifier que c'est ce hash qui est envoyé.
[message édité par bailey- le 18/08/2014 à 18:44 ]
Inscrit le 04/07/2009
53 messages publiés
Et comme ça si la base est hacké on connait directement le hash a envoyé pour se connecter, il suffit de bypasser le javascript... pas sur que ce soit avancé dans la sécurité. Sinon hashage niveau client et rehashage avec sel niveau serveur...
Perso pour un site lambda j'ai pas besoin d'autant de précaution.
Inscrit le 12/04/2014
1585 messages publiés
Bien entendu, hashage également sur le serveur. Mais ça, tu ne peux jamais le vérifier.

C'est pour ça qu'il va vraiment falloir que le W3C se penche sérieusement sur la question et arrête avec ces mots de passe qui circulent en clair. C'était une solution qui étaient valable il y a 30 ans, mais qui ne correspond plus à l'usage actuel d'Internet.

Quand au niveau de protection pour un site lambda ou pas, il doit être le même : parce que justement plein de gens utilisent un nombre limité de mots de passe. Qui d'ailleurs peut se permettre d'avoir un mot de passe par site et de les retenir par coeur ?
Inscrit le 04/07/2009
53 messages publiés
C'est facile de mettre des mots de passe différents, on demande à Google de s'en souvenir pour nous :x
Faut reconnaître que la sécurité des mots de passe on tourne souvent en rond, un unique ou une appli qui s'en souvient à notre place.
Inscrit le 12/04/2014
1585 messages publiés
C'est pour ça que les mots de passe ne doivent pas circuler. Le code de ta carte bleue, c'est uniquement 4 chiffres. Et ça fonctionne très bien parce que d'une part le code ne quitte pas l'appareil dans lequel elle est introduite et parce que d'autre part, en cas d'erreurs successives, la carte est avalée.

Les informaticiens qui gèrent les standards du Web seraient-ils moins imaginatifs que ceux qui gère la CB ?
Inscrit le 18/06/2014
82 messages publiés
ah oui, il y a du boulot... Tu t'arrêtes parfois ?
Inscrit le 19/09/2013
537 messages publiés
La sécurité des cartes bleues marche très bien ? HAHAHAHAHA.

Sinon oui c'est sûr déporter un bout de la sécurité sur le client en javascript c'est une bonne idée... mais bien sûr...

ps : indice pour que tu trouves tout seul une solution pérenne : https.
[message édité par tass_2 le 19/08/2014 à 11:13 ]
Inscrit le 24/03/2014
43 messages publiés
Si on utilise le code à 4 chiffres de la CB sur numérama c'est sécurisé alors ?
Inscrit le 12/07/2013
5 messages publiés
La sécurité vient avant tout de l'utilisateur. 
Si vous mémorisez vos mots de passe des sites sensibles (banque, paypal, ....) alors la première faille de sécurité est votre ordinateur. 

Si quelqu'un pique votre PC en le mettant en veille avant, il aura accès à vos sites et mots de passe, sans que Firefox ou autre vous demande le mot de passe général.

Moi, j'enregistre aussi mes mots de passe mais uniquement pour les sites non sensibles, pour le reste j'ai KEEPASS qui me génère des mots de passe à 32 caractères. Même moi, je ne les connais pas. 

Faut arrêter de faire confiance à tout et n'importe quoi.
Inscrit le 29/08/2008
1184 messages publiés
La question est simple:

Un mot de passe est-il une donnée personnelle ?
Inscrit le 12/04/2014
252 messages publiés
oui,
il me semblait que la question ne se posait même pas...
Inscrit le 16/10/2011
1988 messages publiés
Au contraire, elle se pose. Et pour moi la réponse est non, c'est juste une donnée technique permettant de limiter un accès (souvent à des données qui elles sont personnelles).
[message édité par liolfil le 19/08/2014 à 14:29 ]
Inscrit le 12/04/2014
252 messages publiés
ok donne moi ton mot de passe numerama...

plus sérieusement le fait que ce soit une donné technique n’empêche pas quelle soit personnel, ton numéro de téléphone, ton adresse mail et même dans une certaine mesure ton nom et ton prénom sont des informations techniques ce reste pour autant des informations personnels.

Un mdp est une information relative a un individue qu'il ne veut pas voire divulgué, c'est donc une donnée personnel.
[message édité par ar7awn le 18/08/2014 à 18:13 ]
Inscrit le 29/08/2008
1184 messages publiés
Un mdp est une information relative a un individue qu'il ne veut pas voire divulgué, c'est donc une donnée personnel.


Ha bon ? On te donne un mot de passe solo, dsl t'iras pas loin. Je te donne un mot de passe solo + une geolocalisation, t'iras pas bien loin non plus.
Je te donne un nom de famille, mouais qques milliers de résultats; un nom de famille + une géolocalisation, là ça devient plus sérieux, on peut affiner.

C'est dans ce sens là qu'il faut voir les données personnelles; si à partir de la ou des données, on peut remonter directement ou indirectement à un individu et non pas dans le sens inverse.
Inscrit le 12/04/2014
252 messages publiés
ce n'est pas parce qu'une donnée personnel n'est pas exploitable dans l'état que ce n'est plus une donnée personnel.
Inscrit le 10/08/2010
1675 messages publiés
Déja, il faut comprendre qu'une donnée personnelle, au sens de la loi, ce n'est pas une donnée personnelle, au sens commun (qui appartient à la personne)

Une donnée est considérée comme personnelle, si elle permet d'identifier une personne, même partiellement par regroupement ou indirectement.

Ainsi, un numéro de sécu, un numéro client, une adresse IP, une plaque d'immatriculation, une adresse mail ou même un pseudo sur un forum ... sont des données personnelle (même si on connait pas exactement qui est derrière, ça permet d'isoler l'individu)

Nul besoin que l’identification soit "complète" avec un identifiant unique (par exemple le nom est une donnée personnel, pourtant y'a des milliers de personnes avec le même nom. Mais son regroupement avec d'autres données permettent l’identification, genre un monsieur dupont dans telle rue, on le désigne pas directement, mais il est bien le seul)


De base, ça devrait etre difficile de considérer un mot de passe comme personnel  (sensible, confidentiel, oui, par contre, sans soucis). Mais en pratique, de part les choix des utilisateurs, avec des mots de passe identiques sur plusieurs services, qui contiennent des dates de naissances, département, ville, nom des enfants ou du chien, .... ça devient une donnée personnelle, permettant une identification indirecte (non pas par nature, mais par l'usage)
Inscrit le 29/08/2008
1184 messages publiés
ce n'est pas parce qu'une donnée personnel n'est pas exploitable dans l'état que ce n'est plus une donnée personnel.


Il faut lire les réponses des autres jusqu'au bout...Je dis "directement ou INDIRECTEMENT" après on a pê pas la même définition du "indirectement".

De base, ça devrait etre difficile de considérer un mot de passe comme personnel  (sensible, confidentiel, oui, par contre, sans soucis). Mais en pratique, de part les choix des utilisateurs, avec des mots de passe identiques sur plusieurs services, qui contiennent des dates de naissances, département, ville, nom des enfants ou du chien, .... ça devient une donnée personnelle, permettant une identification indirecte (non pas par nature, mais par l'usage)


Ha oui dans la pratique, mais devant une juridiction ça donne quoi ? A vrai dire le cas de figure doit être rare (voire jamais produit) car généralement le mdp ne sort pas seul.
Inscrit le 20/01/2012
382 messages publiés
N'importe quoi. Une donnée personnelle est toute information sur une personne: âge, sexe, parfum de glace préféré, état de ses chaussettes, etc.

Pour que ce soit une donnée personnelle, il faut qu'il y ait identification, vague ou précise d'une personne.

"Les supporters du FC truc muche portent souvent une écharpe jaune".
Ceci n'est pas une donnée personnelle parce qu'elle n'est liée à personne précisément.

"Le supporter du FC truc muche qui était assis au premier rang près de l'entrée 2A portait une écharpe jaune".
Là la couleur de l'écharpe est une donnée personnelle, car il y a une donnée d'identification (même vague) qui permet de retrouver une personne.

Ainsi un mot de passe n'est pas une donnée personnelle, mais peut l'être. (dans le cas présent d'ailleurs elle l'est).
Inscrit le 29/08/2008
1184 messages publiés
Une donnée personnelle est toute information sur une personne: âge, sexe, parfum de glace préféré, état de ses chaussettes, etc.


Donc "pistache" est une donnée personnelle ? T'es sérieux ? Même si on couple "pistache" avec 2/3 autres critères, c'est pas certain du tout qu'on arrive à définir ça comme donnée personnelle (au niveau juridique).
Pour exemple: un num anonymisé + une géolocalisation = donnée personnelle au sens de la CNIL . Sans la localisation, les données restent bcp plus larges et le débat peut se poser sur ce qui est donnée personnelle ou pas.

Le sexe comme donnée personnelle bof s'il est solo comme critère (proba 1/2 environ c'est trop large).

Le coup de l'écharpe, si les billets sont nominatifs oui sinon la question se pose; car si tu considères ça comme une donnée personnelle, comment tu appelles les personnes perruquées dans le stade dont les tv se délectent de zoomer sur elles ? Elles seraient en droit de demander à la chaine un droit d'accés à leurs infos personnelles ? Ok mais quelles infos ?

On s'offusque sur les données personnelles (enfin on débat quoi ) mais il ne faut pas oublier que tout un pan reste en dehors de tout controle, la CNIL (pour ce qu'elle sert) n'est obligatoire que pour les traitements automatisés. Si une personne malintentionnée fait ceci ou cela avec ces infos, on ne pourra pas lui en tenir rigeur (enfin si mais sur les conséquences uniquement, on ne pourra pas le charger avec des atteintes aux données personnelles).
Inscrit le 20/01/2012
382 messages publiés
J'invente rien.

On peut prendre la loi informatique et liberté, ou la directive européenne qui font la même définition de la donnée personelle, pour le coup la directive européeene est plus compréhensible:

" «données à caractère personnel»: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale» "

Bon mon exemple tire sur la corde sur la partie identifiable. Mais c'est le principe qui est important.

«car si tu considères ça comme une donnée personnelle, comment tu appelles les personnes perruquées dans le stade dont les tv se délectent de zoomer sur elles ?»

J’appelle ça une donnée personelle, si le plan est assez gros pour identifier la personne. Mais comme tu le rappelles le simple mot «donnée personelles» fait monter aux barricades. Ce que la loi protège ce ne sont pas les données personnelles (elles sont partout), mais les «traitements automatisés de données à caractère personnel».
Si la chaine de télévision indexait soigneusement tous ses gros plans et couplait cela avec un système de détection faciale, on entrerait alors dans le traitement automatisé de données à caractère personnel.

Pour finir, en effet, le degré d'identification des personnes change en effet les choses, plus l'identification est aisée, plus c'est problématique. Ainsi que la nature des données. Stocker des bases de données de sidéens est assez différent que des numéros de téléphones.
Inscrit le 18/08/2014
1 messages publiés
Il suffit à google de cliquer sur "mot de passe oublié" pour qu'un nouveau mot de passe soit envoyé sur mon adresse gmail. Qu'ils aient le mot de passe directement ou pas, au final ça ne change pas grand chose...
Et il faut reconnaître que c'est bien pratique d'avoir tous les formulaires qui se remplissent tous seuls sur tous ses ordis.
[message édité par wahou85 le 18/08/2014 à 17:56 ]
Inscrit le 16/10/2011
1988 messages publiés
Wouhoo... Super.

Je vois même pas pourquoi les sites mettent en place des identifications sécurisées après tout. C'est vrai, c'est chiant, et puis apparement ça sert a rien.
Inscrit le 03/10/2011
6939 messages publiés
Avec le "Connectez-vous avec votre compte Facebook, Google, ...", c'est déjà très facile de se connecter n'importe où avec 123456789.
Inscrit le 01/09/2004
324 messages publiés
Allons, allons, "don't be evil", ça ne suffit pas à vous rassurer ?
Inscrit le 18/08/2014
1 messages publiés
Ouais, 'fin le bouton connexion en haut à droite de numerama envoie vos mdp en clair sur le réseau...
Inscrit le 03/10/2011
6939 messages publiés
Pourquoi un moins ?
Il semble qu'il a raison, le mot de passe n'est pas haché avant l'appel à Ajax.
Inscrit le 16/03/2009
1608 messages publiés
Pourquoi un moins ?

Parce que les ramollis du bulbe qui mettent des moins de façon compulsive sur toutes les news le font sans vraiment savoir pourquoi. Tu ne devrais même plus y faire attention.
Inscrit le 16/03/2009
1608 messages publiés
Tu vois, confirmation quelques minutes après mon commentaire. 
Inscrit le 29/08/2008
1184 messages publiés
Oui et si tu lisais les comms avant, tu verrais que qqun a dit quon en a rien a battre des mdp Numé qui a une base de qques milliers d'inscrits comparé à Google.
Inscrit le 03/10/2011
6939 messages publiés
Si tu lisais les articles tu verrais qu''on parle de la sécurité des mots de passe chiffrés par gogol et donc récupérables par la NSA, puisque gogol connait la clé. Comme pour les mots de passe de Numerama qui sont hashés salés dans la DB, mais qui voyagent de chez toi à chez Numerama en clair en HTTP.
Inscrit le 15/08/2014
73 messages publiés
Numerama corrige un bug du forum tous les 5 ans.
Inscrit le 10/07/2008
3474 messages publiés
Un mot de passe doit être purement local.

On est bien d'accord, et c'est comme ça qu'on fait pour les choses sérieuses. Mon "mot de passe" est une clé DSA privée. L'autre extrêmité possède la clé publique correspondante, et zou. Je n'ai rien à mémoriser, juste un fichier id_dsa à protéger comme à Fort Knox (clé USB au coffre si on est parano). Et je peux me permettre le luxe d'utiliser la même clé pour tous les services, M'sieur Latoof.

Mais nous sommes sur le web, un empilement bancal de http, php, sql, javascript, html, css dont en effet plus personne n'est capable de certifier la sécurité.
Inscrit le 10/08/2010
1675 messages publiés
Et la récupération de ton fichier permet à n'importe qui d'avoir accès à tout tes services.

Peu importe le système d'authentification, la partie fournie par l’utilisateur doit absolument être différente pour chaque service.


Le soucis majeur, c'est le compromis entre sécurité et usage pratique. Personne n'a va mémoriser les dizaines et dizaines de mot de passe "complexes" de tous les services auquel il accède, mais il veut pouvoir le faire simplement et facilement.
Inscrit le 15/08/2014
73 messages publiés
"la partie fournie par l’utilisateur doit absolument être différente pour chaque service"

pourquoi?
Inscrit le 19/09/2013
537 messages publiés
https ça ne te parle pas ? Non ? 
Et tu dis connaître le web ? xD
Inscrit le 11/02/2009
401 messages publiés
https securise le tuyau, donc les communication entre l'utilisateur et le serveur distant. Mais il n'empeche pas les failles javascript, php, sql, html, ainsi que celle lié au navigateur et surtout a la machine, sans oublié le phishing

Qui plus est, il y a plusieurs niveau de securité https qui ont des couts de certificats differents avec des garanties financiere proportionnelles au cas ou ces derniers seraient compromis ou brisés. De fait, même si c'est pas donnée a tout le monde, le https n'est pas sure a 200% non plus.
Inscrit le 19/09/2013
537 messages publiés
Ai je dis que le https était sûr à 100% ? Plus sûr que hasher le mot de passe par un javascript client ça c'est sûr... Et c'est ce que j'ai dit.

Sinon je peux dire aussi que le système asymétrique clé publique / clé privée n'est pas fiable à 100% non plus, qu'il faut faire gaffe aux autorités de confiance, et surtout que c'est UN PEU lourd pour s'inscrire sur un site non sensible, ie Numerama.

Si après vos sites sensibles (banques, ...) n'utilisent q'un mot de passe dans un input password, changez de site sensible

Perso ma banque ne fonctionne pas comme ça, c'est un nombre qu'il faut taper sur un clavier virtuel.


edit : heu si le https protège contre le phishing, y a même une grosse icone à côté de l'URL sur à peu près tous les navigateurs qui dit si tu es sur le bon nom de domaine... Si les gens se font encore avoir le problème n'est pas d'ordre technique...
[message édité par tass_2 le 19/08/2014 à 14:31 ]
Inscrit le 11/02/2009
401 messages publiés
A moins que tu verifie 100% du temps le logo vert a gauche de l'url il y a effectivement toujours un risque de phising même si c'est faible.

Et je vois pas en quoi le clavier virtuel est plus efficace niveau securité, si c'est pour les keylogger, ça fait longtemps qu'ils capturent une image autour du clic pour contrer ce genre de chose

Le fait est qu'il n'y a, a mes yeux, qu'une bonne solution. Etre capable de retenir tout ses mots de passe et pour ça... y'a la memotechnique. Entre le pro et le perso je dois avoir plus de 50 passwords differents, tous contenant majuscules, minuscules, chiffres et caracteres speciaux et repondant a une formule simple a retenir qui elle m'est personnel. Pour les banques, le meilleurs moyen etant de savoir qu'elles nous assurent en cas de compromissions de l'acces au site.
Inscrit le 19/09/2013
537 messages publiés
Ha pardon j'ai oublié de préciser que le code à taper est donné par SMS et est à usage unique...

Ben disons que je vérifie le logo quand je dois taper un mot de passe sur un site sensible oui... J'ai vu des sites de phisng 100% identiques visuellement au vrai site, ça refroidit

Le clavier virtuel est efficace dans ce sens que le code n'est pas passé dans le tuyau mais justement la position des touches tapées, position qui change à chaque refresh et qui doit pouvoir être retrouvées par le serveur. Mais oui pour les keyloggers ça ne sert à rien...

On parle de sécurité sur le réseau, si ton poste local est infecté le site en face aura beau avoir la meilleure sécu du monde ça ne changera rien.

Le mieux ça reste donc les identifiants uniques transmis sur un autre canal (ici le tel portable).
Inscrit le 10/08/2010
1675 messages publiés


edit : heu si le https protège contre le phishing, y a même une grosse icone à côté de l'URL sur à peu près tous les navigateurs qui dit si tu es sur le bon nom de domaine... Si les gens se font encore avoir le problème n'est pas d'ordre technique...





N'importe qui peut acheter un certificat valide pour quelques euros et avoir un beau cadenas sur un navigateur.

Si tu vérifie pas le certificat manuellement, ça sert à rien niveau protection contre le phishing (et qui le fait, voir, qui le peut tout simplement, au niveau du grand public ?)
Inscrit le 19/09/2013
537 messages publiés
Disons que si t'as le bon NDD + le cadenas tu peux être sûr à 100%. Il faut bien sûr regarder les deux...

Mais bon les gens ne savent plus ce qu'est un NDD de nos jours :/
Inscrit le 15/08/2014
73 messages publiés
"le https protège contre le phishing"

N'importe quoi.
Inscrit le 15/08/2014
73 messages publiés
"un empilement bancal de http, php, sql, javascript, html, css"

Tu as oublié les cookies, une techno "normalisée" par Netscape...
Inscrit le 11/02/2014
142 messages publiés
pareil pour Windows 8 et son IE... rien de nouveau pas besoin de citer que Google apres vous ferez les ouins ouins quand il vous donneront plus de pub.
Inscrit le 26/10/2011
37 messages publiés
C'est toujours la même problématique, si vous faites attention à ce que vous faites sur la toile, vous avez rarement de mauvaises surprises. Si par contre, vous suivez naïvement les indications, beh vous vous faites sniffer une partie de vos données. Une forme de sélection "naturelle" au final. Et qu'on ne me dise pas que ca requiert des compétences démesurées. Firefox / DuckDuckGo , cookies désactivées, un Ghostery en add-on et on évite pas mal d'embûches, pas toutes certes mais les plus basiques
Inscrit le 15/12/2013
13 messages publiés
DuckDuckGo est une société américaine et est tenue d'obéir aux lois de ce pays et donc à la loi FISAA qui est à l'origine de PRISM.
Inscrit le 15/08/2014
73 messages publiés
Tu veux parler du FISA Amendments Act?
Inscrit le 22/03/2014
41 messages publiés
Ayant répercuté les références de l’article sur SeenThis,, voilà la réponse obtenue rapidement ;-))
http://www.numerama....ome-pwds-04.jpg
Inscrit le 13/08/2010
8737 messages publiés
La NSA remercie Gogole / Chrome pour cette magnifique centralisation.

 


Les moutons n'y verront que du feu
Inscrit le 24/03/2014
43 messages publiés
Et bien merci à tous pour le cours sur le chiffrement & sécurité, voila pourquoi j'aime lire les commentaire de Nunu, trolls ou pas
[message édité par Syboid le 19/08/2014 à 15:32 ]
Inscrit le 19/08/2014
1 messages publiés
'Ils' te connectent pas, c'est ton navigateur qui le fait (lui a la clé).
'Ils' redonnent ton mot de passe crypté à ton navigateur si besoin.

Reste à voir comment deux navigateurs sur deux device différents arrivent à se partager la même clef, et là ça parait incontournable que ... la clef soit aussi stockée sur le serveru d'une façon ou d'une autre.

Même chose pour Moz d'ailleurs.
Inscrit le 20/01/2012
382 messages publiés
Non pour Firefox il te demande un mot de passe qui sert à chiffrer/déchiffrer ces infos. Ce mot de passe n'est pas stocké sur leurs serveurs. Autrement dit tu as une clé privée que tu utilises des deux côtés. Si tu l'oublie tant pis.
Inscrit le 13/02/2014
46 messages publiés
J'ai bien fait de ne jamais connecter Chrome a un compte Google. Puis je préfère Firefox...
Inscrit le 01/06/2013
161 messages publiés
Ils sont gonflés quand même... Ils te conseillent pourtant de choisir un mot de passe personnel que personne ne pourrait connaitre etc... Il te conseille pour te planter un couteau dans le dos.
Bon, il me rester quelques bribes de mon compte Google, c'est terminé aujourd'hui allez hop
Inscrit le 15/08/2014
73 messages publiés
"Il te conseille pour te planter un couteau dans le dos."

en quoi?
Inscrit le 20/08/2014
1 messages publiés
Mais, honnêtement, ça vous étonne....C'est valable pour tous les  serveurs. Free avait tous mes mots de passe : au téléphone, ils me les ont donnés.
Inscrit le 11/02/2009
401 messages publiés
Non ce n'est pas valable pour tous. Si ils peuvent te donner ton mot de passe en clair c'est une enorme entorse aux regles de securité, mais ils le font pour rendre plus facile la vie aux gens qui considerent que savoir changer son mot de passe ou le retrouver via formulaire est, je cite, "un travail d'informaticien" et qu'il est donc strictement interdit pour eux d'apprendre a le faire
Inscrit le 15/12/2013
13 messages publiés
Inscrit le 26/11/2008
319 messages publiés
oui, merci pour l'info !

Firefox merdant sévèrement sur mon Xubuntu, je suis passé à Chormium SANS utiliser de compte google. ouf !
Inscrit le 20/11/2004
2167 messages publiés
Simple anecdote, si vous utilisez Filezilla et permettez au client FTP de mémoriser vos mots de passe, ce programme les stocke EN CLAIR, en simple texte lisible immédiatement, dans un fichier .xml à un emplacement fixe dans votre répertoire utilisateur.

Ce qui la fout vraiment mal pour le client FTP/SFTP le plus populaire :-(
Inscrit le 15/08/2014
73 messages publiés
Filezilla ou autre, il faut bien que le programme stocke le mdp en équivalent clair!!!
Inscrit le 26/11/2008
319 messages publiés
non !

l'application peut (et devrait) très bien chiffrer le mot de passe saisie avant de le stocker dans un fichier. Ce n'est pas invulnérable mais c'est déjà mieux que rien.

Entre un mot de passe en clair dans un fichier lisible en 1 clic et un mdp chiffré dans un fichier "binaire", ce n'est pas pareil.
Inscrit le 15/08/2014
73 messages publiés
Inscrit le 26/11/2008
319 messages publiés
merci pour l'info, je viens de faire le ménage (suppression des mots de passe).

le fichier en question est sitemanager.xml

sur le forum officiel de Filezilla, la réponse est sur ce problème : c'est à l'OS de sécuriser les données.

Bah tient !
Inscrit le 15/08/2014
73 messages publiés
"c'est à l'OS de sécuriser les données."
OUI
Inscrit le 07/09/2014
1 messages publiés
Je comprends maintenant car j'ai été étonné de voir mes favoris et mes marque-pages revenir à leur place après avoir formater ma machine et réinstaller windows 7. Mais quoi qu'il en soit, leur politique de confidentialité n'est pas claire et il n'y a aucun respect de la vie privée dans ce cas. J'ai fais quelques recherches et j'ai décidé d'utiliser la solution Lastpass pour stocker mes mots de passe et login ainsi que mes marques pages, et surtout pour protéger mon identité sur le web contre les hameçonnage et les usurpateurs.
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Août 2014
 
Lu Ma Me Je Ve Sa Di
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
1 2 3 4 5 6 7