La nouvelle version de Firefox inclut des modifications appréciables dans la manière de gérer et sécuriser les mots de passe. Ces changements permettront d'épauler l'internaute en cas de fuite de données, en l'alertant et l'aidant à changer ses codes d'accès pour des alternatives plus sûres.

Si vous avez du mal à jongler entre vos différents mots de passe, et que vous craignez de découvrir que l’un de vos codes d’accès a été compromis, la dernière mise à jour de Firefox a de quoi vous venir en aide. Non content de proposer déjà un gestionnaire de mots de passe, avec Lockwise, le navigateur web de Mozilla est désormais en mesure de générer automatiquement de nouveaux codes.

C’est en effet la principale nouveauté de Firefox 76, disponible depuis le 5 mai 2020. Dans ses notes de mises à jour, Mozilla explique avoir apporté des modifications à Lockwise — qui sert donc à gérer les mots de passe enregistrés dans le navigateur et de les synchroniser entre les différents appareils reliés au même compte Firefox (par exemple un PC et un smartphone).

Dans le détail, les changements apportés à Lockwise sont de trois ordres.

Si Firefox apprend qu’un site a été compromis et que les identifiants et les mots de passe ont été dérobés, il affiche une alerte dans Lockwise, s’il s’avère que vous avez un compte sur le site qui a été attaqué (sinon cela n’a pas d’intérêt). Ce suivi est réalisé dans le cadre d’un partenariat entre Mozilla et le site Have I been Pwned, qui fait autorité dans ce domaine.

Firefox Lockwise gestionnaire
La page de gestion des mots de passe, dans Firefox. Vide ici.

Firefox vous prend par la main pour sécuriser vos mots de passe

Mais ce n’est pas tout : Firefox 76 peut aussi vous prévenir si le mot de passe que vous utilisez sur un site compromis (et que vous devez donc renouveler par sécurité) est réutilisé ailleurs, c’est-à-dire sur vos comptes se trouvant sur d’autres sites. Utile, quand on sait que les internautes ont tendance à utiliser la même combinaison identifiant et mot de passe, par commodité.

Si c’est votre cas, Firefox vous invitera à actualiser le mot de passe de tous les autres sites concernés. De cette façon, cela doit éviter un effet boule de neige : si un pirate connaît en effet votre identifiant et votre mot de passe sur un site, il pourrait s’en servir pour se rendre sur les autres espaces que vous fréquentez. Dans Lockwise, une icône en forme de clé sert à montrer les comptes qui utilisent aussi le mot de passe en cause.

Évidemment, une question survient immédiatement : comment Firefox peut-il savoir cela ? Cela est possible si vous utilisez Lockwise comme gestionnaire de mots de passe. Surtout, il faut comprendre que cette comparaison n’est pas faite n’importe comment : Firefox fait ce travail sans jamais compromettre ou lire en clair vos mots de passe. Il les compare en fait en se basant sur une sorte d’empreinte.

Lockwise alerte
Un exemple d’alerte dans Lockwise, si un site est signalé vulnérable.

Dernier ajout notable à Lockwise, un utilitaire pour générer automatiquement des mots de passe satisfaisant les consignes habituelles de protection : longueur minimale, mélange aléatoire des caractères, utilisation de lettres, chiffres et symboles. Tous les sites web ne sont pas gérés par Firefox pour cette fonctionnalité, mais la liste est élargie régulièrement. Ici, Lockwise propose des codes d’au moins 12 caractères.

12 caractères, avec un mélange aléatoire de lettres, chiffres et symboles, est-ce suffisant pour un mot de passe sûr ? Selon l’outil d’évaluation de l’ANSSI, qui s’occupe de la sécurité informatique de l’État, c’est vraiment le minimum syndical. Cependant, rien n’interdit de concocter des mots de passe plus longs : en passant à 16 caractères, on muscle déjà de façon très significative la qualité du mot de passe.

Évidemment, ces fonctionnalités n’ont d’intérêt que si vous choisissez de conserver vos mots de passe dans Firefox. Cependant, si vous faites le choix d’une application tierce, il est possible d’avoir accès à des outils équivalents. C’est le cas par exemple de Dashlane, un gestionnaire de mots de passe qui fournit des services de suivi de compromissions de sites et de renouvellement automatique des mots de passe.

Partager sur les réseaux sociaux

La suite en vidéo