Bonjour les gens,
je viens de découvrir avec étonnement que si on enregistre ses mots de passe avec le navigateur Chrome sans utiliser de phrase secrète, et que l'on ouvre une session Google pour y enregistrer ses mots de passe, ceux ci sont enregistrés "en clair" chez Google !
https://support.google.com/chrome/answer/1181035?p=settings_encryption&rd=1
If you set a passphrase, you can use Google's cloud to store and sync your data without letting Google read it.
Si vous n'utilisez pas de phrase secrète, vos mots de sont consultables ici :
J'imagine bien que le parti pris est de simplifier au maximum l'expérience utilisateur, mais je suis réellement surpris que cette "fonctionnalité" de soit pas exposée explicitement, même si effectivement, un message du type Hey, attention, on va connaître tous vos mots de passe, mais ayez confiance, on est gentils ! ne serait pas très corporate.
J'utilise personnellement Firefox et Firefox Sync, mais même sans mot de passe principal, les données envoyées au serveur sync sont préalablement cryptées sur le client, et il est même possible d'installer son propre serveur sync :
https://blog.mozilla.org/services/2014/02/07/a-better-firefox-sync/
https://blog.mozilla.org/services/2014/04/30/firefox-syncs-new-security-model/
https://docs.services.mozilla.com/howtos/run-sync-1.5.html
# Moi pas comprendre
Posté par Ph Husson (site web personnel) . Évalué à 3.
Tu te plains que tu demandes à ton navigateur web d'enregistrer tes mots de passes dans le cloud, et t'es choqué de pouvoir relire les mots de passes en question ?
Ça perdrait de son intérêt s'il n'était pas capable de les relire…
Je vois pas vraiment comment sans mot de passe (ou du moins sans secret partagé entre les clients) un client peut chiffrer les données.
Ou alors on parle de chiffrements de communication entre le client et le serveur, ce que Google fait déjà?
[^] # Re: Moi pas comprendre
Posté par arnaudus . Évalué à 3.
Il pourrait stocker une clé privée en local, non? Certes, ça ne fonctionnerait que sur une machine.
[^] # Re: Moi pas comprendre
Posté par BFG . Évalué à 1.
Pour stocker ses mots de passes chez Google, il utilise bien un compte Google, compte protégé par un mot de passe. La base pourrait tout simplement être chiffrée avec ce mot de passe là.
[^] # Re: Moi pas comprendre
Posté par arnaudus . Évalué à 3.
Mais qui te dit qu'elle ne l'est pas? Il faut bien saisir le mot de passe pour y accéder. Je n'ai pas l'impression que Google parle de stocker "en clair", ils disent juste qu'ils peuvent lire les mots de passe.
[^] # Re: Moi pas comprendre
Posté par BFG . Évalué à 4.
Les gestionnaires de mots de passes (par exemple KeePass, ou celui intégré à Firefox) chiffre leur base de données de mots de passe… à l'aide d'un mot de passe principal choisi par l'utilisateur qui déverrouille toute cette base.
Il s'attendait à un autre comportement de Chrome dans le cas où aucun mot de passe global n'est choisi.
[^] # Re: Moi pas comprendre
Posté par kna . Évalué à 10.
Le truc, c'est que quand tu demandes à enregistrer tes favoris/préférences dans le cloud, tu ne penses pas à tes mots de passe à ce moment là. Et lorsque que tu demandes à Chrome d'enregistrer un mot de passe (sur ton disque), il est aussi synchronisé sur le cloud, sans t'avoir prévenu outre mesure.
Cf : http://www.numerama.com/magazine/30290-comment-chrome-envoie-tous-vos-mots-de-passe-a-google.html
[^] # Re: Moi pas comprendre
Posté par fredzz (site web personnel) . Évalué à 8.
Non, je suis surpris que Google les stocke en clair sur son serveur sans prévenir explicitement l'utilisateur. Pour que les mots de passe ne soient pas connus par le serveur, il faut effectivement qu'il y ait un secret partagé uniquement par les clients. C'est le cas avec les comptes Firefox, où la phrase secrète n'est pas nécessaire puisque le mot de passe du compte Firefox n'est pas connu par Mozilla :
[^] # Re: Moi pas comprendre
Posté par Lomig E . Évalué à 7.
Question naïve : les stocke-t-il en clair, ou les montre-t-il en clair ?
Rien ne l'empêche d'utiliser ton mot de passe/ton hash de mot de passe/une clef définie à la création de ton compte pour chiffrer les mots de passe, et que ceux-ci soient déchiffrés à la volée quand tu vas sur ce sous domaine pour affichage comme ils le sont quand on va dans les paramètres de Chrome.
Dans tous les cas, un tel système est à prévoir—si tu chiffres avec une clef de chiffrement connue de toi seul sur un PC, tu ne peux pas déchiffrer sur un autre ordinateur dans cette clef—et c'est bien là le principe de la synchronisation par le cloud de chrome depuis le début, ta clef, c'est ton compte Google (son mot de passe ou un truc behind-the-scene)
[^] # Re: Moi pas comprendre
Posté par fredzz (site web personnel) . Évalué à -1.
Non, il ne sont sûrement pas stockés en clair, mais en gros ils sont cryptés par défaut avec ton mot de passe Google, donc Google peut consulter tes mots de passe. (point)
[^] # Re: Moi pas comprendre
Posté par arnaudus . Évalué à 4.
Bah, du coup, je ne vois pas où est le problème. Soit tu utilises ton mot de passe Google (et donc, les mots de passes sont connus de toi et Google), soit tu utilises ton propre mot de passe, et Google ne peut pas lire les mots de passe. Je ne vois pas vraiment comment il pourrait en être autrement si tu veux pouvoir récupérer tes mots de passe sur plusieurs machines.
[^] # Re: Moi pas comprendre
Posté par kna . Évalué à 2.
Il pourrait y avoir la solution de redemander ton mot de passe Google lorsque tu souhaites récupérer tes mots de passe.
Ainsi Google ne stocke jamais ton mot de passe Google (seulement un hash) et tu n'as pas besoin de connaitre un autre mot de passe que ton mot de passe Google. Ça oblige juste à le retaper.
[^] # Re: Moi pas comprendre
Posté par fearan . Évalué à 3.
et qu'est ce qui te dis que ce n'est pas cette technique qui est employée? Le hash de ton mdp peut être stocké dans ta session.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Moi pas comprendre
Posté par kna . Évalué à 2.
Je reprends :
[^] # Re: Moi pas comprendre
Posté par arnaudus . Évalué à 0.
En tout cas, c'est certain qu'ils ont de leur côté un moyen d'accéder en clair à tes données, puisque c'est leur fonds de commerce. Peut-être pas tes mots de passe, mais au moins tes emails, tes photos, tes documents, etc. Ça m'étonnerait qu'ils attendent que tu te connectes pour faire passer leurs robots d'indexation dessus.
[^] # Re: Moi pas comprendre
Posté par groumly . Évalué à 1.
tu crois?
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Moi pas comprendre
Posté par fredzz (site web personnel) . Évalué à 3.
Je reprend la citation du support Google :
Traduit en français à l'envers, ça donne :
C'est plus clair comme ça ?
Après, j'imagine bien qu'ils font en sorte de crypter ça dans leurs serveur pour éviter une catastrophe en cas d'intrusion, mais le fond des choses reste qu'ils peuvent lire tes mots de passe s'ils le veulent, à moins que tu aies défini une clé secrète et ceci n'est pas expliqué clairement, ce qui devrait être le cas vu le caractère sensible de la chose.
Et encore une fois, la grosse différence de Mozilla, est que eux précisent bien que leur architecture est conçue de telle façon qu'ils ne connaissent pas du tout le mot de passe du compte Sync.
[^] # Re: Moi pas comprendre
Posté par Cédric Chevalier (site web personnel) . Évalué à 1.
En logique
, on a donc plutôt :
Si vous voulez utiliser le cloud en permettant à Google de lire vos données, alors il ne faut pas définir de phrase secrète.
Pour le reste, comme dit dans les autres commentaires, on ne peut pas conclure que Google puisse lire systématiquement nos données.
[^] # Re: Moi pas comprendre
Posté par Ph Husson (site web personnel) . Évalué à 2.
Si tu ne mets pas de clefs de chiffrement, alors les données sont "en clair" (chiffrées avec mot de passe du compte, whatever), donc Google peut y accedér.
Pour moi c'est une formulation purement technique, et ne veut pas dire que Google le fera.
Une formulation beaucoup moins "Google is the evil" est juste que s'ils se reçoivent un mandat de la police, alors ils pourront le lire, donc si tu veux te protéger de ça, mets une passephrase.
[^] # Re: Moi pas comprendre
Posté par fearan . Évalué à 2.
Tu peux avoirs des hash différents générés à partir de ton mot de passe (l'un pour l'authentification, l'autre le chiffrement), sauvés dans ta session et avec les password décodés lorsqu'ils arrivent sur ton poste.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
# pourquoi faire confiance au navigateur ?
Posté par Philippe GRAILLE . Évalué à -1.
Perso, j’interdis à tous mes navigateurs de stocker mes passwords.
Et j'utilise KeePass pour stocker mes mots de passes.
Etant multiplateforme et mobile, je synchro le fichier Keepass sur un cloud ce qui me permet de les retrouver de manière transparente sur tout mes postes et mon mobile.
Certe le fichier de password est sur un cloud mais crypté avec un mot de passe fort.
à qui je fais plus confiance que le cloud d'un navigateur
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.