Si vous n’avez pas encore opté pour un gestionnaire de mots de passe - même si vous en avez probablement besoin - vous serez peut-être heureux d'apprendre que la mise à jour de Google Chrome 69 offre une meilleure gestion des mots de passe et qu’elle inclut même un générateur de mots de passe. Mais attention : avec la nouvelle fonctionnalité, il est encore plus important de bien verrouiller le navigateur Chrome lui-même.

Depuis 2015, Google a intégré un gestionnaire de mots de passe dans son navigateur en s’appuyant sur la fonction de stockage de mots de passe Smart Lock. (En réalité, le navigateur de Google pouvait déjà stocker des mots de passe avant cette date, mais la méthode était jugée peu sûre par certains). Aujourd'hui, Google va encore plus loin, puisque le navigateur propose désormais de créer un mot de passe aléatoire la première fois que l’utilisateur se connecte à un nouveau site de la façon suivante :

 

Si vous voulez créer un compte sur un site web, Google Chrome 69 affiche un onglet proposant de générer un mot de passe aléatoire. (Crédit : Mark Hachman/IDG)

Chrome propose aussi de stocker ce mot de passe dans le navigateur. De sorte que, la prochaine fois que vous vous connecterez au site, Google utilisera - si vous l’autorisez - ce mot de passe stocké et aléatoire pour vous connecter. Cette fonction, qui mélange chiffres et lettres de façon aléatoire, facilite grandement la génération de mots passe « sécurisés », même si les règles plus strictes de certains sites - nombre minimum de caractères, un chiffre et un caractère spécial obligatoires, etc. - peuvent demander un peu d’attention (les mots de passe générés lors des tests réalisés par notre confrère de PCWorld étaient tous conformes aux exigences des sites).

Chrome, potentiel maillon faible

Mais, plus il y a de clés stockées dans le coffre-fort de Chrome, plus la protection du navigateur lui-même devient importante. Tout d'abord, il faut savoir que si l’on stocke dans Chrome un mot de passe aléatoire pour un site comme Netflix, il faudra quand même entrer ce mot de passe pour accéder à Netflix à partir d’une application ou depuis un périphérique de streaming qui n'utilise pas l’interface de Chrome. Heureusement, tous les mots de passe sont accessibles à tout moment sur passwords.google.com où l’on peut retrouver le mot de passe de chaque compte pour le ressaisir manuellement. L’opération mérite d’être réalisée au moins une fois pour avoir une idée de la quantité de mots de passe que l’on a stocké dans le navigateur par commodité ! La connexion à passwords.google.com se fait avec le mot de passe de son compte Google, d’où l’importance de bien sécuriser celui-ci. Déjà, il faut vérifier que c’est un mot de passe unique. Ensuite, si vous préférez le mémoriser, assurez-vous de choisir une longue phrase avec suffisamment de caractères différents pour tromper les robots et les espions (une séquence comme « HowN0w,Browncat?numnumtime ! » est à la fois mémorisable et assez complexe). Enfin, vous ne devez jamais sauvegarder ce mot de passe dans un tableur, un post-il ou un courriel.

Avant d’afficher la liste des clefs stockées, le site passwords.google.com demande le mot de passe de compte Google. Mais, si vous utilisez un autre navigateur, il peut arriver que ce mot de passe soit stocké comme n'importe quel autre mot de passe. C’est le cas par exemple avec le navigateur Edge de Windows. Certes, le gestionnaire de mots de passe de Edge ne montre aucun des mots de passe stockés, mais si vous avez autorisé Edge à stocker ce fameux mot de passe Google dans sa liste, il n’est pas exclu qu’un attaquant parvienne à se connecter à la liste principale de mots de passe Google, et en quelques secondes, sans connaître aucun des mots de passe enregistrés, il pourrait, totalement à votre insu, accéder à un des mots de passe de la liste.

 

L’activation du verrouillage dynamique de Windows 10 permet de verrouiller le PC. (Crédit : Mark Hachman/IDG)

(Aller dans Paramètres de Edge > Paramètres avancés > Gérer les mots de passe, puis clic droit de la souris sur un site donné et cliquer sur Supprimer les informations d'identification pour effacer ces mots de passe enregistrés. On peut également vérifier que le PC se verrouille automatiquement si un téléphone synchronisé se trouve hors de portée grâce à la fonction de Verrouillage dynamique de Windows : Aller dans Paramètres > Options de connexion > Verrouillage dynamique).

La commodité au détriment de l’authentification à deux facteurs

Vous avez probablement entendu parler de l'authentification à deux facteurs, laquelle consiste à lier un mot de passe avec un appareil personnel, en général un téléphone mobile. Pour qu’elle soit en œuvre, il faut déjà activer l'authentification à deux facteurs sur le compte Google. Ainsi, si vous vous connectez à Google depuis un autre PC que votre PC habituel, vous devrez fournir votre mot de passe et entrer en plus le code à usage unique envoyé sur votre mobile via l'application Google Authenticator. Avec le temps, on peut être tenté de demander à Google de « faire confiance à cet ordinateur » ou de lui faire croire que c'est vous qui renseignez le mot de passe. Certes, cela fait gagner du temps, mais vous vous privez également de certains éléments de sécurité offerts par l'authentification à deux facteurs.

 

Les paramètres de compte de Google facilitent le contrôle de sécurité et le téléchargement de l'application Authenticator. (Crédit : Mark Hachman/IDG)

Mais, inutile de trop s’inquiéter à ce sujet. Le site myaccount.google.com effectue des contrôles pour s'assurer que la vérification à deux facteurs est activée, plus un contrôle pour révoquer le statut de confiance de vos périphériques connectés. Il n’y a pas de choix à faire : le contrôle révoque le statut de tous vos périphériques de confiance. Néanmoins, à mesure que Chrome s’implique de plus en plus dans la sécurisation de l'accès à vos données, il est import de multiplier les protections. Si l'authentification à deux facteurs ne suffit pas, il faut penser à des couches de sécurité supplémentaires comme le dongle matériel YubiKey, proposé depuis 5 ans environ. Mais il est probable que la majorité des utilisateurs privilégiera la commodité en laissant à Chrome la responsabilité de la sécurisation.

Au passage, on peut signaler aussi que l’interface utilisateur de Chrome 69 a été remaniée et qu’elle comporte une nouvelle boîte de recherche « omnibox » qui peut afficher des résultats et des suggestions de recherche. Mais le gestionnaire de mots de passe reste la fonction la plus importante de cette mouture qui marque le dixième anniversaire du navigateur Chrome. Sur PC, Chrome est de loin le navigateur plus populaire. Et, c'est aussi celui que l'on vous demandera probablement d'utiliser dans un avenir proche.