Journal Google est ton ami, Chrome son confident

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
23
20
août
2015

Bonjour les gens,

je viens de découvrir avec étonnement que si on enregistre ses mots de passe avec le navigateur Chrome sans utiliser de phrase secrète, et que l'on ouvre une session Google pour y enregistrer ses mots de passe, ceux ci sont enregistrés "en clair" chez Google !

https://support.google.com/chrome/answer/1181035?p=settings_encryption&rd=1

If you set a passphrase, you can use Google's cloud to store and sync your data without letting Google read it.

Si vous n'utilisez pas de phrase secrète, vos mots de sont consultables ici :

https://passwords.google.com/

J'imagine bien que le parti pris est de simplifier au maximum l'expérience utilisateur, mais je suis réellement surpris que cette "fonctionnalité" de soit pas exposée explicitement, même si effectivement, un message du type Hey, attention, on va connaître tous vos mots de passe, mais ayez confiance, on est gentils ! ne serait pas très corporate.

J'utilise personnellement Firefox et Firefox Sync, mais même sans mot de passe principal, les données envoyées au serveur sync sont préalablement cryptées sur le client, et il est même possible d'installer son propre serveur sync :

https://blog.mozilla.org/services/2014/02/07/a-better-firefox-sync/
https://blog.mozilla.org/services/2014/04/30/firefox-syncs-new-security-model/
https://docs.services.mozilla.com/howtos/run-sync-1.5.html

  • # Moi pas comprendre

    Posté par  (site web personnel) . Évalué à 3.

    Tu te plains que tu demandes à ton navigateur web d'enregistrer tes mots de passes dans le cloud, et t'es choqué de pouvoir relire les mots de passes en question ?
    Ça perdrait de son intérêt s'il n'était pas capable de les relire…

    Je vois pas vraiment comment sans mot de passe (ou du moins sans secret partagé entre les clients) un client peut chiffrer les données.
    Ou alors on parle de chiffrements de communication entre le client et le serveur, ce que Google fait déjà?

    • [^] # Re: Moi pas comprendre

      Posté par  . Évalué à 3.

      Il pourrait stocker une clé privée en local, non? Certes, ça ne fonctionnerait que sur une machine.

      • [^] # Re: Moi pas comprendre

        Posté par  . Évalué à 1.

        Pour stocker ses mots de passes chez Google, il utilise bien un compte Google, compte protégé par un mot de passe. La base pourrait tout simplement être chiffrée avec ce mot de passe là.

        • [^] # Re: Moi pas comprendre

          Posté par  . Évalué à 3.

          Mais qui te dit qu'elle ne l'est pas? Il faut bien saisir le mot de passe pour y accéder. Je n'ai pas l'impression que Google parle de stocker "en clair", ils disent juste qu'ils peuvent lire les mots de passe.

    • [^] # Re: Moi pas comprendre

      Posté par  . Évalué à 4.

      Les gestionnaires de mots de passes (par exemple KeePass, ou celui intégré à Firefox) chiffre leur base de données de mots de passe… à l'aide d'un mot de passe principal choisi par l'utilisateur qui déverrouille toute cette base.
      Il s'attendait à un autre comportement de Chrome dans le cas où aucun mot de passe global n'est choisi.

    • [^] # Re: Moi pas comprendre

      Posté par  . Évalué à 10.

      Le truc, c'est que quand tu demandes à enregistrer tes favoris/préférences dans le cloud, tu ne penses pas à tes mots de passe à ce moment là. Et lorsque que tu demandes à Chrome d'enregistrer un mot de passe (sur ton disque), il est aussi synchronisé sur le cloud, sans t'avoir prévenu outre mesure.

      Cf : http://www.numerama.com/magazine/30290-comment-chrome-envoie-tous-vos-mots-de-passe-a-google.html

    • [^] # Re: Moi pas comprendre

      Posté par  (site web personnel) . Évalué à 8.

      Non, je suis surpris que Google les stocke en clair sur son serveur sans prévenir explicitement l'utilisateur. Pour que les mots de passe ne soient pas connus par le serveur, il faut effectivement qu'il y ait un secret partagé uniquement par les clients. C'est le cas avec les comptes Firefox, où la phrase secrète n'est pas nécessaire puisque le mot de passe du compte Firefox n'est pas connu par Mozilla :

      Given the importance of your password, we’ve designed Firefox Accounts such that Mozilla’s services never see your password’s clear text. Instead, Firefox first strengthens the password through client-side stretching with
      PBKDF2, and then derives several purpose-specific keys via HKDF. Neither your password nor the derived “unwrapping” key are ever transmitted to Mozilla. You can read more about the protocol in its description on GitHub.

      • [^] # Re: Moi pas comprendre

        Posté par  . Évalué à 7.

        Question naïve : les stocke-t-il en clair, ou les montre-t-il en clair ?

        Rien ne l'empêche d'utiliser ton mot de passe/ton hash de mot de passe/une clef définie à la création de ton compte pour chiffrer les mots de passe, et que ceux-ci soient déchiffrés à la volée quand tu vas sur ce sous domaine pour affichage comme ils le sont quand on va dans les paramètres de Chrome.

        Dans tous les cas, un tel système est à prévoir—si tu chiffres avec une clef de chiffrement connue de toi seul sur un PC, tu ne peux pas déchiffrer sur un autre ordinateur dans cette clef—et c'est bien là le principe de la synchronisation par le cloud de chrome depuis le début, ta clef, c'est ton compte Google (son mot de passe ou un truc behind-the-scene)

        • [^] # Re: Moi pas comprendre

          Posté par  (site web personnel) . Évalué à -1.

          Non, il ne sont sûrement pas stockés en clair, mais en gros ils sont cryptés par défaut avec ton mot de passe Google, donc Google peut consulter tes mots de passe. (point)

          • [^] # Re: Moi pas comprendre

            Posté par  . Évalué à 4.

            Bah, du coup, je ne vois pas où est le problème. Soit tu utilises ton mot de passe Google (et donc, les mots de passes sont connus de toi et Google), soit tu utilises ton propre mot de passe, et Google ne peut pas lire les mots de passe. Je ne vois pas vraiment comment il pourrait en être autrement si tu veux pouvoir récupérer tes mots de passe sur plusieurs machines.

            • [^] # Re: Moi pas comprendre

              Posté par  . Évalué à 2.

              Il pourrait y avoir la solution de redemander ton mot de passe Google lorsque tu souhaites récupérer tes mots de passe.

              Ainsi Google ne stocke jamais ton mot de passe Google (seulement un hash) et tu n'as pas besoin de connaitre un autre mot de passe que ton mot de passe Google. Ça oblige juste à le retaper.

              • [^] # Re: Moi pas comprendre

                Posté par  . Évalué à 3.

                et qu'est ce qui te dis que ce n'est pas cette technique qui est employée? Le hash de ton mdp peut être stocké dans ta session.

                Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                • [^] # Re: Moi pas comprendre

                  Posté par  . Évalué à 2.

                  Je reprends :

                  • soit ils chiffrent tes mots de passe web avec le hash de ton mot de passe Google. Ils peuvent donc n'importe quand obtenir tes mots de passe web en clair (vu qu'ils stockent le hash)
                  • soit ils chiffrent tes mots de passe web avec ton mot de passe Google en clair, et stockent le mot de passe en clair dans ta session. Ils peuvent alors obtenir tes mots de passe web tant que tu as une session ouverte
                  • soit ils chiffrent tes mots de passe web avec ton mot de passe Google en clair, et il est stocké dans le cookie côté client. Ils ne peuvent alors pas accéder à tes mot de passe web, mais ça voudrait dire qu'à chaque connexion tu renvoies le mot de passe en clair
                  • soit ils chiffrent tes mots de passe web avec ton mot de passe Google en clair, et ne le stockent jamais. Il faut alors te redemander ton mot de passe Google lorsque tu souhaites accéder à tes mots de passe web. Ils ne peuvent là non pas accéder à tes mots de passe web.
                  • [^] # Re: Moi pas comprendre

                    Posté par  . Évalué à 0.

                    En tout cas, c'est certain qu'ils ont de leur côté un moyen d'accéder en clair à tes données, puisque c'est leur fonds de commerce. Peut-être pas tes mots de passe, mais au moins tes emails, tes photos, tes documents, etc. Ça m'étonnerait qu'ils attendent que tu te connectes pour faire passer leurs robots d'indexation dessus.

                    • [^] # Re: Moi pas comprendre

                      Posté par  . Évalué à 1.

                      Ça m'étonnerait qu'ils attendent que tu te connectes pour faire passer leurs robots d'indexation dessus.

                      tu crois?

                      Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                  • [^] # Re: Moi pas comprendre

                    Posté par  (site web personnel) . Évalué à 3.

                    Je reprend la citation du support Google :

                    If you set a passphrase, you can use Google's cloud to store and sync your data without letting Google read it.

                    Traduit en français à l'envers, ça donne :

                    Si vous ne définissez pas de phrase secrète, vous pouvez utiliser le cloud de Google en laissant Google lire vos données.

                    C'est plus clair comme ça ?

                    Après, j'imagine bien qu'ils font en sorte de crypter ça dans leurs serveur pour éviter une catastrophe en cas d'intrusion, mais le fond des choses reste qu'ils peuvent lire tes mots de passe s'ils le veulent, à moins que tu aies défini une clé secrète et ceci n'est pas expliqué clairement, ce qui devrait être le cas vu le caractère sensible de la chose.

                    Et encore une fois, la grosse différence de Mozilla, est que eux précisent bien que leur architecture est conçue de telle façon qu'ils ne connaissent pas du tout le mot de passe du compte Sync.

                    • [^] # Re: Moi pas comprendre

                      Posté par  (site web personnel) . Évalué à 1.

                      Traduit en français à l'envers, ça donne :
                      Si vous ne définissez pas de phrase secrète, vous pouvez utiliser le cloud de Google en laissant Google lire vos données.

                      En logique (P \Rightarrow Q) \Leftrightarrow (non Q \Rightarrow non P), on a donc plutôt :
                      Si vous voulez utiliser le cloud en permettant à Google de lire vos données, alors il ne faut pas définir de phrase secrète.

                      Pour le reste, comme dit dans les autres commentaires, on ne peut pas conclure que Google puisse lire systématiquement nos données.

                    • [^] # Re: Moi pas comprendre

                      Posté par  (site web personnel) . Évalué à 2.

                      Si vous ne définissez pas de phrase secrète, vous pouvez utiliser le cloud de Google en laissant Google lire vos données.

                      Si tu ne mets pas de clefs de chiffrement, alors les données sont "en clair" (chiffrées avec mot de passe du compte, whatever), donc Google peut y accedér.
                      Pour moi c'est une formulation purement technique, et ne veut pas dire que Google le fera.
                      Une formulation beaucoup moins "Google is the evil" est juste que s'ils se reçoivent un mandat de la police, alors ils pourront le lire, donc si tu veux te protéger de ça, mets une passephrase.

                  • [^] # Re: Moi pas comprendre

                    Posté par  . Évalué à 2.

                    Tu peux avoirs des hash différents générés à partir de ton mot de passe (l'un pour l'authentification, l'autre le chiffrement), sauvés dans ta session et avec les password décodés lorsqu'ils arrivent sur ton poste.

                    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # pourquoi faire confiance au navigateur ?

    Posté par  . Évalué à -1.

    Perso, j’interdis à tous mes navigateurs de stocker mes passwords.
    Et j'utilise KeePass pour stocker mes mots de passes.
    Etant multiplateforme et mobile, je synchro le fichier Keepass sur un cloud ce qui me permet de les retrouver de manière transparente sur tout mes postes et mon mobile.

    Certe le fichier de password est sur un cloud mais crypté avec un mot de passe fort.
    à qui je fais plus confiance que le cloud d'un navigateur

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.