web-dev-qa-db-fra.com

J'utilise Chrome et Chrome Sync; Google a-t-il accès à mes mots de passe?

J'utilise Chrome (et Chrome Sync) depuis de nombreuses années. Est-ce que cela signifie que Google, le propriétaire de Chrome, connaît tous mes mots de passe?

Je pose la question parce que je me suis rendu compte que Google est propriétaire de Chrome et qu’il s’agit également d’un navigateur à code source fermé, ce qui signifie qu’il pourrait exister une sorte de porte dérobée permettant au navigateur de collecter mes mots de passe.

Aussi, est-ce le même cas avec Firefox?

33
Selin Peck

Réponse courte, oui. Si la synchronisation est activée et que vous choisissez d'enregistrer un mot de passe, ce mot de passe sera envoyé aux serveurs de Google. Cela dit, les données sont cryptées et leur accès est limité.

Par défaut , Google chiffre vos données synchronisées à l'aide des informations d'identification de votre compte . Google indique que ces données ne peuvent pas être déchiffrées sans connaître votre mot de passe et qu'en fait, lorsque vos informations d'identification changent, toutes les données synchronisées doivent être supprimées de leurs systèmes et peuvent ensuite être resynchronisées à partir de vos appareils (et en cours de traitement). rechiffré avec les nouvelles informations d'identification).

Ainsi, si tout fonctionne correctement, on peut faire confiance à Google et si l'infrastructure de Google est suffisamment sécurisée pour empêcher les tiers intéressés (lire NSA, pirates informatiques, etc.), vos données sont en sécurité. Cela dit, Google a toujours la capacité de déchiffrer vos données, bien que cela ne soit pas connu. Ceci est simplement le résultat de leur participation à la création de la clé de chiffrement (vos identifiants), les laissant ainsi en mesure de sauvegarder et de potentiellement utiliser les clés à mauvais escient.

Ce niveau de confiance est supérieur à ce que je voudrais leur accorder. Dans cette situation, je choisirais donc de ne pas enregistrer les mots de passe ou les données de synchronisation sur leurs services, mais ce n'est que ma préférence. Seul un imbécile fait confiance à tout le monde, mais seul un plus gros imbécile ne fait confiance à personne.

42
Frank Thomas

Cela dépend de vos paramètres de cryptage .

  • Chiffrer les mots de passe synchronisés avec vos informations d'identification Google: il s'agit de l'option par défaut. Vos mots de passe enregistrés sont cryptés sur les serveurs de Google et protégés avec les informations d'identification de votre compte Google.

Avec cette option, Google a accès à vos données.

  • Crypter toutes les données synchronisées avec votre propre phrase secrète de synchronisation: sélectionnez cette option si vous souhaitez chiffrer toutes les données que vous avez choisi de synchroniser. Vous pouvez fournir votre propre phrase secrète qui ne sera stockée que sur votre ordinateur.

Avec cette option, Google n'a pas accès à vos données. en supposant qu'ils sont honnêtes à propos de ce qui se passe avec votre phrase secrète (ce qui se passe si vous oubliez votre phrase secrète, il est clair qu'ils le font.) ne le stockez pas à votre avantage), n’avez pas de trou béant (ou de porte dérobée) dans leur sécurité de synchronisation, et votre phrase secrète est suffisamment sécurisée pour résister à une tentative de force brutale de Google (un tel mot de passe est possible, mais très atypique).

Vous pouvez réduire les possibilités d'interception de vos mots de passe par Google à l'aide d'un gestionnaire de mots de passe hors connexion tel que KeePass associé à Chrome comme navigateur. Vous pouvez supprimer cette possibilité complètement en n'utilisant plus les produits Google (que faire s'ils combinaient réellement un enregistreur de frappe avec Google Drive ou Chrome? Et avec Gmail, les demandes de réinitialisation de mot de passe pourraient être interceptées d'une manière ou d'une autre, ce qui pourrait permettre à Google d'accéder à vos comptes, même si vos mots de passe sont inviolables).

Avec Firefox, la sécurité de vos données dépend du niveau de sécurité du mot de passe de votre compte Firefox. Si vous choisissez un bon mot de passe, il devrait être impossible pour Mozilla ou qui que ce soit d’accéder à vos mots de passe. Cependant, cela suppose que Mozilla est honnête sur le fonctionnement du système et qu'il n'y a pas de trou béant (ou de porte dérobée) dans leur sécurité. Vous pouvez ajouter une mesure de sécurité supplémentaire en exécutant votre propre serveur privé Sync au lieu d'utiliser Mozilla. Puisque Firefox est une source ouverte et que Mozilla a de meilleurs antécédents en matière de confidentialité que Google , la probabilité qu’ils essayent de compromettre vos données semble bien moindre.

Choisissez votre niveau de paranoïa comme vous le souhaitez et en fonction de vos besoins. Je n'utiliserais rien de Google pour les besoins de niveau Snowden, mais pour les besoins de confidentialité ordinaires, j'utiliserais au minimum une phrase secrète sur Google Sync (afin qu'un attaquant accédant à votre compte Google ait une autre couche à traverser a vos mots de passe).

Notez également que tout ceci disparaît si quelqu'un réussit à installer un enregistreur de frappe (éventuellement complété par un grattoir d'écran et un enregistreur de clic de souris pour lutter contre les claviers à l'écran) sur votre PC.

22
Tim S.

Votre paranoïa est bien justifiée. Oui, Google peut accéder à vos mots de passe. Cela est même vrai si vous définissez une phrase secrète personnalisée, à moins que cette phrase secrète soit réellement aléatoire plutôt que d'être un mot de passe choisi par l'homme. La raison en est que l'approche utilisée par Chrome pour convertir cette phrase secrète en clé de chiffrement (PBKDF2-HMAC-SHA1 sera 1003 itérations) est ridiculement simple à utiliser brutalement. Cela ne prend pas les ressources de Google, quiconque souhaitant investir moins de 1 000 dollars dans une carte graphique peut deviner la plupart des mots de passe en quelques jours. L'implémentation actuelle ne parvient même pas à définir une variable salt, ce qui permet de deviner les phrases secrètes pour tous les comptes en parallèle.

L’implémentation actuelle de Firefox Sync est considérablement meilleure. Quiconque accédera simplement aux données sur le serveur ne pourra pas en faire beaucoup, la protection est saine. Cependant, le composant côté client de cette protection est actuellement sous-optimal (PBKDF2-HMAC-SHA256 avec 1 000 itérations), ainsi toute personne pouvant intercepter le mot de passe haché lors de son envoi au serveur sera en mesure de deviner votre mot de passe de manière comparable. Peu d'effort.

Information additionnelle:

1
Wladimir Palant