Android : vos mots de passe enregistrés sous Chrome sont-ils sécurisés ?

Les mots de passe enregistrés dans son navigateur web, c’est pratique pour se reconnecter à ses sites préférés sans avoir à retaper tous ses identifiants. Mais aujourd’hui, une question primordiale se pose. Le couple login et mot de passe est-il enregistré en toute sécurité au sein de son appareil sous Android ? Une petite démonstration s’impose pour des résultats surprenants.

Chrome et la sécurité des mots de passe

Notre démonstration va s’appuyer sur le stockage de ces informations essentielles (login et mot de passe) au sein du célèbre navigateur Chrome. Car, comme vous le savez, sur les paramètres par défaut du browser, lorsque vous entrer un nouveau compte, Chrome vous propose d’enregistrer toutes les données saisies afin de ne plus avoir à le répéter ultérieurement.

Enregistrer ses mots de passe avec Chrome, est-ce une bonne idée ?

Pour ce petit test, nous allons exploiter un simple site web avec un formulaire créé pour l’occasion. Nous allons évidemment accepter la sauvegarde dans tous les exemples donnés.

Chrome et les codes enregistrés

Après avoir cliqué sur « oui », Chrome sauvegarde instantanément les éléments saisis dans un unique fichier intitulé Login Data.

Pour info, voici les identifiants ainsi que les mots de passe entrés dans le formulaire sous la forme identifiant / mot de passe :

  • PHONANDROID / phonandroid666
  • Testeur2 / 12345678
  • Admin / adminadmin
  • Android / password
  • WordPress / toto5
Google Chrome et les mots de passe

Son emplacement se situe dans un dossier protégé. Ce dernier n’est accessible que si vous disposez des droits root sur votre appareil et que vous les avez accordé aux applications (cas le plus fréquent). L’accès au fichier est alors le suivant :

/data/data/com.android.chrome/app_chrome/Default/Login Data

Rien de bien compliqué, à condition d’utiliser un explorateur de fichiers doté des droits root, à l’image de celui employé ici, intégré à CyanogenMod.

Chrome et la menace sur les données sensibles

L’idée, toute simple, est alors de s’intéresser au contenu de ce fameux fichier. Et pour ouvrir cette base de données, nous allons passer par un programme tiers et open-source, SQLite Browser. Celui-ci a l’avantage d’être disponible sur de nombreuses plates-formes.

Et voici ce que nous pouvons trouver en ouvrant ledit fichier avec SQLite Browser dans l’onglet « Browse data« .

Chrome et la base de données sous SQL

Toutes les données rentrées précédemment sont affichées en clair. Aucune opération supplémentaire n’a été requise de notre côté pour parvenir à ce résultat pour le moins étonnant. Notons que les failles sont monnaie courante en informatique, CyanogenMod en a fait les frais récemment, mais ici on parle d’un choix toujours maintenu sur les dernières versions du navigateur Chrome.

Conclusion

Avant de céder à la panique, rappelons que l’accès à la base de donnée de cet article ne peut se faire qu’avec les privilèges root appliqués sur son appareil. Les autres terminaux ne sont, à priori, pas concernés directement. Ceci dit, avec ce test rapide, vous comprendrez probablement pourquoi il vaut mieux éviter d’enregistrer ses informations sensibles directement avec le navigateur.

Pourquoi Google ne protège pas cette base de données sur Android. Difficile d’y répondre en quelques mots. Retenons plutôt que stocker tous ses mots de passe au même endroit reste, d’une manière générale, dangereux.

Même les solutions annexes avec cryptage sont vulnérables, car dépendante d’un mot de passe principal qui, s’il était compromis, révélerait tous vos secrets. A méditer ! La meilleure solution réside encore dans sa propre mémoire … même si elle n’est sans doute pas infaillible non plus ;) .

Via

Réagissez à cet article !
  • Den’s

    Je comprends mieux pourquoi des applications comme Crelan ne peuvent pas être installées sur un smartphone rooté…

    • Le root donne accès a plein de fonctions géniales … mais il faut savoir ce que l’on fait. Cet exemple est un cas d’école ! A méditer ce weekend ;) .

      • Den’s

        Excepté si un geek mal intentionné me pique mon smartphone, y a pas vraiment d’autres dangers si?

        • mypomme

          Si tu na pas protégé ton téléphone par un vrai code ce geek pourra le root et faire ce qu’il souhaite. Après si tu met un vrai code il pourra quand même réinitialiser ton smartphone pour l’utiliser mais il n’aura plus t données.

          • iSteveB

            Les données restent toujours récupérables avec une simple réinitialisation…

  • Clément

    Et sur Windows c’est accessible aussi sous chrome, je vois donc pas ce qui est étonnant. On peut bien sur trouver cela bizarre (j’en fait partie). de toute façon session ouverte sur Windows ou mobile débloqué, niveau vie privée c’est déjà fini, un peu plus ou un peu moins.

  • Martin

    C’est pour ça que j’utilise plutôt Dashlane pour mes mots de passe ^^

    • 1Password ou LastPass sont quand même plus secure askip

      • Martin

        C’est juste le même chiffrage AES-256 Bits avec des itérations de type PBKDF2 pour les trois services, donc l’un ou l’autre c’est la même chose. J’utilise Dashlane, car j’ai pu tester la Beta et en récompense j’ai la version premium a vie gratuitement ^^. J’utilise en plus Google Authentificator pour plus de sécurité (double mdp).

        Dashlane fait très bien le taff : synchro sur tous mes appareils, navigateur android propre à l’application pour me connecter automatiquement à mes comptes sur les sites où j’en possède …
        De plus le service « client » est excellent : lors des grandes attaques de pirates, les développeurs nous ont tenu au courant, nous ont donné des conseils, nous ont garanti la protection de nos données, … je n’ai rien à redire sur ces points là.

        • Sans oublier que Dashlane s’est déjà fait hacké contrairement à ses concurents

          • Martin

            As-tu un article à l’appui ? Merci :)

          • Guest

            As-tu un article à l’appui ? Merci :)

          • Martin

            C’est bien ce que je pensais, ce n’est pas vrai (sauf si tu me prouves le contraire). Je n’ai pu lire aucun article en lien avec « un piratage » de Dashlane.

      • guidesnoes

        Bonjour,

        Nous tenons à vous rassurer: Dashlane ne s’est jamais fait hacker.

        Notre modèle de sécurité offre une protection maximale. Je vous invite à le consulter ci-dessous. 3M d’utilisateurs sécurisent leur données grâce à Dashlane en sont satisfaits.

        https://www.dashlane.com/fr/security

        Guillaume pour Dashlane

  • midi :D

    N’IMPORTE quel navigateur a l’option d’afficher les mdps, c’est quelque chose de nouveau, et faut paniquer quand l’ordi/tel est dans les main des autres sans surveillance du propriétaire! c’est pourquoi y a les mdps pour verrouiller les appareils et les sessions invites.

  • Dispo sous Linux ? Non ? Tant pis.

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos dernières applications !