Android : vos mots de passe enregistrés sous Chrome sont-ils sécurisés ?

Maj. le 8 mars 2018 à 15 h 17 min

Les mots de passe enregistrés dans son navigateur web, c’est pratique pour se reconnecter à ses sites préférés sans avoir à retaper tous ses identifiants. Mais aujourd’hui, une question primordiale se pose. Le couple login et mot de passe est-il enregistré en toute sécurité au sein de son appareil sous Android ? Une petite démonstration s’impose pour des résultats surprenants.

Chrome et la sécurité des mots de passe

Notre démonstration va s’appuyer sur le stockage de ces informations essentielles (login et mot de passe) au sein du célèbre navigateur Chrome. Car, comme vous le savez, sur les paramètres par défaut du browser, lorsque vous entrer un nouveau compte, Chrome vous propose d’enregistrer toutes les données saisies afin de ne plus avoir à le répéter ultérieurement.

Enregistrer ses mots de passe avec Chrome, est-ce une bonne idée ?

Pour ce petit test, nous allons exploiter un simple site web avec un formulaire créé pour l’occasion. Nous allons évidemment accepter la sauvegarde dans tous les exemples donnés.

Chrome et les codes enregistrés

Après avoir cliqué sur « oui », Chrome sauvegarde instantanément les éléments saisis dans un unique fichier intitulé Login Data.

Pour info, voici les identifiants ainsi que les mots de passe entrés dans le formulaire sous la forme identifiant / mot de passe :

  • PHONANDROID / phonandroid666
  • Testeur2 / 12345678
  • Admin / adminadmin
  • Android / password
  • WordPress / toto5
Google Chrome et les mots de passe

Son emplacement se situe dans un dossier protégé. Ce dernier n’est accessible que si vous disposez des droits root sur votre appareil et que vous les avez accordé aux applications (cas le plus fréquent). L’accès au fichier est alors le suivant :

/data/data/com.android.chrome/app_chrome/Default/Login Data

Rien de bien compliqué, à condition d’utiliser un explorateur de fichiers doté des droits root, à l’image de celui employé ici, intégré à CyanogenMod.

Chrome et la menace sur les données sensibles

L’idée, toute simple, est alors de s’intéresser au contenu de ce fameux fichier. Et pour ouvrir cette base de données, nous allons passer par un programme tiers et open-source, SQLite Browser. Celui-ci a l’avantage d’être disponible sur de nombreuses plates-formes.

Et voici ce que nous pouvons trouver en ouvrant ledit fichier avec SQLite Browser dans l’onglet « Browse data« .

Chrome et la base de données sous SQL

Toutes les données rentrées précédemment sont affichées en clair. Aucune opération supplémentaire n’a été requise de notre côté pour parvenir à ce résultat pour le moins étonnant. Notons que les failles sont monnaie courante en informatique, CyanogenMod en a fait les frais récemment, mais ici on parle d’un choix toujours maintenu sur les dernières versions du navigateur Chrome.

Conclusion

Avant de céder à la panique, rappelons que l’accès à la base de donnée de cet article ne peut se faire qu’avec les privilèges root appliqués sur son appareil. Les autres terminaux ne sont, à priori, pas concernés directement. Ceci dit, avec ce test rapide, vous comprendrez probablement pourquoi il vaut mieux éviter d’enregistrer ses informations sensibles directement avec le navigateur.

Pourquoi Google ne protège pas cette base de données sur Android. Difficile d’y répondre en quelques mots. Retenons plutôt que stocker tous ses mots de passe au même endroit reste, d’une manière générale, dangereux.

Même les solutions annexes avec cryptage sont vulnérables, car dépendante d’un mot de passe principal qui, s’il était compromis, révélerait tous vos secrets. A méditer ! La meilleure solution réside encore dans sa propre mémoire … même si elle n’est sans doute pas infaillible non plus ;) .

Via

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Android : un malware ruine l’autonomie des smartphones

Des nombreux utilisateurs se plaignaient de problèmes d’autonomie et de data lorsqu’ils lançaient certaines applications Android. Les enquêtes ont conduit à la découverte d’un malware publicitaire qui diffuse des annonces vidéo que personne ne voit jamais et qui ont un…

La plupart des antivirus Android sont inefficaces contre les malwares !

Les antivirus Android servent-ils à quelque chose ? AV-Comparatives s’est penché sur 250 antivirus disponibles sur le Play Store. Or, plus de 55% d’entre eux s’avèrent inefficaces contre les malwares et seules 23 des applications testées (9%) offraient une protection…

Apex Legends : cette fausse application Android cache des malwares

Apex Legends, le jeu vidéo du moment, n’est pas encore disponible sur Android. Bien décidé à profiter du succès du titre, des pirates ont mis en ligne de fausses applications sous forme d’APK. Sans surprise, ces applications factices sont parfois…

Google Play Store : 17 000 applications Android vous espionnent en permanence

17 000 applications Android du Google Play Store espionnent leurs utilisateurs en permanence, révèlent des chercheurs en cybersécurité. En opposition totale avec les règles de confidentialité mises en place par Google, elles collectent les données de votre smartphone à votre insu. Leur but…

Ce malware Android va piller votre compte PayPal en seulement 5 secondes !

Un malware Android cherche actuellement à s’emparer de comptes PayPal, révèle une enquête. Selon les chercheurs, le logiciel malveillant se cache dans le code d’une application Android, disponible sur certaines plateformes tierces. On vous explique comment ce malware procède.  L’application…

Google Play Store : ces 8 applications Android espionnent 2 milliards d’utilisateurs

Huit applications Android sur le Google Play Store sont accusées d’espionner leurs utilisateurs afin de générer des revenus publicitaires frauduleux. Pour parvenir à extorquer d’importantes sommes aux annonceurs et aux marques, ces applications ont analysé à leur insu le comportement en ligne de milliards d’internautes….