Chaque fois qu'un utilisateur de Chrome se connecte à un site ou à une plateforme de médias sociaux, il a la possibilité d'enregistrer ses informations de connexion afin de ne pas avoir à saisir à nouveau ses informations d'identification la prochaine fois. Cependant, l'entreprise de cybersécurité ESET estime que si cette fonctionnalité peut faire gagner du temps aux utilisateurs, elle ne peut pas préserver leurs mots de passe et leurs informations d'identification des mauvais acteurs.
Le rapport de l'entreprise slovaque ESET aborde la question de la sécurité des mots de passe, la question de savoir si les utilisateurs doivent faire confiance à une telle fonction de gestion des mots de passe et ce qui peut se passer si les choses tournent mal.
Si un cybercriminel s'introduit dans le système, il aura un accès illimité aux informations de navigation de l'utilisateur ainsi qu'à toutes les données installées et enregistrées sur l'appareil. Non seulement cela, mais même les mots de passe enregistrés sur Google Chrome seront entre les mains des attaquants. Ce n'est pas la première fois qu'une telle attaque a lieu. Depuis longtemps, les cybercriminels se frayent un chemin dans les fichiers où les utilisateurs sauvegardent tous leurs mots de passe et d'autres informations précieuses, telles que les coordonnées bancaires.
Le fichier de données de connexion enregistré est présent dans le dossier de la base de données dans le stockage local. "DB Browser for SQLite" est ensuite utilisé pour extraire toutes les données stockées dans le fichier. Ces données comprennent les liens, le nom d'utilisateur et le code d'accès.
Bien que les données enregistrées soient chiffrées, le pirate a l'avantage de pouvoir contrôler l'appareil de la victime. Ainsi, le mot de passe est décodé grâce à CryptUnprotectData.
Si un pirate exécute ces fonctions manuellement, en revanche, un logiciel malveillant programmé spécialement à cet effet peut déchiffrer les informations instantanément. Non seulement les logiciels malveillants, mais même certains liens en ligne peuvent comporter des bogues cachés qui peuvent accueillir de tels logiciels malveillants capables de prendre le contrôle de n'importe quel système.
C'est pourquoi la meilleure façon d'empêcher ce genre de chose de se produire est de ne pas sauvegarder les mots de passe importants liés aux banques, aux dossiers médicaux ou à toute plateforme importante de médias sociaux.
Source : ESET
Et vous ?
Trouvez-vous ce rapport pertinent ? Avez-vous l'habitude d'utiliser cette fonctionnalité de Google Chrome ? Cela vous a-t-il jamais causé des problèmes ?Voir aussi :
La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport Microsoft Edge 88 est livré avec de nouvelles fonctionnalités de sécurité, parmi lesquelles un générateur de mot de passe, et un outil pour contrôler si vos informations de connexion ont fuité Microsoft Authenticator synchronise les informations d'identification entre Edge, Chrome et les appareils mobiles, et bénéficie du remplissage automatique en Public Preview Google va activer l'authentification à deux facteurs par défaut pour des millions d'utilisateurs d'ici la fin de l'année, pour mieux protéger l'accès à vos contacts 
