Logiciels dans lesquels on est le plus amené à saisir ses mots de passe, les navigateurs web font enfin de la gestion de ces données sensibles l'une de leurs priorités. Le dernier exemple en date vient de Google.
Désormais, lorsque vous saisissez votre identifiant et votre mot de passe sur un site web, Chrome est capable de vous prévenir si ces informations font partie d'une fuite malencontreuse, comme il y en a régulièrement. Le cas échéant, Chrome vous suggérera de les modifier afin d'éviter qu'un malandrin ne les utilise à votre insu.
Cette fonction de sécurité intégrée à Chrome prenait auparavant la forme d'une extension nommée Password Checkup. Google avait expliqué au début de l'année avoir constitué son propre stock de quatre milliards de données de connexion ayant fuité un jour — un stock sans doute plus important aujourd'hui.
La vérification des données de connexion compromises est en cours de déploiement pour les utilisateurs qui ont connecté leur compte Google à Chrome (une connexion que Google force par défaut depuis l'année dernière). Si vous n'en voulez pas, il est apparemment possible de la désactiver dans les paramètres Services Google/Synchronisation.
Sur Firefox, les améliorations du gestionnaire de mots de passe ont été tellement nombreuses cette année que la fonction a désormais un nom, Firefox Lockwise. Les mots de passe enregistrés dans le navigateur libre ne sont plus présentés dans une fenêtre étriquée, l'interface se rapproche de celle d'un gestionnaire dédié.
Comme Chrome, Firefox (Lockwise) vous prévient si vos identifiants et mots de passe ont fuité. Pour cela, le navigateur exploite la base de données Have I Been Pwned?, que vous pouvez consulter librement et que 1Password utilise aussi pour rendre le même service.
La vérification se fait de manière sécurisée : Firefox n'envoie pas votre mot de passe en clair pour voir s'il figure dans la base de données. C’est seulement une partie de son hash (une empreinte calculée par un algorithme) qui est utilisée pour voir si elle figure dans la base (plus de détails ici).
Si Mozilla a doté son gestionnaire de mots de passe d'un nom, c'est surtout pour le proposer sous la forme d'une application à part entière disponible sur iOS et Android. Ainsi, si on utilise Firefox sur bureau mais qu'on préfère Safari sur mobile, on peut toujours retrouver ses mots de passe dans une app distincte.
En parlant de Safari, la dernière amélioration concernant le gestionnaire de mots de passe intégré remonte à l'année dernière. Depuis macOS Mojave et iOS 12, le navigateur (ou la section des réglages dédiée aux mots de passe dans iOS) indique quand un mot de passe est réutilisé sur plusieurs sites.
Si vous l'ignoriez encore, il faut éviter de réutiliser un mot de passe, puisque s'il est compromis, les piratages de comptes peuvent être multiples. Safari simplifie le changement de mot de passe en menant directement vers la page du site en question si c'est possible.
En fait, Apple concentre depuis quelque temps ses efforts sur un plan plus ambitieux qui consiste à faire disparaître les mots de passe. Disponible sur les plateformes d'Apple et sur le web, le système « Connexion avec Apple » permet de s'authentifier sur des sites et des apps sans avoir à créer de mot de passe, à l'instar de Google Sign-In et Facebook Connect.
Seulement, ces systèmes d'authentification restent encore assez minoritaires. Les mots de passe font toujours partie du quotidien, et ce pendant encore un bon moment, certainement. Il est donc nécessaire que les navigateurs renforcent leur gestion.
Les gestionnaires intégrés à Safari, Firefox et Chrome sont convenables pour les utilisateurs occasionnels. Leur principal avantage est d'être intégré justement : ils sont les plus à même d'assister les personnes qui ne se préoccupent pas de leur sécurité informatique ou qui n'ont pas les bons réflexes.
Les applications dédiées, comme 1Password, Dashlane ou encore LastPass, gardent néanmoins de sérieux atouts. Elles permettent de synchroniser plus largement ses mots de passe, de stocker d'autres données sensibles, de prendre en charge les seconds facteurs d'authentification, de contrôler les éléments de sa famille, etc. Ces coffres-forts numériques n'ont pas dit leur dernier mot.
