Pour gérer vos consentements :
Categories: Cloud

Les navigateurs ne sécurisent pas assez les mots de passe

Selon une étude menée par le Chapin Information Services (CIS), spécialiste dans l’évaluation des politiques sécuritaires des sites Web*, les navigateurs Chrome et Safari protégent encore très mal les mots de passe quand ceux-ci sont enregistrés par la navigateur à la demande de l’internaute.

Pour évaluer la gestion des mots de passe par les browsers, le CIS a fait passer une série de 21 tests aux cinq plus importants navigateurs du marché : Internet Explorer 7, Firefox 3, Opera 9.62, Safari 3.2 et Chrome 1.0.

Sur l’ensemble des tests effectués, trois failles sont considérées comme critiques : la non vérification de la destination du mot de passe, la source demandant le mot de passe qui n’est pas vérifiée, et l’activation du gestionnaire de mots de passe par des éléments de formulaire invisible. Si ces trois problèmes de sécurité sont associés ensemble au sein d’un même navigateur, ils permettent de grandement faciliter le vol de mots de passe.

Les navigateurs ont encore beaucoup de progès à faire

Une fois testé, le navigateur de Google et d’Apple arrivent bons derniers : ils n’ont réussi à valider que deux tests sur les 21 effectués. Chrome échoue aux trois principaux tests pré-cités. En revanche, Safari offre la possibilité de ne pas inscrire des mots de passe dans les formulaires invisibles.

La dernière version d’Internet Explorer arrive sur la troisième marche du podium, avec 5 tests validés, mais seulement un test critique sur les trois évalués – le même que celui de Safari – a été réussi. Opera demeure le navigateur le plus sûr, devant Firefox. Mais ces deux browsers sont tout de même loin d’être suffisamment sécurisés : ils ne valident que 7 tests chacun sur les 21 proposés.

Toutefois Opera passe haut la main les trois tests les plus importants. Au final, le browser d’origine norvégienne ne délivre pas le mot de passe enregistré sur une page à une autre pas Web, vérifie les emplacements où le mot de passe est demandé, et ne permet pas de délivrer les mots de passe enregistrés à des formulaires invisibles.

* Signalons que CIS est un partenaire Microsoft Certified Systems Engineer. Sa proximité avec Microsoft n’a, semble-t-il, eu aucune incidence sur ce benchmark.

A lire aussi sur Vnunet.fr : Dossier spécial : Navigateurs : le nouvel assaut

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago