Selon une étude menée par le Chapin Information Services (CIS), spécialiste dans l’évaluation des politiques sécuritaires des sites Web*, les navigateurs Chrome et Safari protégent encore très mal les mots de passe quand ceux-ci sont enregistrés par la navigateur à la demande de l’internaute.
Pour évaluer la gestion des mots de passe par les browsers, le CIS a fait passer une série de 21 tests aux cinq plus importants navigateurs du marché : Internet Explorer 7, Firefox 3, Opera 9.62, Safari 3.2 et Chrome 1.0.
Sur l’ensemble des tests effectués, trois failles sont considérées comme critiques : la non vérification de la destination du mot de passe, la source demandant le mot de passe qui n’est pas vérifiée, et l’activation du gestionnaire de mots de passe par des éléments de formulaire invisible. Si ces trois problèmes de sécurité sont associés ensemble au sein d’un même navigateur, ils permettent de grandement faciliter le vol de mots de passe.
Les navigateurs ont encore beaucoup de progès à faire
Une fois testé, le navigateur de Google et d’Apple arrivent bons derniers : ils n’ont réussi à valider que deux tests sur les 21 effectués. Chrome échoue aux trois principaux tests pré-cités. En revanche, Safari offre la possibilité de ne pas inscrire des mots de passe dans les formulaires invisibles.
La dernière version d’Internet Explorer arrive sur la troisième marche du podium, avec 5 tests validés, mais seulement un test critique sur les trois évalués – le même que celui de Safari – a été réussi. Opera demeure le navigateur le plus sûr, devant Firefox. Mais ces deux browsers sont tout de même loin d’être suffisamment sécurisés : ils ne valident que 7 tests chacun sur les 21 proposés.
Toutefois Opera passe haut la main les trois tests les plus importants. Au final, le browser d’origine norvégienne ne délivre pas le mot de passe enregistré sur une page à une autre pas Web, vérifie les emplacements où le mot de passe est demandé, et ne permet pas de délivrer les mots de passe enregistrés à des formulaires invisibles.
* Signalons que CIS est un partenaire Microsoft Certified Systems Engineer. Sa proximité avec Microsoft n’a, semble-t-il, eu aucune incidence sur ce benchmark.
A lire aussi sur Vnunet.fr : Dossier spécial : Navigateurs : le nouvel assaut
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…