Si, comme j'ai pu le faire assez longtemps, vous avez cédé à la facilité et laissé votre navigateur enregistrer les mots de passe des comptes le plus souvent utilisés, vous savez probablement que ce n'est pas la meilleure idée du monde… 😱
En quoi est-ce un problème ? Allez jeter un œil sur le site de Nir Sofer (www.nirsoft.net) pour télécharger puis lancer le logiciel "WebBrowserPassView" : vous verrez alors apparaître une liste de tout ou partie de vos précieux sésames, en clair et en un rien de temps !
À ma connaissance, les seuls navigateurs capables de résister à cette révélation immédiate sont Google Chrome et FireFox, à la condition expresse pour ce dernier d'avoir enregistré un "mot de passe principal" qui sera demandé à chaque lancement du navigateur afin que les comptes et mots de passe déjà enregistrés soient automatiquement renseignés dans les pages idoines.
Quant à Google Chrome, il résiste un peu mieux que les navigateurs s'appuyant sur le même moteur de rendu ("Chromium") simplement parce qu'il utilise une clé de chiffrement stockée dans un autre fichier que Nir Sofer a choisi de ne pas exploiter. Mais il suffit d'une recherche sur YouTube pour trouver une petite vidéo d'un jeune et sympathique codeur québécois expliquant comment s'y prendre pour dévoiler ces précieuses informations en quelques minutes. Ce n'est donc qu'une question de temps…
Mais quel est le vrai risque ?
Inutile de se faire peur plus que nécessaire : le risque est faible si vous ne confiez jamais votre machine à un tiers et que votre anti-virus est à jour… Cela étant dit, gardez à l'esprit que vous faciliterez la tâche de tout intrus souhaitant récupérer vos informations de sécurité par un moyen quelconque (virus, arnaque au faux support, etc.).
Mais si l'idée - même purement théorique - vous gêne que quelqu'un ayant accès à votre PC puisse obtenir tous les comptes et mots de passe enregistrés dans vos différents navigateurs, alors il faudra vous résoudre soit à n'utiliser que Firefox, soit utiliser un gestionnaire de mots de passe "qui-ne-fait-que-ça" comme Bitwarden ou KeepassXC, pour ne citer que les logiciels gratuits.
Les solutions envisageables
1) Utiliser Firefox
Choisir Firefox peut vous faire perdre les services qui ne sont proposés que par ses concurrents : fractionner l'affichage en mode côte-à-côte (Edge, Vivaldi), créer une pseudo-application pour un site Web avec raccourci sur le bureau (Edge), fixer des onglets et les ventiler dans différents espaces de travail (Opera, Vivaldi, Zen Browser), etc.
Une autre limitation due au choix de Firefox est l'absence de partage avec son smartphone des mots de passe enregistrés par l'application PC et réciproquement. Ce mode de fonctionnement est commun à tous les navigateurs.
En acceptant ces réserves, vous continuerez à mémoriser vos mots de passe dans votre navigateur ; il faudra uniquement définir un mot de passe principal pour le gestionnaire de mots de passe de Firefox afin d'avoir un niveau de confidentialité correct.
2) Utiliser un gestionnaire de mots de passe
Si vous préférez continuer à utiliser votre navigateur préféré, alors la solution la plus sécurisée sera d'utiliser un gestionnaire de mots de passe et d'installer l'extension prévue pour votre navigateur ; vous aurez ainsi le beurre et l'argent du beurre 😇.
Et si, comme moi, vous utilisez plusieurs navigateurs, ceux-ci pourront se partager le même gestionnaire de mots de passe !
Je vous recommande Bitwarden dans sa version gratuite, au moins pour vous familiariser avec ce genre d'outil. Un autre logiciel recommandable pour les geeks est KeePassXC (open source et gratuit) mais celui-ci sera moins facile à mettre en œuvre, surtout si vous souhaitez retrouver vos mots de passe sur votre smartphone…
L'intérêt principal d'un gestionnaire de mots de passe est de conserver ceux-ci dans un coffre sécurisé et de permettre la conservation d'informations complémentaires : l'adresse du site Web, l'identifiant et le mot de passe, bien sûr, mais aussi des notes, un horodatage de création et de dernière modification, un libellé pour faciliter la reconnaissance ou encore l'affectation à un groupe fonctionnel (finances, administratif, e-commerce, voyages, etc.).
Le coffre devra être verrouillé par un mot de passe respectant les règles en la matière : longueur d'au moins 12 caractères et contenant majuscules, minuscules, chiffres et caractères spéciaux. Le chiffrement du coffre sera alors suffisamment robuste pour décourager toute tentative d'accès par "force brute", c'est-à-dire en utilisant un robot qui va soit utiliser une liste des mots de passe les plus utilisés, soit faire des millions de tentatives en faisant varier, à chaque essai, le mot de passe proposé.
KeePassXC a été conçu pour gérer un coffre local : celui-ci est sur votre PC et la gestion du coffre ne se fait que sur votre PC. L'accès au coffre depuis un navigateur se fait par l'intermédiaire d'une extension du navigateur comme KeePassXC-Browser que l'on pourra rechercher dans la liste des extensions disponibles pour chaque navigateur. La configuration de l'accès au coffre depuis l'extension est relativement délicate.
Bitwarden a, lui, été conçu pour gérer un coffre hébergé "dans le Cloud", soit sur une machine de la société Bitwarden, soit sur un serveur privé comme votre propre NAS (si celui-ci est récent, accessible de l'Internet et capable d'héberger l'équivalent open source de la version "serveur" de Bitwarden nommé Vaultwarden).
Quelque soit le support choisi, il faudra installer l'extension Bitwarden prévue pour votre navigateur en la recherchant dans la liste des extensions disponibles. Une fois celle-ci installée, il suffira de lui dire où se trouve le coffre (sur un serveur Bitwarden ou auto-hébergé) avant de renseigner le compte propriétaire du coffre et le mot de passe de ce coffre. À chaque lancement du navigateur, vous n'aurez à saisir que le mot de passe pour ouvrir le coffre.
Une extension n'étant pas partageable entre plusieurs navigateurs, elle devra être installée et configurée dans chacun d'eux.
Mettre en œuvre son choix
1) Protéger l'accès aux mots de passe dans Firefox
Pour afficher le gestionnaire de mots de passe de Firefox, cliquez sur le "hamburger" du menu applicatif puis cliquez sur "Mots de passe" :
Ensuite, vous pouvez définir ou modifier le mot de passe principal en cliquant sur le pictogramme [...] placé en haut et à droite de la page puis sur Options :
Ce cheminement vous amène directement sur la section "Vie privée et sécurité" de la page de gestion des paramètres de Firefox ; cochez l'option "Utiliser un mot de passe principal" pour élever le niveau de sécurité du navigateur :
Une boite de dialogue apparaît pour vous permettre de saisir le mot de passe principal de votre choix, le confirmer par une seconde saisie, puis de le faire enregistrer :
Un message de confirmation de bonne fin s'affiche : cliquez sur le bouton [OK] pour le faire disparaître :
À tous les lancements ultérieurs de Firefox, vous verrez apparaître la boite de dialogue ci-dessous vous demandant le mot de passe principal du gestionnaire de mots de passe :
Une fois le mot de passe accepté, Firefox ne vous le demandera plus pendant la session.
L'enregistrement d'un nouveau compte se fait soit à la volée sur proposition du navigateur, soit de façon explicite via la fonction de gestion des mots de passe.
2) Créer puis utiliser un coffre chez Bitwarden
La création d'un coffre sur Bitwarden.eu fait l'objet d'un article dédié que je vous invite à consulter sans plus attendre 😁
Vous y trouverez une description du processus de création et d'enrichissement du coffre, suivie du processus d'installation et mise en œuvre des extensions Bitwarden nécessaires pour que les navigateurs de votre PC puissent partager ce coffre entre eux, sans oublier votre smartphone…