Android : vos mots de passe enregistrés sous Chrome sont-ils sécurisés ?

Les mots de passe enregistrés dans son navigateur web, c'est pratique pour se reconnecter à ses sites préférés sans avoir à retaper tous ses identifiants. Mais aujourd'hui, une question primordiale se pose. Le couple login et mot de passe est-il enregistré en toute sécurité au sein de son appareil sous Android ? Une petite démonstration s'impose pour des résultats surprenants.

Notre démonstration va s'appuyer sur le stockage de ces informations essentielles (login et mot de passe) au sein du célèbre navigateur Chrome. Car, comme vous le savez, sur les paramètres par défaut du browser, lorsque vous entrer un nouveau compte, Chrome vous propose d'enregistrer toutes les données saisies afin de ne plus avoir à le répéter ultérieurement.

Enregistrer ses mots de passe avec Chrome, est-ce une bonne idée ?

Pour ce petit test, nous allons exploiter un simple site web avec un formulaire créé pour l'occasion. Nous allons évidemment accepter la sauvegarde dans tous les exemples donnés.

Après avoir cliqué sur “oui”, Chrome sauvegarde instantanément les éléments saisis dans un unique fichier intitulé Login Data.

Pour info, voici les identifiants ainsi que les mots de passe entrés dans le formulaire sous la forme identifiant / mot de passe :

Son emplacement se situe dans un dossier protégé. Ce dernier n'est accessible que si vous disposez des droits root sur votre appareil et que vous les avez accordé aux applications (cas le plus fréquent). L'accès au fichier est alors le suivant :

/data/data/com.android.chrome/app_chrome/Default/Login Data

Rien de bien compliqué, à condition d'utiliser un explorateur de fichiers doté des droits root, à l'image de celui employé ici, intégré à CyanogenMod.

L'idée, toute simple, est alors de s'intéresser au contenu de ce fameux fichier. Et pour ouvrir cette base de données, nous allons passer par un programme tiers et open-source, SQLite Browser. Celui-ci a l'avantage d'être disponible sur de nombreuses plates-formes.

Et voici ce que nous pouvons trouver en ouvrant ledit fichier avec SQLite Browser dans l'onglet “Browse data“.

Toutes les données rentrées précédemment sont affichées en clair. Aucune opération supplémentaire n'a été requise de notre côté pour parvenir à ce résultat pour le moins étonnant. Notons que les failles sont monnaie courante en informatique, CyanogenMod en a fait les frais récemment, mais ici on parle d'un choix toujours maintenu sur les dernières versions du navigateur Chrome.

Conclusion

Avant de céder à la panique, rappelons que l'accès à la base de donnée de cet article ne peut se faire qu'avec les privilèges root appliqués sur son appareil. Les autres terminaux ne sont, à priori, pas concernés directement. Ceci dit, avec ce test rapide, vous comprendrez probablement pourquoi il vaut mieux éviter d'enregistrer ses informations sensibles directement avec le navigateur.

Pourquoi Google ne protège pas cette base de données sur Android. Difficile d'y répondre en quelques mots. Retenons plutôt que stocker tous ses mots de passe au même endroit reste, d'une manière générale, dangereux.

Même les solutions annexes avec cryptage sont vulnérables, car dépendante d'un mot de passe principal qui, s'il était compromis, révélerait tous vos secrets. A méditer ! La meilleure solution réside encore dans sa propre mémoire … même si elle n'est sans doute pas infaillible non plus ;) .

Via

Voir les commentaires
Ailleurs sur le web