Parfois, vous ne devriez pas utiliser de gestionnaire de mots de passe – si ce gestionnaire de mots de passe est celui intégré à votre navigateur Web de bureau.
En effet, les navigateurs Web de bureau font un travail médiocre pour protéger vos mots de passe, vos numéros de carte de crédit et vos informations personnelles, telles que votre nom et votre adresse. Les navigateurs Web sont assez faciles à pénétrer et de nombreux logiciels malveillants, extensions de navigateur et même des logiciels honnêtes peuvent en extraire des informations sensibles.
Au lieu de cela, vous devez enregistrer les mots de passe dans un fichier autonome gestionnaire de mots de passe, ou même simplement les écrire dans un livre. Et vous devriez ensuite purger au moins tous vos mots de passe pour les comptes sensibles – tout ce qui concerne l’argent, les achats, la messagerie Web ou les médias sociaux – de vos navigateurs Web. Nous allons vous montrer comment ci-dessous.
Franchir une ligne rouge
Au cours des deux dernières années, par exemple, un logiciel malveillant particulièrement malveillant a fait le tour. Il s’appelle RedLine et vole les mots de passe et autres données sensibles de la plupart des navigateurs sous Windows, notamment Google Chrome, Mozilla Firefox, Microsoft Edge, Opera et Brave.
En tant que société de sécurité Point de preuve observé dans sa rédaction initiale de RedLine en mars 2020, le malware « vole des informations des navigateurs telles que la connexion, la saisie semi-automatique, les mots de passe et les cartes de crédit ».
« Il collecte également des informations sur l’utilisateur et son système, telles que le nom d’utilisateur, son emplacement, la configuration matérielle et le logiciel de sécurité installé », ajoute le rapport. « Une récente mise à jour de RedLine Stealer a également ajouté la possibilité de voler des portefeuilles froids de crypto-monnaie. »
Plus récemment, RedLine a été repéré se faisant passer pour un faux programme Windows qui suit la propagation de la variante Omicron du virus COVID-19. Comme les versions précédentes de RedLine, cette variété est probablement distribuée par e-mail.
Les voleurs de mots de passe ne sont pas rares
RedLine fonctionne sous Windows, mais les navigateurs Mac ne sont pas à l’abri des voleurs de mots de passe. Logiciel malveillant multiplateforme appelé XLoader vole les mots de passe des Mac et des PC. Les hacks existent pour Gestionnaire de mots de passe Keychain d’Apple, qui est utilisé par le navigateur Safari d’Apple si vous vous connectez à Keychain sur plusieurs Mac.
Étant donné que les navigateurs basés sur Chromium tels que Chrome, Edge, Brave et Opera partagent les mêmes fondements, vous pouvez télécharger et exécuter logiciel gratuit pour obtenir des informations de leur part sur macOS, Windows ou Linux. Logiciel gratuit pour extraire les mots de passe des navigateurs Windows existe depuis au moins une décennie.
Vous n’avez même pas besoin d’avoir un logiciel malveillant ou une extension de navigateur malveillante en cours d’exécution pour vous faire voler vos mots de passe. Si votre navigateur Web de bureau remplit automatiquement les champs de formulaire avec des mots de passe enregistrés – et plusieurs le font par défaut – alors les sites Web peuvent lire ces mots de passe remplis automatiquement sans avoir à faire quoi que ce soit de sournois à votre machine.
Comment gérer les mots de passe enregistrés dans votre navigateur Web
Alors, que devriez-vous faire de tous ces mots de passe et autres informations que vous laissez votre navigateur mémoriser et enregistrer ?
L’étape la plus évidente consiste à utiliser un gestionnaire de mots de passe autonome. Vous devez payer une partie des meilleurs gestionnaires de mots de passe, mais d’autres sont libres d’utilisation. Ils sont beaucoup plus sûrs à utiliser que les navigateurs Web.
Comme les navigateurs Web, la plupart des gestionnaires de mots de passe autonomes proposent d’enregistrer les mots de passe au fur et à mesure que vous les saisissez. Ils vous permettent également d’enregistrer des numéros de carte de crédit et des informations d’adresse ainsi que des mots de passe. Il est également facile d’exporter les mots de passe enregistrés sur votre navigateur sous une forme qui peut être importée par un gestionnaire de mots de passe.
Vous pouvez également écrire des mots de passe et d’autres informations sensibles sur un morceau de papier ou dans un cahier et le garder sous clé à la maison. Il n’y a ni honte ni mal à emprunter cette voie.
Voici d’autres étapes que vous devez suivre pour purger vos mots de passe de votre navigateur Web.
Dans la plupart des cas, le menu Paramètres se trouve en cliquant sur les trois points ou lignes dans le coin supérieur droit de la fenêtre du navigateur. Dans Opera, vous accédez aux paramètres en cliquant sur l’icône Opera en haut à gauche. Quant à Safari, il fait les choses à sa façon.
Comment empêcher votre navigateur Web d’enregistrer vos mots de passe
Courageux: Paramètres > Avancé > Remplissage automatique. Désactivez « Proposer d’enregistrer les mots de passe ».
Chrome: Paramètres > Remplissage automatique. Désactivez « Proposer d’enregistrer les mots de passe ».
Bord: Paramètres > Profils > Mots de passe. Désactivez « Proposer d’enregistrer les mots de passe ».
Firefox : Paramètres > Confidentialité et sécurité. Faites défiler jusqu’à Identifiants et mots de passe et décochez « Demander à enregistrer les identifiants et mots de passe pour les sites Web ».
Firefox vous offre également la possibilité de désigner des sites Web dont les mots de passe ne seront jamais enregistrés.
Opéra: Paramètres > Paramètres avancés > Remplissage automatique > Mots de passe. Désactivez « Proposer d’enregistrer les mots de passe ».
Safari n’a pas de paramètre spécifique pour arrêter l’enregistrement du mot de passe, mais il cessera de vous demander si vous suivez les étapes ci-dessous pour arrêter le remplissage automatique des mots de passe.
Comment vous assurer que votre navigateur Web ne remplit pas automatiquement vos mots de passe
Courageux: Paramètres > Avancé > Remplissage automatique. Désactivez « Connexion automatique ».
Chrome: Paramètres > Remplissage automatique. Désactivez « Connexion automatique ».
Bord: Paramètres > Profils > Mots de passe. Edge ne vous permet pas de désactiver le remplissage automatique, mais il vous permet de choisir de remplir automatiquement les mots de passe ou de vous demander d’abord le mot de passe de l’appareil (votre connexion de compte Windows) avant le remplissage automatique. Si vous sélectionnez cette dernière option, vous pouvez en outre choisir de toujours demander le mot de passe de l’appareil ou de ne le demander qu’une seule fois par session de navigation.
Firefox : Paramètres > Confidentialité et sécurité. Faites défiler jusqu’à Identifiants et mots de passe et décochez « Remplir automatiquement les identifiants et mots de passe ».
Opéra: Paramètres > Paramètres avancés > Remplissage automatique > Mots de passe. Désactivez « Connexion automatique ».
Safari: Safari (dans la barre de menus) > Préférences > sélectionnez l’onglet Remplissage automatique. Décochez « Noms d’utilisateur et mots de passe » et « Cartes de crédit ». Vous pouvez également accéder à Préférences> sélectionner l’onglet Mots de passe et décocher « Remplir automatiquement les noms d’utilisateur et les mots de passe », mais cela n’affectera pas les numéros de carte de crédit enregistrés.
Comment exporter les mots de passe de votre navigateur
Votre navigateur peut exporter une liste de mots de passe enregistrés sous forme de fichier CSV (valeurs séparées par des virgules), que vous pouvez ouvrir avec Excel ou un autre tableur. Les gestionnaires de mots de passe autonomes peuvent également importer des fichiers CSV.
Courageux: Paramètres > Avancé > Remplissage automatique. Cliquez sur les trois points empilés en face de « Mots de passe enregistrés », puis sélectionnez « Exporter les mots de passe ».
Chrome: Paramètres > Remplissage automatique. Cliquez sur les trois points empilés en face de « Mots de passe enregistrés », puis sélectionnez « Exporter les mots de passe ».
Bord: Paramètres > Profils > Mots de passe. Cliquez sur les trois points horizontaux en face de « Mots de passe enregistrés », puis sélectionnez « Exporter les mots de passe ».
Firefox : Paramètres > Confidentialité et sécurité. Faites défiler jusqu’à Identifiants et mots de passe et cliquez sur « Identifiants enregistrés ». Vous serez redirigé vers un nouvel onglet intitulé « Firefox Lockwise » qui répertoriera tous vos mots de passe enregistrés. Dans le coin supérieur droit de l’onglet, cliquez sur les trois points horizontaux et sélectionnez « Exporter les identifiants ».
Opéra: Paramètres > Paramètres avancés > Remplissage automatique > Mots de passe. Cliquez sur les trois points horizontaux en face de « Mots de passe enregistrés », puis sélectionnez « Exporter les mots de passe ».
Safari: Fichier > Exporter > Mots de passe, puis cliquez sur « Exporter les mots de passe ». Vous devrez entrer le mot de passe que vous utilisez pour vous connecter au Mac pour enregistrer le fichier CSV. (Remarque : cela ne fonctionne que sur macOS Catalina 10.15 et versions ultérieures.)
Comment supprimer les mots de passe enregistrés de votre navigateur
Enfin, vous souhaiterez supprimer les mots de passe enregistrés dans votre navigateur Web.
Courageux: Paramètres > Avancé > Remplissage automatique. Cliquez sur les trois points empilés à côté de chaque entrée de mot de passe, puis sélectionnez « Supprimer ».
Chrome: Paramètres > Remplissage automatique. Cliquez sur les trois points empilés à côté de chaque entrée de mot de passe, puis sélectionnez « Supprimer ».
Bord: Paramètres > Profils > Mots de passe. Cliquez sur les trois points empilés à côté de chaque entrée de mot de passe, puis sélectionnez « Supprimer ».
Firefox : Paramètres > Confidentialité et sécurité. Faites défiler jusqu’à Identifiants et mots de passe et cliquez sur « Identifiants enregistrés ». Vous serez redirigé vers un nouvel onglet intitulé « Firefox Lockwise » qui répertoriera tous vos mots de passe enregistrés. Dans le coin supérieur droit de l’onglet, cliquez sur les trois points horizontaux et sélectionnez « Supprimer toutes les connexions ».
Si vous préférez supprimer uniquement certains mots de passe dans Firefox et en conserver d’autres, vous pouvez sélectionner chaque entrée individuellement dans la colonne de navigation de gauche sur la page Firefox Lockwise, puis cliquer sur « Supprimer » dans la partie supérieure droite de l’entrée affichée dans la partie principale de la page.
Opéra: Paramètres > Paramètres avancés > Remplissage automatique > Mots de passe. Cliquez sur les trois points empilés à côté de chaque entrée de mot de passe, puis sélectionnez « Supprimer ».
Safari: Safari (dans la barre de menu) > Préférences > sélectionnez l’onglet Mots de passe. Vous devrez entrer votre mot de passe macOS ou utiliser Touch ID pour voir le contenu de l’onglet. Une fois que vous le faites, vous pouvez sélectionner chaque entrée de mot de passe individuellement, ou Maj-clic pour sélectionner plusieurs entrées. Cliquez ensuite sur « Supprimer » en bas à gauche de la fenêtre.
Quels mots de passe supprimer, et une étape cruciale de plus
Il peut être acceptable de laisser votre navigateur mémoriser les mots de passe qui n’ont pas vraiment d’importance – par exemple, ceux qui vous permettent d’accéder à des sites Web dans lesquels aucune transaction financière n’est impliquée. Après tout, certains sites Web souhaitent simplement que vous enregistriez votre nom et votre adresse e-mail afin de pouvoir vous envoyer des spams plus tard.
Mais s’il y a un numéro de carte de crédit lié au compte, ou tout ce qui implique de l’argent, que ce soit une boutique en ligne ou un compte bancaire, alors retirez ce mot de passe de votre navigateur Web. Il en va de même pour les mots de passe des comptes de médias sociaux et de messagerie Web.
Quoi que vous fassiez, ne réutilisez pas vos mots de passe. Si vous le faites, vous vous exposez à des attaques de bourrage d’informations d’identification, dans lesquelles des escrocs prennent des mots de passe exposés dans des violations de données, des attaques de phishing ou des piratages de navigateur et les essaient sur d’autres comptes auxquels vous vous êtes peut-être inscrit.
En d’autres termes : si un compte est piraté ou autrement compromis, tous les autres comptes sur lesquels vous avez utilisé le même mot de passe doivent également être considérés comme compromis.