Les navigateurs ne sécurisent pas assez les mots de passe

Anne Confolant,
Cloud

Selon CIS, les principaux navigateurs n’offrent  pas vraiment une gestion sécurisée des mots de passe enregistrés par les internautes.

Selon une étude menée par le Chapin Information Services (CIS), spécialiste dans l’évaluation des politiques sécuritaires des sites Web*, les navigateurs Chrome et Safari protégent encore très mal les mots de passe quand ceux-ci sont enregistrés par la navigateur à la demande de l’internaute.

Pour évaluer la gestion des mots de passe par les browsers, le CIS a fait passer une série de 21 tests aux cinq plus importants navigateurs du marché : Internet Explorer 7, Firefox 3, Opera 9.62, Safari 3.2 et Chrome 1.0.

Sur l’ensemble des tests effectués, trois failles sont considérées comme critiques : la non vérification de la destination du mot de passe, la source demandant le mot de passe qui n’est pas vérifiée, et l’activation du gestionnaire de mots de passe par des éléments de formulaire invisible. Si ces trois problèmes de sécurité sont associés ensemble au sein d’un même navigateur, ils permettent de grandement faciliter le vol de mots de passe.

Les navigateurs ont encore beaucoup de progès à faire

Une fois testé, le navigateur de Google et d’Apple arrivent bons derniers : ils n’ont réussi à valider que deux tests sur les 21 effectués. Chrome échoue aux trois principaux tests pré-cités. En revanche, Safari offre la possibilité de ne pas inscrire des mots de passe dans les formulaires invisibles.

La dernière version d’Internet Explorer arrive sur la troisième marche du podium, avec 5 tests validés, mais seulement un test critique sur les trois évalués – le même que celui de Safari – a été réussi. Opera demeure le navigateur le plus sûr, devant Firefox. Mais ces deux browsers sont tout de même loin d’être suffisamment sécurisés : ils ne valident que 7 tests chacun sur les 21 proposés.

Toutefois Opera passe haut la main les trois tests les plus importants. Au final, le browser d’origine norvégienne ne délivre pas le mot de passe enregistré sur une page à une autre pas Web, vérifie les emplacements où le mot de passe est demandé, et ne permet pas de délivrer les mots de passe enregistrés à des formulaires invisibles.

* Signalons que CIS est un partenaire Microsoft Certified Systems Engineer. Sa proximité avec Microsoft n’a, semble-t-il, eu aucune incidence sur ce benchmark.

A lire aussi sur Vnunet.fr : Dossier spécial : Navigateurs : le nouvel assaut


Anne Confolant
Auteur : Anne Confolant