Selon une étude menée par le Chapin Information Services (CIS), spécialiste dans l’évaluation des politiques sécuritaires des sites Web*, les navigateurs Chrome et Safari protégent encore très mal les mots de passe quand ceux-ci sont enregistrés par la navigateur à la demande de l’internaute.
Pour évaluer la gestion des mots de passe par les browsers, le CIS a fait passer une série de 21 tests aux cinq plus importants navigateurs du marché : Internet Explorer 7, Firefox 3, Opera 9.62, Safari 3.2 et Chrome 1.0.
Sur l’ensemble des tests effectués, trois failles sont considérées comme critiques : la non vérification de la destination du mot de passe, la source demandant le mot de passe qui n’est pas vérifiée, et l’activation du gestionnaire de mots de passe par des éléments de formulaire invisible. Si ces trois problèmes de sécurité sont associés ensemble au sein d’un même navigateur, ils permettent de grandement faciliter le vol de mots de passe.
Les navigateurs ont encore beaucoup de progès à faire
Une fois testé, le navigateur de Google et d’Apple arrivent bons derniers : ils n’ont réussi à valider que deux tests sur les 21 effectués. Chrome échoue aux trois principaux tests pré-cités. En revanche, Safari offre la possibilité de ne pas inscrire des mots de passe dans les formulaires invisibles.
La dernière version d’Internet Explorer arrive sur la troisième marche du podium, avec 5 tests validés, mais seulement un test critique sur les trois évalués – le même que celui de Safari – a été réussi. Opera demeure le navigateur le plus sûr, devant Firefox. Mais ces deux browsers sont tout de même loin d’être suffisamment sécurisés : ils ne valident que 7 tests chacun sur les 21 proposés.
Toutefois Opera passe haut la main les trois tests les plus importants. Au final, le browser d’origine norvégienne ne délivre pas le mot de passe enregistré sur une page à une autre pas Web, vérifie les emplacements où le mot de passe est demandé, et ne permet pas de délivrer les mots de passe enregistrés à des formulaires invisibles.
* Signalons que CIS est un partenaire Microsoft Certified Systems Engineer. Sa proximité avec Microsoft n’a, semble-t-il, eu aucune incidence sur ce benchmark.
A lire aussi sur Vnunet.fr : Dossier spécial : Navigateurs : le nouvel assaut
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…