Nos équipes ont la chance d'échanger avec des entreprises de toutes tailles sur leurs problématiques de sécurité de la donnée. Une attention toute particulière est portée aux mauvaise pratiques de leurs collaborateurs. L'une d'entre elles ressort régulièrement : l'utilisation des navigateurs pour stocker des mots de passe.
Un gestionnaire de mots de passe navigateur est la fonction intégrée à Chrome, Firefox, Edge ou Safari qui enregistre automatiquement vos identifiants lors de la connexion à un site web. Si cette solution est pratique et gratuite, elle présente des lacunes de sécurité importantes pour un usage professionnel.
Dans cet article, nous allons vous expliquer pourquoi, mais aussi comment cela fonctionne, quels sont les avantages et les inconvénients de ce type d'outil de gestion de mots de passe. Enfin, nous vous présenterons les alternatives recommandées pour une gestion de mots de passe sécurisée.
Lorsque vous vous connectez à un site web, votre navigateur peut enregistrer les informations de connexion afin que vous n'ayez pas à les saisir à nouveau. C'est ce qu'on appelle la gestion des mots de passe sur le navigateur.
Lorsque vous vous connectez à un site web pour la première fois, votre navigateur (Chrome, Firefox, Edge, Safari) détecte le formulaire d'authentification et vous propose d'enregistrer ces informations d'identification. Si vous choisissez cette option, votre nom d'utilisateur et mot de passe sont chiffrés localement ou synchronisés vers votre compte cloud (compte Google pour Chrome, compte Microsoft pour Edge, etc.).
La prochaine fois que vous visiterez le même site web, il remplira automatiquement les champs du nom d'utilisateur et du mot de passe enregistrés avec les informations stockées dans son système de stockage sécurisé, ce qui représente un gain de temps pour l'utilisateur.
Si vous modifiez votre mot de passe sur un site web, la plupart des navigateurs vous offrent la possibilité de mettre à jour les informations stockées. Cette synchronisation est pratique, mais entièrement dépendante de l'action de l'utilisateur : en cas de refus ou d'oubli, les données stockées deviennent obsolètes et peuvent bloquer l'accès.
Avec les navigateurs, comme Google Chrome, les mots de passe ne sont pas stockés sur votre ordinateur, mais sur votre compte Google. Cela signifie que votre mot de passe sera automatiquement pré-enregistré sur toutes vos sessions connectées à ce compte Google (votre téléphone, tablette, autre PC...).
Mais, même si ce type d'outil est très pratique, on peut logiquement s'interroger sur le niveau de sécurité de ces gestionnaires de mots de passe intégrés aux navigateurs. Si votre compte Google est compromis, l'ensemble de vos identifiants professionnels l'est également.
Sans suspens, la réponse est : non, pas pour des accès professionnels. Le gestionnaire de mots de passe navigateur répond à un besoin individuel et personnel, mais il n'est pas conçu pour les contraintes d'une organisation. L'utilisation d'un système de gestion des mots de passe par navigateur présente à la fois des avantages et des inconvénients.
Le principal avantage de la gestion des mots de passe dans son navigateur est sa commodité. Elle vous permet d'économiser du temps et des efforts à chaque fois que vous vous connectez à un site web, car toutes vos informations d'identification sont automatiquement renseignées pour vous.
Par ailleurs, le système de gestion des mots de passe interne au navigateur est chiffré à l'aide d'algorithmes puissants, ce qui rend difficile tout accès non autorisé. D'autre part, si vous utilisez un navigateur phare (comme le leader du marché Google), il y a très peu de risques que ce chiffrement puisse être brisé par un hacker. Néanmoins, comme évoqué plus haut, les hackeurs progressent sur ce type d'outils et la gestion de mots de passe directement dans le navigateur est déjà un système faillible. Il vaut mieux faire appel à un logiciel dédié, comme nous le verrons plus bas.
L'inconvénient majeur de la gestion de mots de passe sur navigateur réside dans le fait que si quelqu'un accède à votre ordinateur ou à votre appareil, il peut avoir accès à tous vos comptes.
Par conséquent, vous devriez toujours prendre des mesures supplémentaires pour protéger vos mots de passe en mettant en place des mesures de sécurité de mots de passe supplémentaires telles que l'authentification à deux facteurs. C'est par exemple très utile si vous utilisez un poste professionnel partagé. En effet, si d'autres personnes sont amenées à utiliser le même poste de travail que vous, et donc le même navigateur que vous, il vaut mieux ne pas utiliser ce type d'outil. Ce type de système de gestion de mots de passe est limité à l’utilisation individuelle.
Si vos collaborateurs utilisent actuellement leur navigateur pour stocker des mots de passe professionnels, ne les culpabilisez pas : ils cherchent simplement à gagner du temps. Votre enjeu est de leur proposer une alternative aussi simple mais sécurisée. Nous allons voir qu’il existe des alternatives et outils plus appropriées pour la gestion des mots de passe en entreprise.
Si vous voulez vous assurer que vos mots de passe sont stockés en toute sécurité et ne sont pas accessibles par des tiers, il est préférable de vous tourner vers une autre solution de gestion des mots de passe.
Le SSO permet à chaque collaborateur de se connecter une seule fois pour accéder à l'ensemble de ses applications. C'est la solution d'authentification privilégiée des entreprises qui ont déjà standardisé leur stack applicatif. L'intérêt ici est de déployer largement une solution centralisée, basée sur une authentification unique.
Le SSO présente en revanche des inconvénients :
Un coffre-fort de mots de passe est une application dédiée qui stocke l'ensemble des identifiants de votre organisation dans un espace chiffré basé sur le cloud (et plus rarement On-Premises), accessible uniquement avec un mot de passe maître que vous avez configuré lors de votre inscription initiale au service.
Il existe un certain nombre de gestionnaires de mots de passe dédiés, qui peuvent également être utilisés conjointement avec votre navigateur, mais tous ne se valent pas.
Concrètement, un bon gestionnaire de mots de passe va vous aussi permettre:
Centraliser les mots de passe pour l'ensemble des collaborateurs.
Synchroniser les mots de passe sur plusieurs appareils (PC, mobile, tablette) indépendante du navigateur afin que vous puissiez y accéder où et quand vous en avez besoin.
Accéder à un tableau de bord d'administration et de suivi des accès afin d'avoir de la traçabilité sur les actions ou encore identifier des mots de passe faibles / pas au niveau par rapport à votre politique de sécurité personnalisée appliquée.
Nous terminons évidement cet article en vous parlant un peu de LockPass 😊
Vous l'avez compris, l'utilisation de votre navigateur (Chrome, Firefox, Edge, Safari) pour stocker vos mots de passe doit être mis de côté !
A l'image de l'utilisation de post-it, de carnet ou des fichiers Excel remplis de mots de passe, les mots de passe stockés dans votre navigateur sont à ranger du côté des mauvaises pratiques en entreprise !
L'option la plus efficace reste le coffre-fort de mots de passe professionnel et de nombreuses solutions existent sur le marché.
LockPass va se distinguer sur plusieurs points :
Le gestionnaire de mots de passe de votre navigateur a rendu service à des millions d'utilisateurs et continuera de le faire pour des usages personnels. Mais dans un contexte professionnel, d'autres alternatives comme le gestionnaire de mots de passe professionnel sont indispensables pour maintenir la sécurité du système d'information de votre organisation.
La migration vers un coffre-fort de mots de passe est simple et rapide pour vos collaborateurs. Avec une extension navigateur, ils retrouvent exactement le même confort en bien plus sécurisé.
💡 Envie d'aller plus loin ? N'hésitez pas à nous poser des questions si vous en avez, nous serons très heureux d'y répondre !
Pour un usage personnel, le niveau de sécurité du gestionnaire de mots de passe de Chrome est acceptable. Pour un usage professionnel, il est insuffisant : il ne permet pas de tracer les connexions, d'imposer une politique de mots de passe ou de gérer les droits d'accès par rôle.
La migration est plus simple qu'il n'y paraît:
1. Exportez vos mots de passe depuis votre navigateur (Chrome : Paramètres > Mots de passe > Exporter).
2. Importez le fichier CSV dans votre coffre-fort de mot de passe
3. Installez l'extension navigateur du coffre-fort numérique sur les postes de vos collaborateurs.
L'idéal est de proposer une alternative aussi simple. Remplacez les mots de passe “dans le navigateur” par un gestionnaire de mot de passe (LockPass, Bitwarden, LastPass, Dashlane, Keeper etc.) qui centralise les identifiants, génère des mots de passe forts et permet un partage sécurisé entre collaborateurs. Accompagnez ce changement avec une courte session de formation (onboarding) et une communication pour expliquer pourquoi c’est important.
L'ANSSI recommande l'utilisation de gestionnaires de mots de passe certifiés, plutôt que les gestionnaires intégrés aux navigateurs. LockPass dispose de la certification CSPN (Certification de Sécurité de Premier Niveau) délivrée par l'ANSSI en 2018, ce qui en fait l'une des solutions les mieux positionnées sur ce critère en France.