Google a profité du Safer Internet Day pour présenter un nouvel outil censé améliorer notre niveau de sécurité informatique au quotidien. Baptisé Password Chechup, il s’agit d’une extension pour le navigateur Chrome qui, à chaque fois que l’internaute insère un login et un mot de passe dans un formulaire de connexion, va vérifier si ces données n’ont pas déjà été compromises dans un piratage. Le cas échéant, le logiciel affichera une alerte pour inciter l’utilisateur à changer son mot de passe.
Sur le principe, ce type d’outil n’est pas très nouveau. Le site Haveibeenpwned propose depuis septembre 2017 un service similaire baptisé Pwned Passwords. Toute la difficulté dans un tel logiciel est de faire en sorte que le mot de passe ne soit pas révélé. Car, évidemment, personne n’a envie de donner son mot de passe à Haveibeenpwned ou à Google.
K-anonymat et prise d’empreinte
Pour résoudre ce problème épineux, ces deux services s’appuient sur des empreintes cryptographiques et le « k-anonymat ». L’idée étant la suivante : le navigateur génère localement une empreinte du mot de passe et n’envoie que les premiers caractères de cette empreinte. En réponse, le service de vérification renvoie une liste d’empreintes qui commencent avec les mêmes caractères et qui font référence à des mots de passe compromis. Cette liste est comparée localement, au niveau du navigateur, avec l’empreinte du mot de passe de l’utilisateur. Si celle-ci y figure, l’utilisateur est alerté. Au final, le service ne reçoit ni le mot de passe, ni même son empreinte cryptographique, mais seulement un bout de cette empreinte.
Toutefois, Haveibeenpwned et Google ont implémenté ce principe de vérification de manière assez différente. Dans le premier cas, le dispositif est assez simple. Le navigateur transforme le mot de passe en empreinte SHA-1 et reçoit du serveur une liste d’empreintes SHA-1 compromises. Puis il effectue la comparaison. Le hic, c’est que SHA-1 est un algorithme désuet qui n’est pas adapté pour protéger les mots de passe face aux attaques par force brute. Il y a donc un risque en cas d’interception des listes d’empreintes.
Google propose un service doublement sécurisé
Avec Google, le dispositif est beaucoup plus complexe. Le navigateur transforme l’identifiant et le mot de passe en une empreinte Argon2, un algorithme qui a l’avantage d’être beaucoup plus robuste face aux attaques par force brute. Cette empreinte est ensuite chiffrée localement suivant un algorithme de chiffrement basé sur les courbes elliptiques, avec une clé secrète que ne connaît que l’utilisateur.
L’empreinte chiffrée est ensuite envoyée à Google qui rajoute une couche de chiffrement similaire en utilisant sa propre clé secrète, et qui renvoie le tout au navigateur. L’empreinte doublement chiffrée est ensuite déchiffrée suivant la clé secrète de l’utilisateur. On obtient donc localement une empreinte Argon2 chiffrée par Google. Cette empreinte chiffrée sera ensuite comparée au niveau du navigateur à une liste d’empreintes Argon2, chiffrées et envoyées par Google.
A priori, le dispositif de Google semble nettement plus sécurisé, car il utilise un algorithme d’empreinte cryptographique plus solide et ajoute une protection supplémentaire grâce au chiffrement.
Toutefois, la base d’empreintes compromises de Google n’est pas, pour l’instant, aussi complète que celle de Haveibeenpwned. Wired a testé l’extension avec des identifiants archi-compromis sans que cela ne provoque d’alerte. Certains internautes craignent par ailleurs que Google utilise cette extension pour collecter et analyser leurs parcours sur la Toile. Nous avons posé cette question au géant du Web et mettrons à jour cet article dès que nous aurons obtenu une réponse.
Source :
Blog de Google
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.