Aujourd’hui, à l’occasion de la Journée Safer Internet, Google a publié une nouvelle extension Chrome intitulée “Password Checkup” qui vérifie si les combinaisons de noms d’utilisateur et de mots de passe saisies dans les formulaires de connexion ont été divulguées en ligne lors de violations de données et d’incidents de sécurité.

 

L’extension fonctionne chaque fois que les utilisateurs se connectent à un service en ligne. L’extension récupère le nom d’utilisateur et le mot de passe entrés dans le formulaire de connexion et les compare à une base de données de plus de quatre milliards d’informations d’identification que les ingénieurs de Google ont collectées à la suite d’infractions publiques au cours des dernières années.

Si les noms d’utilisateur et mots de passe sont trouvés dans la base de données interne de Google sur les identifiants non sécurisés, l’extension affichera une fenêtre contextuelle alertant l’utilisateur qu’il doit modifier les informations d’identification.

Selon Google, l’extension a été conçue avec le souci de la confidentialité, de sorte que Google et les attaquants ne peuvent en abuser pour révéler ou apprendre les mots de passe de l’utilisateur.

“Password Checkup a été conçu conjointement avec des experts en cryptographie de l’Université de Stanford pour garantir que Google ne connaisse jamais votre nom d’utilisateur ou votre mot de passe, et que toute donnée de violation reste à l’abri d’une plus grande exposition”, a déclaré Google aujourd’hui.

Chacun son extension, chacun ses façons de faire



L’extension fonctionne étrangement comme le service Firefox Monitor que Mozilla propose sur Firefox depuis novembre 2018.

Mais sous le capot, les deux services sont très différents. Le Moniteur Firefox fonctionne en affichant une alerte unique lorsque les utilisateurs accèdent à un site Web qui a été victime d’une faille de sécurité au cours des 12 derniers mois et leur demande poliment d’envisager de modifier leurs mots de passe.

D’autre part, les nouvelles extensions de vérification du mot de passe de Google fonctionnent de manière plus proactive pour vérifier les noms d’utilisateur et les mots de passe réellement saisis dans les formulaires de connexion.



Le Moniteur Firefox fonctionne également en lien avec le service HaveIbeenPwned, tandis que Password Checkup fonctionne sur une base de données interne de Google contenant des informations d’identification qui ont été divulguées, différente de HaveIBeenPwned.


Selon Google, l’extension ne vérifie pas les noms d’utilisateur et les mots de passe individuels, mais les deux éléments en même temps, sous forme de liste déroulante.


Cela signifie que l’extension n’indiquera pas les alertes lorsque les utilisateurs utilisent des mots de passe simples tels que “123456”, mais uniquement lorsque le nom d’utilisateur et le mot de passe ont été trouvés ensemble, en tant que combo, dans des données précédemment divulguées. Google explique que la raison pour laquelle il n’alerte pas les utilisateurs lorsqu’ils utilisent des mots de passe simples ou qui ont déjà été divulgués est qu’ils essayaient d’éviter une fatigue des alertes / popup pouvant les amener à ignorer complètement les alertes.



La raison de la création de cette extension est que les groupes de cybercriminels utilisent des combinaisons de nom d’utilisateur et de mot de passe d’anciennes fuites pour lancer des attaques de bourrage d’informations d’identification, en tentant d’accéder à d’autres comptes en ligne où les utilisateurs ont réutilisé leurs anciennes combinaisons de nom d’utilisateur et de mot de passe.


Ces types d’attaques se sont intensifiés récemment: DailyMotion, Reddit, Basecamp, HSBC, Dunkin ‘Donuts, AdGuard et d’autres font état d’incidents similaires. Google a également été témoin de telles attaques, signalant avoir bloqué des attaques contre près de 110 millions d’utilisateurs dans le passé avec la même base de données contenant quatre milliards d’informations d’identification divulguées qu’il utilise maintenant pour alimenter l’outil Password Checkup.

“Nous voulons vous aider à rester en sécurité non seulement sur Google, mais également sur le Web”, a déclaré Google aujourd’hui. “Comme il s’agit d’une première version, nous allons continuer à la peaufiner au cours des prochains mois, notamment en améliorant la compatibilité du site et la détection des champs de noms d’utilisateur et de mots de passe.”



Pour plus d’informations sur la cryptographie utilisée par l’extension pour protéger les noms d’utilisateur et les mots de passe saisis dans les formulaires de connexion de Google et services tiers, consultez l’annonce officielle de Google.

L’extension Password Checkup peut être téléchargée à partir du Chrome Web Store officiel, ici.

Cet article est une traduction de “Google releases Chrome extension to check for leaked usernames and passwords” initialement publié sur ZDNet.com

Let a comment