Pour gérer vos consentements :

Sécurité : Google met les mots de passe et TLS au menu de fin d'année

Publié par Clément Bohic le | Mis à jour le

Google étend la disponibilité de son outil Password Checkup et prépare la fin du support des anciennes versions de TLS dans Chrome.

Des mots de passe piratés, réutilisés ou insuffisamment sécurisés ? Il y a Password Checkup pour vous avertir.

Cette promesse, c'est celle de l'outil Password Checkup.
Google l'avait lancé en début d'année sous la forme d'une extension Chrome.

Le groupe américain vient de franchir une étape supplémentaire en l'intégrant dans son gestionnaire de mots de passe.

Password Checkup s'appuie sur une base de plusieurs milliards de paires identifiant / mot de passe connues comme ayant filtré.

Plusieurs engagements sont pris en matière de sécurité. Entre autres :

  • ne jamais signaler d'informations permettant d'identifier un utilisateur ;
  • éviter tout détournement de l'outil, que ce soit côté client ou côté serveur ;
  • minimiser l'empreinte face aux protocoles cryptographiques qui remplissent un rôle comparable (PIR, PSI, OT.).

    • Au dernier pointage, l'extension compte un peu moins d'un million d'utilisateurs. Google dit avoir analysé, en septembre, 21 millions de logins. et détecté 316 000 mots de passe compromis.

    En plus de son intégration au gestionnaire de mots de passe, l'outil est accessible sur les terminaux Android, via l'application Google. Son arrivée dans Chrome est prévue d'ici à la fin de l'année (expérimentation en cours sur le canal Canary).

    TLS : les anciens poussés vers la sortie

    Des précisions sont fournies en parallèle quant à la fin de la prise de charge de TLS 1.0 et 1.1. Deux versions considérées comme obsolètes, car reposant sur des algorithmes de chiffrement mis en défaut (MD5 et SHA-1).

    Une première phase est prévue pour janvier 2020 avec la sortie de Chrome 79. Un indicateur « non sécurisé » apparaîtra dans la barre d'adresse.

    Le blocage interviendra à partir du mois de mars, avec Chrome 81, sous la forme d'un interstitiel.

    Google invite à la transition vers TLS 1.2 (spécifications publiées en 2008) ou toute version ultérieure. Il souligne qu'elle est déjà bien avancée : moins de 1 % des connexions sur chrome passent sur TLS 1.0 ou 1.1.

    Les anciennes versions du protocole pourront être conservées jusqu'en janvier 2021 sur les déploiements de Chrome en entreprise.

    La rédaction vous recommande

    Comprendre ces sept attaques contre les mots de passe et savoir les arrêter

    Sécurisation des identifiants et protection contre les attaques par déplacement latéral

    Les magasins internes d'extensions arrivent sur Chrome Enterprise