Pour son navigateur Chrome, Google profite du Safer Internet Day - Journée mondiale pour un Internet plus sûr - pour introduire une extension baptisée Password Checkup. Son propos est d'avertir l'utilisateur si ses identifiants (le couple nom d'utilisateur et mot de passe) ont été compromis.
Password Checkup ne s'occupe pas ici du compte Google (d'autres mécanismes entrent en jeu pour cela), mais des connexions à d'autres sites. L'alerte est ainsi susceptible d'apparaître lors d'une connexion à un service en ligne avec des identifiants qui ne sont plus sûrs.
Le cas échéant, l'utilisateur sera fortement incité à modifier son mot de passe. L'évaluation est rendue possible grâce à une compilation de plus de 4 milliards d'identifiants ayant été compromis dans des fuites de données connues.
La compromission ne concerne pas nécessairement un site en particulier auquel l'utilisateur se connecte, mais à partir du moment où des identifiants ont été exposés quelque part, ils sont à proscrire ailleurs.
Sous certains aspects, Password Checkup fait penser à Firefox Monitor de Mozilla qui a été mis en place en collaboration avec Have I Been Pwned, même si le fonctionnement est différent.
Bien évidemment, Google insiste sur les précautions qui ont été prises en matière de confidentialité. " Password Checkup a été conçu conjointement avec des experts en cryptographie de l'Université de Stanford pour garantir que Google ne connaisse jamais votre nom d'utilisateur ou mot de passe, et que toute fuite de données reste à l'abri d'une plus grande exposition ", écrit Google.
Un billet de blog est consacré à ce sujet. Google explique notamment que les 4 milliards d'identifiants de sa base de données sont hachés (hashed) et chiffrés, de même que les identifiants d'un utilisateur pour une comparaison grâce à l'extension de Chrome. Une technique d'aveuglement cryptographique (blinding) est employée. Comme quoi... il y a des possibilités pour une confidentialité forte.
Par ailleurs, la vérification finale pour déterminer si des identifiants sont dans une fuite de données se fait entièrement en local.
À tout moment, les données de l'extension peuvent être supprimées. À noter que c'est une première version de Password Checkup qui sera ultérieurement améliorée.
N.B. : L'extension fonctionne lorsque l'utilisateur est connecté au navigateur Chrome.
