Google a mis au point un contrôleur de mots de passe. Voilà ce qu'elle prétend sur son blog. L'extension pour le navigateur Chrome a été conçue en collaboration avec l'université de Stanford et a été baptisée Password Checkup. Elle doit permettre aux personnes de voir si leur mot de passe est déjà apparu en ligne. L'idée sous-jacente, c'est que les utilisateurs choisissent un nouveau mot de passe, si Google observe que celui qu'ils emploient maintenant, n'est plus sûr.

Ce système fait quelque peu penser à Firefox Monitor. Ce service dans le navigateur Firefox compare les mots de passe à ceux de la base de données HaveIBeenPwnd.com, un lieu de stockage de mots de passe dévoilés, qui est exploité depuis assez longtemps déjà par le chercheur en sécurité Troy Hunt.

L'extension de Google recourt toutefois à sa propre base de données contenant actuellement quelque quatre milliards de 'credentials' dévoilés. La collaboration avec Stanford est une garantie que Google n'apprend pas votre mot de passe, même si elle doit collecter les données de manière cryptée.

Google semble en tout cas déjà être consciente des problèmes de confidentialité possibles de ce genre de système. Les auteurs de l'extension expliquent donc en détail sur le blog comment ils tentent de vérifier les mots de passe des utilisateurs, sans les avoir eux-mêmes jamais eu sous les yeux. Dans ce but, le système exploite diverses phases de hachage ('hashing'), afin de crypter et de sécuriser les noms et mots de passe, selon l'entreprise elle-même.

Quiconque se connecte avec l'extension à un site web, envoie une version cryptée de son nom de compte vers la base de données de Google. Les comptes sécurisés sont alors comparés à la liste des noms de compte dévoilés. Si Google trouve des traces de votre nom de compte, elle fait parvenir une version 'hachée' des entrées trouvées, avec les mots de passe cryptés, à la machine de l'utilisateur. Les différentes entrées sont alors comparées localement aux données de l'utilisateur. En cas de concordance, cela signifie que le mot de passe doit être modifié.

L'extension est disponible dans le Play Store, mais les auteurs ajoutent directement qu'il s'agit d'une première version. A l'avenir, le système pourrait donc encore être peaufiné.