Empêcher la réutilisation d'un mot de passe

Chrome version 69 ou ultérieure.

Ces instructions concernent les navigateurs Chrome gérés sous Windows, Mac et Linux.

En tant qu'administrateur Google Chrome, vous pouvez empêcher les utilisateurs d'utiliser leur mot de passe sur des sites Web dangereux ou non inclus dans la liste blanche de votre organisation. Empêcher la réutilisation de mots de passe sur plusieurs sites Web peut protéger votre organisation contre les comptes piratés.

Avant de commencer

Si votre organisation utilise l'extension Alerte mot de passe, les utilisateurs peuvent obtenir deux ensembles d'alertes lorsqu'ils réutilisent leur mot de passe. Désactivez l'extension afin que vous et vos utilisateurs ne receviez plus d'alertes. Si vous souhaitez continuer à en recevoir lorsque l'alerte mot de passe se déclenche, mais que vous ne souhaitez pas que les utilisateurs les reçoivent, définissez le paramètre display_user_alert de l'extension Alerte de mot de passe sur "false".

Étape 1 : Examinez les règles

Vous pouvez définir les règles de votre choix parmi les suivantes :

Règle Description et paramètres

PasswordProtectionChangePasswordURL

Obligatoire si vous :

  • avez G Suite et l'authentification unique (SSO) ;
  • n'avez pas G Suite.

Spécifie l'URL de la page Web sur laquelle les utilisateurs sont redirigés pour modifier leur mot de passe. Les utilisateurs sont invités à modifier leur mot de passe s'ils le réutilisent sur un site Web non inscrit sur une liste blanche ou s'ils sont victimes d'hameçonnage.

Lorsque les utilisateurs modifient leur mot de passe, un algorithme de hachage le brouille. Le hachage du mot de passe est stocké et utilisé pour détecter si un mot de passe est réutilisé.

Assurez-vous que l'URL de modification du mot de passe que vous spécifiez suit ces instructions.

Non défini : les utilisateurs de G Suite sont redirigés vers leur compte Google afin de modifier leur mot de passe.

PasswordProtectionLoginURLs

Obligatoire si vous :

  • avez G Suite et l'authentification unique ;
  • n'avez pas G Suite.

Spécifie les URL des pages Web sur lesquelles les utilisateurs saisissent généralement leur mot de passe pour se connecter à leur compte. Si un processus de connexion est divisé en deux pages, ajoutez l'URL de la page Web où les utilisateurs saisissent leur mot de passe.

Lorsque les utilisateurs saisissent leur mot de passe, leur hachage est stocké et utilisé pour détecter si un mot de passe a été réutilisé.

Assurez-vous que l'URL de modification du mot de passe que vous spécifiez suit ces instructions.

Non défini : Chrome ne capturera le hachage du mot de passe que sur la page de connexion pour détecter si un mot de passe est réutilisé.

PasswordProtectionWarningTrigger

Indique si un mot de passe a été réutilisé sur des sites Web.

Choisissez l'une des options proposées :

0 – PasswordProtectionWarningOff : la réutilisation du mot de passe n'est jamais détectée.

1 – PasswordProtectionWarningOnPasswordReuse : si les utilisateurs réutilisent un mot de passe sur un site Web que vous n'avez pas ajouté à la liste blanche, l'option est déclenchée. Les utilisateurs sont invités à changer leur mot de passe.

2 – PasswordProtectionWarningOnPhishingReuse : si les utilisateurs réutilisent leur mot de passe sur un site Web que vous n'avez pas ajouté à la liste blanche, Chrome envoie l'URL à la navigation sécurisée Google pour déterminer sa réputation. Si le site Web contient du contenu d'hameçonnage, les utilisateurs sont invités à modifier leur mot de passe.

Non défini :
La valeur par défaut est 2 – PasswordProtectionWarningOnPhishingReuse, comme décrit ci-dessus.

SafeBrowsingEnabled

Active la fonctionnalité Navigation sécurisée.

Si cette règle est désactivée, toutes les fonctionnalités de navigation sécurisée sont désactivées, y compris la protection par mot de passe.

Non défini : l'option "Navigation sécurisée" est activée. Les utilisateurs peuvent la changer.

SafeBrowsingWhitelistDomains

Spécifie les domaines qui constituent des exceptions aux URL apparaissant dans la liste de navigation sécurisée de Google. Voici les éléments non vérifiés dans les domaines sur liste blanche :
  • La réutilisation des mots de passe
  • Les sites d'hameçonnage et les sites d'ingénierie sociale trompeurs
  • Les sites hébergeant des logiciels malveillants ou des logiciels indésirables
  • Les téléchargements nuisibles

Non défini : les URL répertoriées dans PasswordProtectionLoginURLs et PasswordProtectionChangePasswordURL sont automatiquement mises sur liste blanche pour détecter si un mot de passe est réutilisé. Dans toutes les autres URL, la navigation sécurisée est vérifiée.

Étape 2 : Définissez les règles

Cliquez sur les rubriques ci-dessous pour obtenir les instructions qui correspondent à la manière dont vous voulez gérer ces règles.

Windows

Ces instructions s'appliquent aux utilisateurs Windows qui sont connectés au navigateur Chrome avec un compte géré.
Les ordinateurs doivent être reliés à un domaine utilisant Microsoft® Active Directory® afin de définir les règles suivantes :
  • L'URL de modification du mot de passe
  • Les URL de connexion
  • Les domaines sur liste blanche

Utiliser la stratégie de groupe

Dans l'éditeur de gestion des stratégies de groupe Microsoft Windows (dossier "Ordinateur" ou "Configuration utilisateur"), procédez comme suit :

  1. Accédez à Stratégies puis Modèles d'administration puis Google puis Google Chrome.
  2. Activez l'option Activer la navigation sécurisée.
    Conseil : Si la règle n'apparaît pas, téléchargez le dernier modèle de règle.
    Si vous conservez l'option "Non configuré" pour cette règle, c'est le comportement Non défini décrit plus haut qui s'applique.
  3. Activez l'option Configurez la liste des domaines sur lesquels la navigation sécurisée ne déclenchera aucun avertissement.
    Si vous conservez l'option "Non configuré" pour cette règle, c'est le comportement Non défini décrit plus haut qui s'applique.
  4. Ajoutez les domaines dans lesquels les utilisateurs sont autorisés à réutiliser les mots de passe.
  5. Activez le Déclencheur d'avertissement de protection par mot de passe.
    Si vous conservez l'option "Non configuré" pour cette règle, c'est le comportement Non défini décrit plus haut qui s'applique.
  6. Définissez l'option de votre choix :
    • L'avertissement de protection par mot de passe est désactivé : la réutilisation du mot de passe n'est jamais détectée.
    • L'avertissement de protection par mot de passe est déclenché en cas de réutilisation du mot de passe : si les utilisateurs réutilisent un mot de passe sur un site Web non inclus dans la liste blanche, l'option est déclenchée.
    • L'avertissement de protection par mot de passe est déclenché en cas de réutilisation du mot de passe sur une page d'hameçonnage : si les utilisateurs réutilisent leur mot de passe sur un site Web figurant dans la liste de navigation sécurisée, l'option est déclenchée.
  7. Activez l'option Configurez l'URL de modification du mot de passe.
    Si vous conservez l'option "Non configuré" pour cette règle, c'est le comportement Non défini décrit plus haut qui s'applique.
  8. Ajoutez l'URL de la page Web sur laquelle vous souhaitez que les utilisateurs modifient leur mot de passe.
  9. Activez l'option Configurez la liste des URL de connexion d'entreprise pour lesquelles le service de protection par mot de passe doit capturer l'empreinte numérique du mot de passe.
    Si vous conservez l'option "Non configuré" pour cette règle, c'est le comportement Non défini décrit plus haut qui s'applique.
  10. Ajoutez les URL des pages Web auxquelles les utilisateurs se connectent généralement dans le navigateur Chrome. 
  11. Déployez la mise à jour sur les appareils de vos utilisateurs.

Mac

Ces instructions s'appliquent aux utilisateurs AppleMac qui sont connectés au navigateur Chrome avec un compte géré.
Dans votre profil de configuration Chrome, ajoutez ou mettez à jour les clés ci-dessous. Appliquez ensuite le changement sur les appareils des utilisateurs. 
  • Définissez la clé <SafeBrowsingEnabled> sur "true".
  • Ajoutez les domaines pour lesquels vous souhaitez désactiver la navigation sécurisée sur la clé <SafeBrowsingWhitelistDomains>.
  • Définissez la clé <PasswordProtectionWarningTrigger> sur <integer>value</integer>, où <value> est égal à 0, 1 ou 2.
  • Ajoutez l'URL de la page Web sur laquelle vous souhaitez que les utilisateurs modifient leur mot de passe pour la clé <PasswordProtectionChangePasswordURL>.
  • Ajoutez à la clé <PasswordProtectionLoginURLs> les URL des pages Web auxquelles les utilisateurs se connectent généralement dans le navigateur Chrome. 

L'exemple suivant présente la méthode à suivre pour :

  • activer la navigation sécurisée afin d'identifier les sites Web dangereux ;
  • spécifier les pages Web sur lesquelles les utilisateurs saisissent généralement leur mot de passe ;
  • mettre sur liste blanche les domaines où la réutilisation du mot de passe n'est pas vérifiée ;
  • détecter la réutilisation des mots de passe sur les sites Web non inscrits sur une liste blanche ;
  • définir la page Web sur laquelle les utilisateurs sont invités à modifier leur mot de passe.
<key>SafeBrowsingEnabled</key>
<dict>
   <true/>
</dict>
<key>PasswordProtectionWarningTrigger</key>
<dict>
   <integer>1</integer>
</dict>
<key>PasswordProtectionChangePasswordURL</key>
<dict>
   <string>https://mydomain.com/change_password.html</string>
</dict>
<key>PasswordProtectionLoginURLs</key>
<dict>
<array>
  <string>https://mydomain.com/login.html</string>
  <string>https://login.mydomain.com</string>
</array>
</dict>
<key>SafeBrowsingWhitelistDomains</key>
<dict>
<array>
  <string>mydomain.com</string>
  <string>myuniversity.edu</string>
</array>
</dict>

Linux

Ces instructions s'appliquent aux utilisateurs Linux qui sont connectés au navigateur Chrome avec un compte géré.

Dans l'éditeur de fichiers JSON de votre choix, procédez comme suit :

  1. Accédez au dossier /etc/opt/chrome/policies/managed.
  2. Créez ou mettez à jour un fichier JSON.
  3. Définissez SafeBrowsingEnabled sur 1.
  4. Définissez PasswordProtectionWarningTrigger sur 0, 1 ou 2.
  5. Saisissez les URL si nécessaire.
    • Dans PasswordProtectionChangePasswordURL, ajoutez l'URL de la page Web sur laquelle vous souhaitez que les utilisateurs modifient leur mot de passe.
    • Dans PasswordProtectionLoginURLs, ajoutez les URL des pages Web auxquelles les utilisateurs se connectent généralement dans le navigateur Chrome.
    • Dans SafeBrowsingWhitelistDomains, ajoutez les domaines pour lesquels vous souhaitez désactiver la navigation sécurisée.
  6. Déployez la mise à jour sur les appareils de vos utilisateurs. 

L'exemple suivant présente la méthode à suivre pour :

  • activer la navigation sécurisée afin d'identifier les sites Web dangereux ;
  • spécifier les pages Web sur lesquelles les utilisateurs saisissent généralement leur mot de passe ;
  • mettre sur liste blanche les domaines où la réutilisation du mot de passe n'est pas vérifiée ;
  • détecter la réutilisation des mots de passe sur les sites Web non inscrits sur une liste blanche ;
  • définir la page Web sur laquelle les utilisateurs sont invités à modifier leur mot de passe.

{
  "SafeBrowsingEnabled": 1
}
{
  "PasswordProtectionWarningTrigger": 1
}
{
   "PasswordProtectionChangePasswordURL": "https://mydomain.com/change_password.html" 
}
{
    "PasswordProtectionLoginURLs": ["https://mydomain.com/login.html", "https://login.mydomain.com"]
}
{
    "SafeBrowsingWhitelistDomains": ["mydomain.com", "myuniversity.edu"]
}

Étape 3 : Configurez la surveillance des mots de passe

Vous pouvez utiliser Chrome Reporting Extension pour afficher les informations de journal sur l'utilisation du navigateur Chrome. Recherchez les événements suivants pour trouver des informations sur les mots de passe que les utilisateurs ont modifiés ou réutilisés.

  • onPolicySpecifiedPasswordChanged : permet de savoir si les utilisateurs modifient leur mot de passe. Disponible uniquement pour les utilisateurs de G Suite.
  • onPolicySpecifiedPasswordReuseDetected : si les utilisateurs réutilisent leur mot de passe, vous pouvez voir :
    • qui a réutilisé son mot de passe ;
    • l'URL où les utilisateurs ont réutilisé le mot de passe ;
    • si le site Web apparaît dans la liste de navigation sécurisée.

Remarque : Chrome Reporting Extension ne surveille pas les mots de passe si les utilisateurs sont en mode navigation privée.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?