Tu es en déplacement, ton téléphone n'a plus de réseau, et il te faut changer d'hôtel rapidement. À la réception, un PC du business center, le browser déjà ouvert, et une réceptionniste souriante te lance « connecte-toi, ne te gêne pas ». Tu hésites une seconde, deux threads Reddit flippants te reviennent en tête, et tu tapes quand même ton mot de passe Gmail. Une semaine plus tard, tu découvres que ton compte a été piraté pile à l'heure où tu étais devant cette borne.
Les ordinateurs partagés ne sont pas forcément malveillants, mais ils ne sont pas les tiens. Tu ignores ce qui tourne en arrière-plan, si des mots de passe sont enregistrés à la volée, si quelqu'un regarde par-dessus ton épaule, ou si le store du browser héberge un keylogger déguisé en extension. Le risque est réel, les conseils pratiques restent souvent flous. Cet article remet de l'ordre dans ce qui se passe vraiment et présente une configuration qui contourne le problème.
Ce que les appareils partagés captent réellement
Les frappes clavier. Sur un appareil compromis, un petit keylogger suffit à capter chaque mot de passe que tu tapes. Les keyloggers hardware entre clavier et port USB ne sont qu'une variante ; les keyloggers logiciels se déguisent en service système et sont invisibles pour un utilisateur non admin.
Mots de passe enregistrés et autofill. Quand le browser propose d'enregistrer ton mot de passe et que tu cliques « oui » par réflexe, il atterrit dans le coffre local, récupérable par tout utilisateur suivant. Le seul rempart, le plus souvent, c'est le mot de passe de l'OS, que tu connais, mais le propriétaire de la machine et sa famille aussi.
Historique du browser et cookies. Même après une déconnexion propre, URL et cookies de session restent souvent à un clic d'« Historique ». La navigation privée aide, à condition d'y penser, et seulement contre les traces locales, pas contre les keyloggers ni l'enregistrement d'écran.
Presse-papiers. Copie un mot de passe depuis un gestionnaire, il reste dans le presse-papiers du système jusqu'à ce qu'autre chose l'écrase. Beaucoup de clipboard managers consignent en silence tout ce qui y passe.
Trois scénarios, trois risques
La borne d'hôtel ou de bibliothèque. Le PC est public, géré par quelqu'un qui n'est pas du métier, tourne souvent sur un OS obsolète et n'est quasiment jamais nettoyé d'un utilisateur à l'autre. Le risque de base, c'est un keylogger installé par quelqu'un avant toi. La probabilité n'est pas énorme, mais dans le pire des cas c'est un compte entier qui part.
L'ordinateur d'un ami. L'appareil est personnel et probablement pas malveillant, mais tu ne connais pas son état. Un ami plein de bonne volonté a très bien pu installer une extension de browser qui relève chaque champ mot de passe. Pire : si tu cliques sans réfléchir sur « Enregistrer », ton mot de passe finit dans le coffre du browser, chez lui.
Le laptop pro d'un collègue. Là, c'est la DSI qui s'invite. Les laptops d'entreprise font tourner souvent un endpoint monitoring qui enregistre frappes et trafic browser. Rien de malveillant, sauf que ton mot de passe perso atterrit dans les logs d'un employeur qui ne t'a jamais embauché.
Les précautions classiques, notées honnêtement
| Mesure | Arrête les keyloggers | Arrête le vol de cookies | Pratique |
|---|---|---|---|
| Mode incognito | Non | En partie | Oui |
| Password manager + autofill | Non | Non | Seulement si installé |
| Se déconnecter après la session | Non | Oui | Oui |
| Vider l'historique du browser | Non | En partie | Oui |
| Clé hardware (FIDO2) | Non | Oui | Seulement si préparée |
| Cloud browser | Oui | Oui | Oui |
La navigation privée et la déconnexion règlent le problème des cookies, pas celui des keyloggers. Une clé hardware protège le moment du login, pas la session qui suit. Si un infostealer tourne sur la machine, il récupère la session une fois que tu es authentifié. Plus de détails sur cette attaque dans Session Hijacking.
La seule mesure efficace contre toutes les attaques qui comptent sur un appareil partagé, c'est de faire en sorte que le login n'ait jamais lieu sur l'appareil.
Pourquoi un cloud browser dissout le problème
Un cloud browser, c'est un browser qui tourne sur une infrastructure distante et ne te renvoie que son image en streaming. Tu le vois dans un onglet du browser local, mais le vrai traitement se passe dans une VM jetable, dans un datacenter. Quand tu tapes ton mot de passe, voilà ce qui arrive : les caractères partent en paquet chiffré jusqu'à la session distante, qui les injecte dans son propre formulaire de browser et renvoie le résultat chiffré au service qui t'authentifie. À aucun moment cela ne touche la machine locale à un niveau qu'un keylogger puisse intercepter, parce que le mot de passe n'a jamais existé comme tel sur la machine locale, seulement sous forme de stream chiffré.
Dans le même mouvement, aucun cookie de session ne reste sur l'appareil partagé : le cookie vit dans le container cloud, jeté en fin de session. L'autofill et le coffre de mots de passe ne tournent même pas en local. L'historique du browser ne contient que l'URL du cloud browser lui-même, pas les sites que tu y as visités.
Bref : la machine locale n'est plus dans la boucle de login. Ce n'est plus qu'un écran et un relais clavier qui fait transiter des événements chiffrés.
Un workflow concret
Pour ce cas rare où tu dois vraiment bosser sur l'appareil de quelqu'un d'autre, ce workflow suffit.
- 1
N'ouvre pas le browser local, ouvre un cloud browser
Tu laisses l'installation locale de Chrome ou d'Edge tranquille. Tu lances une session cloud dans un nouvel onglet. - 2
Connecte-toi une seule fois au coffre de ton password manager
Dans le cloud browser. À partir de là, l'autofill se charge de tous les autres logins. Le seul secret que tu tapes réellement sur le clavier de l'appareil d'emprunt, c'est ton mot de passe maître. - 3
Passe par une 2FA ponctuelle pour les comptes sensibles
Si tu as une clé hardware sur toi, branche-la le temps du login, pas plus. Pour le TOTP, un code depuis ton téléphone suffit largement. - 4
Termine la session cloud volontairement
Pas juste l'onglet, la session. Un clic sur « Terminer la session » démonte le container cloud. Ce qui reste sur l'appareil local, c'est un historique d'onglet qui ne montre que l'URL du service cloud.
Et si tu avais un vrai bureau, partout, sur n'importe quel appareil ?
Teste Browser.lol gratuitement et retrouve toute la puissance d'un PC, même depuis ton téléphone.
Ouvrir mon bureau virtuelRien à installer • Tous les appareils
