Ouvrir les paramètres de Chrome, cliquer sur « Gestionnaire de mots de passe », sélectionner n’importe quel compte enregistré, appuyer sur l’icône en forme d’œil : le mot de passe apparaît en clair. Trois clics. C’est aussi simple que ça. Et c’est précisément ce qu’ont découvert des millions d’utilisateurs qui pensaient que leur navigateur jouait le rôle de coffre-fort impénétrable.
À retenir
- Vos mots de passe Chrome ne sont protégés que par votre session Windows ou macOS
- Des malwares sophistiqués ciblent depuis 2025 les navigateurs pour voler les identifiants
- Une migration vers Bitwarden ou KeePass prend 10 minutes et change tout
Ce que Chrome fait vraiment avec vos mots de passe
Chrome propose par défaut d’enregistrer les identifiants lors de la connexion à des sites ou services en ligne. La mécanique est rodée, presque hypnotique : une petite fenêtre surgit, on clique « Enregistrer », et on passe à autre chose. Confort immédiat, réflexion zéro.
Mais voilà où ça coince. Les mots de passe stockés localement peuvent être affichés en clair après une simple authentification système, y compris par toute personne ayant accès à l’ordinateur. : si quelqu’un s’assoit devant votre PC déverrouillé le temps que vous alliez faire un café, il peut potentiellement lire tous vos identifiants. Le seul rempart, c’est votre session Windows ou macOS ouverte, pas exactement le Fort Knox numérique qu’on imaginait.
La synchronisation ajoute une autre dimension au problème. Les mots de passe sauvegardés se retrouvent dans tous les appareils où le compte Google est synchronisé : téléphone, tablette, ordinateur de bureau. Ce qui veut dire que le périmètre d’exposition n’est pas un seul appareil, mais potentiellement tous ceux que vous possédez, et que vous avez un jour connectés à ce compte Google.
Sur le plan technique, lorsque vous utilisez Chrome pour vous connecter à un site, Chrome chiffre votre nom d’utilisateur et votre mot de passe à l’aide d’une clé secrète connue uniquement de votre appareil. Ce chiffrement existe, il est réel. Mais le gestionnaire de mots de passe de Google ne dispose pas de contrôles de sécurité de niveau entreprise, tels que le chiffrement zero knowledge. La nuance est là : vos données sont chiffrées en transit et au repos, mais le modèle ne garantit pas que vous seul, mathématiquement, pouvez les déchiffrer.
Le problème que personne ne mentionne dans le tutoriel de démarrage
Le navigateur simplifie la vie lorsqu’il s’agit de retenir des identifiants, mais n’offre pas la même résistance qu’un outil dédié. Cette phrase résume tout. Chrome a été conçu pour naviguer, pas pour être une chambre forte. Le gestionnaire de mots de passe intégré est une fonctionnalité de commodité, pas un produit de sécurité pensé from scratch pour protéger des données critiques.
La menace physique (quelqu’un devant votre écran) est la plus visible, mais ce n’est pas la plus sophistiquée. Depuis début 2026, des malwares ciblant spécifiquement les mots de passe stockés dans les navigateurs se multiplient à une vitesse préoccupante. VoidStealer, un infostealer commercialisé comme service sur des forums du dark web depuis mi-décembre 2025, fonctionne sur abonnement : des cybercriminels paient pour accéder à l’outil et l’utiliser contre leurs propres cibles. Un modèle économique aussi banal qu’un abonnement Spotify, appliqué au vol d’identifiants.
Ce qui rend ces attaques particulièrement retorses, c’est leur discrétion. Un infostealer ne bloque pas forcément l’ordinateur. Il fait parfois pire : il vole les mots de passe, les cookies de session et les accès sans bruit. Plus le navigateur centralise de mots de passe, de sessions actives, de cartes enregistrées et d’identifiants sensibles, plus il devient une cible de choix. C’est mathématique. Plus vous mettez d’œufs dans le panier Chrome, plus l’impact d’une compromission est catastrophique.
Google n’est pas resté les bras croisés : à l’été 2024, l’entreprise a déployé l’App-Bound Encryption dans Chrome pour empêcher les malwares exécutés avec de simples droits utilisateur de récupérer trop facilement les données sensibles stockées dans le navigateur. Bonne initiative. Mais VoidStealer a démontré que ce mécanisme, solide pendant près d’un an, peut être contourné. Le chat et la souris, version cybersécurité.
Migrer vers un vrai gestionnaire de mots de passe : par où commencer
La bonne nouvelle, c’est que la migration est moins douloureuse qu’on ne le croit. Et les alternatives gratuites sont sérieuses.
Bitwarden est le gestionnaire de mots de passe le plus crédible du marché : open source, audité par des tiers indépendants, avec un chiffrement AES-256 zero-knowledge, et gratuit sans limitation sur le nombre d’appareils ou de mots de passe. L’architecture zero-knowledge signifie que même Bitwarden ne peut pas lire votre coffre. Le processus est le suivant : le mot de passe maître est transformé en clé de chiffrement, cette clé chiffre le coffre localement sur l’appareil, et le serveur stocke uniquement le coffre chiffré, sans jamais posséder la clé de déchiffrement. C’est différent de ce que fait Chrome.
Pour les profils plus paranoïaques (et c’est un compliment), KeePass est uniquement local, sans compte ni cloud ni abonnement : il conserve un seul fichier chiffré qu’on synchronise soi-même via Dropbox, un NAS, une clé USB ou rien du tout. Zéro surface d’attaque distante. L’interface date un peu de l’ère Windows XP, mais la sécurité, elle, est irréprochable.
Exporter ses mots de passe depuis Chrome est simple : en haut à droite, sélectionnez « Plus », puis « Mots de passe et saisie automatique », puis « Gestionnaire de mots de passe de Google ». De là, l’option d’export vers un fichier CSV est accessible. Attention : ce fichier contiendra tous vos mots de passe en clair, il faut donc le supprimer immédiatement après l’import dans le nouveau gestionnaire. Supprimez immédiatement le fichier exporté pour éviter tout risque de fuite.
Une fois migré, pensez à désactiver la sauvegarde automatique dans Chrome. Dans les paramètres de l’application Chrome, accédez au « Gestionnaire de mots de passe » et désactivez l’option « Proposer d’enregistrer les mots de passe ». Plus de tentation, plus de risque d’alimenter deux coffres en parallèle par inadvertance.
Une couche supplémentaire qui change tout
Quel que soit l’outil choisi, un reflexe s’impose sur tous les comptes sensibles : l’authentification à deux facteurs. Activez-la partout où c’est possible, en particulier sur les messageries, les services cloud et les comptes professionnels. Un mot de passe volé sans le second facteur reste inutilisable pour l’attaquant sur les services qui l’imposent.
Le chiffrement sur l’appareil proposé par Google mérite aussi d’être mentionné. Google propose un chiffrement optionnel sur l’appareil, qui stocke la clé de chiffrement localement plutôt que dans le cloud. Cette fonctionnalité n’est pas de type zero knowledge et doit être activée manuellement. Si vous tenez absolument à rester dans l’écosystème Chrome, c’est le minimum à activer immédiatement dans les paramètres du gestionnaire. Ça ne compense pas les limites structurelles, mais c’est toujours mieux que les réglages par défaut.
Un détail technique rarement évoqué mérite d’être mentionné : en juillet 2024, une mise à jour de Google Password Manager a laissé entre 15 et 17 millions d’utilisateurs dans l’impossibilité d’accéder à leurs mots de passe ou d’en enregistrer de nouveaux, pendant près de 18 heures. Stocker ses accès chez un tiers unique, quel qu’il soit, c’est accepter ce risque de dépendance. Avec un gestionnaire dédié dont vous contrôlez le coffre, ce scénario devient vos propres mains.
Sources : les-clefs-du-net.com | support.google.com