Je gardais tous mes mots de passe enregistrés dans Chrome depuis des années : le jour où un ami a ouvert les paramètres, j’ai compris ce que n’importe qui pouvait voir en 3 clics

Un pote regarde ton PC, ouvre Chrome, tape « passwords.google.com » ou clique sur les trois petits points en haut à droite, et là, en trois clics, il tombe sur la liste complète de tes identifiants. Un quatrième clic sur la petite icône en forme d’œil, et le mot de passe s’affiche en clair. Pas de coffre-fort à déverrouiller, pas de code secret à deviner. Juste ça.

C’est exactement ce qui m’est arrivé il y a quelques semaines. Un ami curieux, un ordinateur déverrouillé, et la découverte que des années de mots de passe (banque, mails, réseaux sociaux) étaient accessibles avec la même facilité qu’on consulte sa liste de courses. Autant dire que j’ai passé la soirée suivante à tout changer.

À retenir

  • Chrome ne demande que votre mot de passe Windows ou macOS pour accéder à tous vos identifiants en clair
  • Les malwares le savent et ciblent spécifiquement la base de données des mots de passe de Chrome
  • Votre compte Google est la clé universelle : sécurisez-le ou perdez tout d’un coup

Le problème : Chrome n’a jamais eu de mot de passe maître

Ce n’est pas un bug, c’est un choix de conception qui dure depuis plus d’une décennie. Quand on a oublié son mot de passe, il existe un moyen de le retrouver en passant par les paramètres du navigateur, et dans le cas de Chrome, il n’existe aucune protection, ni même aucune option pour protéger ces mots de passe. Concrètement, les identifiants sont regroupés dans la section « Saisie automatique », sous « Gestionnaire de mots de passe », où la liste complète des sites enregistrés s’affiche, et à droite de chaque site, l’icône œil attend le clic. En l’activant, Chrome demande le mot de passe de la session avant de révéler le mot de passe en clair.

Le hic, c’est que cette vérification n’a rien d’un vrai verrou. Pour afficher un mot de passe en clair, il faut passer par l’authentification du compte utilisateur de l’ordinateur ou du mobile, un garde-fou qui n’a rien d’un mot de passe maître. si ta session Windows ou macOS est ouverte, ou si ton empreinte digitale déverrouille ton téléphone, n’importe qui assis devant ton écran accède à tout. Si tu laisses ton appareil déverrouillé et connecté, une personne avec un accès physique peut naviguer vers les paramètres de Chrome et voir les mots de passe enregistrés, en ayant souvent seulement besoin de ton code PIN ou mot de passe pour vérification.

Firefox, de son côté, propose depuis des années une option de mot de passe principal séparé de la session système. Chrome, malgré des mises à jour régulières, continue de faire l’impasse dessus. Un choix assumé par Google, qui mise plutôt sur la sécurité globale du compte.

Pourquoi c’est plus risqué qu’il n’y paraît

Le vrai danger ne se limite pas à l’ami curieux qui fouille ton PC. Le risque le plus important, c’est que la sécurité de tout ton coffre-fort de mots de passe équivaut à la sécurité de ton compte Google. Si un attaquant obtient un accès non autorisé à ton compte Google via le phishing ou un malware, il récupère absolument tout d’un coup. Pas besoin de deviner chaque mot de passe un par un : le compte Google devient la clé universelle.

Et les logiciels malveillants ne s’y trompent pas. Des malwares comme CopperStealer, Redline Stealer ou XLoader s’infiltrent et aspirent en quelques secondes les identifiants bancaires, professionnels ou sociaux. Un exemple concret : un groupe de ransomware nommé Qilin a été repéré en train d’utiliser des scripts malveillants pour extraire directement les mots de passe sauvegardés depuis la base de données de Chrome. Ces identifiants finissent ensuite sur le Dark Web, où une carte de crédit ou un compte de stockage cloud se négocie comme n’importe quelle marchandise.

Techniquement, quand Chrome enregistre un mot de passe, il le stocke dans une base de données SQLite locale sur l’appareil, et le chiffrement de cette base varie selon le système d’exploitation : sous Windows, Chrome utilise DPAPI, qui lie le chiffrement au compte utilisateur Windows. Ce qui veut dire que si quelqu’un a déjà ta session ouverte, la barrière technique tombe d’elle-même. Vu que Chrome maintient une part de marché mondiale de plus de 65% mi-2025, ce n’est pas un détail marginal : c’est littéralement le trousseau numérique de la majorité des internautes qui repose sur ce système.

Comment verrouiller tout ça sans y passer la nuit

La bonne nouvelle, c’est que quelques réglages suffisent à réduire nettement le risque, sans forcément migrer vers un autre outil. La priorité absolue : muscler ton compte Google. Active la validation en deux étapes et, si possible, une clé physique ou un passkey, parce que c’est ton identifiant Google qui devient le point de défaillance unique, et un mot de passe faible ou l’absence de double authentification met en danger tout ton coffre-fort.

Ensuite, active le chiffrement sur l’appareil (on-device encryption) proposé par Google. C’est une fonctionnalité de sécurité qui chiffre et déchiffre les mots de passe directement sur l’appareil plutôt que via le compte Google, ce qui limite l’exposition en cas de fuite côté serveur. Passe aussi régulièrement par le check-up intégré : pour vérifier les mots de passe enregistrés, il faut ouvrir Chrome, sélectionner Saisie automatique et mots de passe puis Gestionnaire de mots de passe de Google, et à gauche, sélectionner Check-up. Cet outil compare les identifiants enregistrés avec des bases de données de fuites connues et affiche une alerte rouge en cas de mot de passe compromis, recommandant un changement immédiat.

Si tu comptes exporter tes mots de passe pour changer de navigateur, un réflexe s’impose : le fichier CSV exporté contient tous les mots de passe en clair, il faut donc le supprimer immédiatement après import dans le nouvel outil. C’est le genre de fichier qui traîne trop souvent dans un dossier Téléchargements oublié.

Pour les comptes vraiment sensibles (banque, mail principal, espace fiscal), la logique change. Chrome manque des propriétés fondamentales qui définissent un gestionnaire de mots de passe digne de confiance : pas de mot de passe maître indépendant, pas de chiffrement zéro-connaissance par défaut, pas d’isolation du coffre par rapport au compte Google plus large. La recommandation pratique reste claire : continuer à utiliser l’autofill de Chrome si c’est la seule barrière contre la réutilisation de mots de passe, mais prévoir de migrer vers un gestionnaire dédié pour tout compte qui compte vraiment. Bitwarden, 1Password ou d’autres outils du genre ajoutent une couche que Chrome ne proposera sans doute jamais : un mot de passe maître que même l’éditeur ne connaît pas.

Un dernier détail que peu de gens vérifient : Google distribue désormais, séparément de Chrome, une application Android appelée simplement « Gestionnaire de mots de passe », qui sert de raccourci vers le gestionnaire intégré au compte Google, avec l’avantage que la gestion des mots de passe ne nécessite plus d’ouvrir Chrome ni de naviguer dans ses paramètres. Elle reçoit ses propres mises à jour de sécurité, indépendamment du navigateur. Pratique, mais ça veut aussi dire une porte d’entrée de plus vers ton coffre-fort si ton téléphone traîne sans code de verrouillage sur la table du salon.

Leave a Comment