ProtonBlog(new window)
S'abonner par RSS

Le gestionnaire de mots de passe Google est-il sûr ?

Partagez cette page

Google Chrome est de loin le navigateur web le plus utilisé au monde, avec plus de 3 milliards d’utilisateurs. Son gestionnaire de mots de passe intégré, le gestionnaire de mots de passe Google (Google Password Manager), est son logiciel par défaut pour créer et conserver les mots de passe des sites internet et des services.

Même s’il est pratique pour les utilisateurs de Chrome, le gestionnaire de mots de passe Google n’est pas l’option la plus sûre et cela pour plusieurs raisons importantes. Nous avons identifié plusieurs problèmes qui n’en font pas un espace sûr pour vos identifiants de connexion.

  • Google offre peu de transparence sur la façon dont l’entreprise sécurise vos informations d’identification. Le code de la plateforme n’est pas open source, il n’y a donc aucun moyen de vérifier si vos données sont vraiment sécurisées.
  • Vos mots de passe sont uniquement accessibles dans Google Chrome. En vous obligeant à rester sur sa plateforme, Google peut voir les sites internet que vous consultez, vos termes de recherche et d’autres informations vous concernant.
  • Le service ne dispose pas des fonctionnalités essentielles des gestionnaires de mots de passe modernes, comme la personnalisation du générateur de mots de passe, les codes à deux facteurs intégrés, les coffres-forts et le partage sécurisé des mots de passe.
  • Il y a aussi un risque que vous perdiez tous vos mots de passe. Cela peut arriver très facilement si Google désactive votre compte pour violation de ses conditions d’utilisation du service sur n’importe quelle plateforme Google.

Cet article aborde chacune de ces problématiques de manière approfondie. Même si le gestionnaire de mots de passe Google peut être pratique pour certaines personnes, son utilisation revient clairement à sacrifier la sécurité pour la facilité d’utilisation. Ce compromis n’est pas nécessaire puisqu’il existe des gestionnaires de mots de passe plus sûrs.

Qu’est-ce que le gestionnaire de mots de passe Google ?
Comment fonctionne le gestionnaire de mots de passe Google ?
Nous ne pouvons pas vérifier que le Gestionnaire de mots de passe Google est sécurisé
Le gestionnaire de mots de passe Google aide l’entreprise à vous espionner
Vous pouvez perdre tous vos mots de passe
Il manque des fonctionnalités importantes
Choisissez un gestionnaire de mots de passe plus sûr
Questions fréquentes

Qu’est-ce que le gestionnaire de mots de passe Google ?

Le Gestionnaire de mots de passe Google est le service de stockage de mots de passe par défaut de l’entreprise. Il vous permet :

  • D’accepter les mots de passe proposés automatiquement lors de la création d’un compte ou de la réinitialisation de votre ancien mot de passe.
  • De sauvegarder les identifiants de connexion de vos comptes.
  • De renseigner automatiquement les noms d’utilisateur et les mots de passe quand vous accédez à l’un de vos comptes.

Comment fonctionne le gestionnaire de mots de passe Google ?

Pour accéder au gestionnaire de mots de passe Google, connectez-vous à votre compte Google dans Chrome. Une fois que vous êtes connecté, le service vous propose d’enregistrer et de générer des noms d’utilisateur et des mots de passe pour vos comptes en ligne.

Dans une fenêtre Chrome, vous pouvez accéder aux mots de passe en cliquant ou en appuyant sur le menu à trois points. Vous trouverez un menu déroulant dans lequel vous pouvez sélectionner le gestionnaire de mots de passe Google (ci-dessous « Google Password Manager ») pour accéder à la liste des services pour lesquels vous avez autorisé Google à enregistrer les mots de passe.

Le gestionnaire de mots de passe Google génère des mots de passe aléatoires à votre demande quand vous créez un compte sur un site internet. Le service enregistre ces mots de passe et les renseigne automatiquement quand vous vous connectez par la suite.

Vous devez vous connecter à votre compte Google dans votre navigateur Chrome pour accéder aux mots de passe enregistrés. Google promet de chiffrer vos noms d’utilisateur et mots de passe sur votre appareil avant qu’ils ne soient envoyés aux serveurs de Google pour que l’entreprise n’ait jamais accès à vos données de connexion.

Vous pouvez par ailleurs activer le chiffrement sur l’appareil, qui semble ajouter une couche supplémentaire de chiffrement en sécurisant vos noms d’utilisateur et mots de passe sur votre appareil en utilisant le mot de passe de votre appareil et/ou un identifiant biométrique (comme une empreinte digitale ou Face ID).

Google ne semble pas avoir publié de description technique de son architecture de chiffrement, il est donc difficile de savoir comment Chrome sécurise réellement vos données. Mais selon un article du service client(new window), les données sont chiffrées de bout en bout.

Si vous avez configuré le chiffrement sur l’appareil, vous verrez un écran similaire à celui-ci avant de pouvoir lire les mots de passe :

Problèmes de sécurité et de confidentialité avec le gestionnaire de mots de passe Google

Le gestionnaire de mots de passe Google n’est pas le meilleur service pour sécuriser vos mots de passe. Qu’il s’agisse de normes de sécurité peu claires ou de problèmes de confidentialité, le gestionnaire de mots de passe Google ne répond pas aux exigences les plus élémentaires d’un service digne de confiance.

Nous ne pouvons pas vérifier que le Gestionnaire de mots de passe Google est sécurisé

Les entreprises fiables en matière de sécurité des données vous informent généralement de la manière dont elles chiffrent vos données et de la force de leurs normes de chiffrement. Google utilise cependant un code source qui n’est pas accessible au public et n’offre pas de description publique de son architecture de sécurité. Nous n’avons pas non plus trouvé d’indication que le gestionnaire de mots de passe Google a été soumis à un audit de sécurité indépendant.

Google assure(new window) que vous êtes la seule personne à pouvoir accéder aux mots de passe que vous avez définis et enregistrés dans son gestionnaire de mots de passe, mais il n’existe aucun moyen de vérifier cette affirmation.

Ce genre de mystère est toujours inquiétant. Alors que l’informatique quantique et les nouvelles formes de chiffrement menacent de changer la donne en matière de sécurité, l’approche manquant de transparence de Google deviendra encore plus dangereuse pour les utilisateurs. L’entreprise n’est pas à l’abri de failles de sécurité, comme l’a montré la révélation que Google conservait en clair les mots de passe des utilisateurs de la G Suite(new window).

Un bon gestionnaire de mots de passe doit respecter les normes de l’industrie et résister à un examen minutieux de la part des universitaires, ce qui implique un fonctionnement transparent. Le code open source permet à des experts indépendants de vérifier les déclarations de sécurité des développeurs et de s’assurer que le chiffrement est mis en œuvre en toute sécurité. Les gestionnaires de mots de passe open source sont toujours mis à jour et améliorés sur la base des commentaires du public.

Le gestionnaire de mots de passe Google aide l’entreprise à vous espionner

Un gestionnaire de mots de passe devrait vous aider à protéger votre identité, mais le gestionnaire de mots de passe Google semble conçu pour verrouiller davantage votre identité dans l’écosystème de surveillance de Google.

Alors que d’autres gestionnaires de mots de passe proposent des applications et des programmes distincts que vous pouvez utiliser sur différents appareils et systèmes d’exploitation, le gestionnaire de mots de passe Google vous oblige à vous connecter à Chrome pour accéder à vos informations d’identification. Google s’appuie sur les utilisateurs connectés pour obtenir des informations privées sur leur comportement et leurs centres d’intérêt.

Quand vous utilisez Chrome en étant connecté à votre compte, l’entreprise peut voir les sites internet que vous visitez et à quel moment. Elle peut aussi voir ce que vous recherchez dans Google et associer ces informations au profil détaillé qu’elle crée sur vous à des fins de publicité ciblée.

Le gestionnaire de mots de passe Google est donc un outil de plus que l’entreprise utilise pour surveiller votre identité numérique(new window) et tirer profit de vos données.

Vous pouvez perdre tous vos mots de passe

Quand vous utilisez un gestionnaire de mots de passe, vous vous attendez à pouvoir accéder indéfiniment à vos mots de passe et autres données. Cependant, avec le gestionnaire de mots de passe Google, vous pourriez soudainement ne plus avoir accès à vos propres données.

Google peut désactiver votre compte(new window) si l’entreprise estime que vous avez enfreint ses conditions d’utilisation du service sur l’un de ses produits, que ce soit YouTube ou Gmail. Même si cette violation présumée a lieu en dehors du Gestionnaire de mots de passe Google ou de Chrome, vous perdrez tout de même l’accès à vos mots de passe. Vous pouvez faire appel de la décision de Google, mais il existe de nombreux cas de demandes qui n’aboutissent pas(new window) (article en anglais). Même si cela peut aussi arriver avec d’autres services, la portée de Google et l’aspect impersonnel de son service client augmentent les risques.

Comme pour tous les services Google, vos données ne vous appartiennent pas vraiment. Votre identité est un produit que Google met à la disposition des entreprises qui font de la publicité.

Il manque des fonctionnalités importantes

Le gestionnaire de mots de passe Google est un service très basique. Par exemple, il n’y a pas de fonctionnalité intégrée d’authentification à deux facteurs, pas de coffre-fort chiffré, pas d’alias d’adresse email, pas de possibilité de partager vos mots de passe avec d’autres personnes en toute sécurité et pas d’applications autonomes.

De plus, le générateur de mots de passe du gestionnaire de mots de passe Google ne crée que des chaînes de 15 caractères choisis de manière aléatoire. D’autres gestionnaires de mots de passe vous permettent de personnaliser la longueur au-delà de 15 et de modifier la combinaison de caractères utilisés. Certains vous permettent aussi de générer une phrase secrète, qui peut être plus sûre qu’un mot de passe(new window) parce qu’elle contient une plus grande part d’entropie.

À cause de ces restrictions, Google limite votre capacité à ajuster la sécurité de vos mots de passe.

Choisissez un gestionnaire de mots de passe plus sûr

Votre gestionnaire de mots de passe doit être transparent sur son fonctionnement et se concentrer sur la protection de votre sécurité et de votre vie privée. Ce sont les spécifications minimales que Google n’offre pas.

Se limiter à protéger vos mots de passe ne suffit pas non plus. Les identifiants de connexion sont la clé de votre identité en ligne et c’est en réalité ce que vous protégez. Vous pouvez toujours changer de mot de passe, mais vous ne pouvez pas facilement modifier votre adresse e-mail, vos comportements et vos centres d’intérêt spécifiques que Google a collectés à votre sujet.

Nous avons créé Proton Pass pour qu’il soit plus qu’un simple gestionnaire de mots de passe, c’est aussi un gestionnaire d’identité. Pour ce faire, nous utilisons des fonctionnalités comme les alias d’adresse e-mail « hide-my-email », qui génèrent des alias uniques pour protéger votre véritable adresse e-mail des hackers et des spams (messages indésirables). Le phishing(new window) (hameçonnage) étant la plus grande menace pour la sécurité de votre compte, il est essentiel de garder votre véritable adresse e-mail privée.

Proton Pass est transparent sur le fonctionnement de son chiffrement(new window). Notre code est open source(new window) et régulièrement audité par des professionnels de la sécurité indépendants, ce qui signifie que tout le monde peut vérifier que notre code fonctionne comme nous l’affirmons ou lire l’évaluation d’un expert à son sujet.

Le générateur de mots de passe de Proton Pass vous donne plus de contrôle  : il vous permet de personnaliser la longueur des caractères de votre mot de passe ou de votre phrase secrète ainsi que les types de caractères utilisés. Quel que soit le niveau de fiabilité de votre mot de passe, il ne vous protègera pas s’il est dévoilé par une attaque de phishing ou un enregistreur de frappe. Nous avons donc intégré une fonction d’authentification à deux facteurs directement dans Proton Pass, ce qui vous permet d’ajouter facilement un second niveau de protection à chacun de vos comptes.

Contrairement au gestionnaire de mots de passe Google, nous proposons des applications autonomes pour les iPhones et les appareils Android, ainsi que des extensions pour le navigateur de votre choix, vous pouvez donc accéder à vos données depuis n’importe où. Vous n’êtes pas prisonnier de la plateforme de Google, où votre vie privée est menacée. Bientôt, vous pourrez aussi partager vos identifiants et autres informations sensibles en toute sécurité avec vos amis, votre famille ou vos collègues.

Avec Proton Pass, vous avez aussi l’assurance d’un chiffrement de bout en bout(new window) qui a fait ses preuves et qui protège toutes vos données, pas seulement les mots de passe. Nous chiffrons entièrement toutes les métadonnées, les noms d’utilisateur, les adresses web et toutes les données des notes chiffrées sur votre appareil de manière à ce que même Proton ne puisse pas y accéder.

De plus, Proton Pass est le gestionnaire de mots de passe gratuit le plus riche en fonctionnalités. Voici ce dont vous bénéficiez avec l’abonnement gratuit :

  • Protection sur un nombre illimité d’appareils
  • Nombre illimité d’identifiants et de notes
  • Jusqu’à 10 alias d’adresse e-mail « hide-my-email »

Proton donne la priorité à la protection de votre vie privée parce que vous êtes le client, pas le produit. Nous gagnons de l’argent en proposant des abonnements payants avec des fonctionnalités supplémentaires. En revanche, le business model de Google repose sur la collecte et l’utilisation de vos données pour établir un profil détaillé de vos centres d’intérêt et de vos comportements à des fins de publicité ciblée. Ce business model basé sur la surveillance est inévitablement en contradiction avec la protection de votre vie privée.

Heureusement, il est facile de s’éloigner des géants de la tech et de reprendre le contrôle de vos données. Si vous utilisez déjà le gestionnaire de mots de passe Google, vous pouvez importer vos mots de passe depuis Chrome vers Proton Pass, en toute sécurité. Il est aussi très facile de transférer d’autres données vers Proton Mail, Proton Calendar et nos autres produits chiffrés de bout en bout.

Découvrez les abonnements de Proton Pass.

Questions fréquentes

Doit-on garder ses mots de passe dans Google ?

Garder vos mots de passe dans Google est rapide et pratique, mais il y a de meilleurs moyens pour les conserver. Recherchez un gestionnaire de mots de passe avec des normes de chiffrement claires et une authentification à deux facteurs sur plusieurs appareils.

Est-il possible de pirater les mots de passe de Google Chrome ?

Tout logiciel peut être piraté. C’est la raison pour laquelle il est important de choisir un gestionnaire de mots de passe qui utilise des normes de chiffrement qui ont fait leurs preuves, un code open source et qui donne la priorité au respect de la vie privée et à la sécurité.

Laisser Google Chrome enregistrer et mémoriser les mots de passe est-il sans danger ?

Le gestionnaire de mots de passe passe Google est une technologie à code source fermé et l’entreprise n’a pas publié de description de son architecture de sécurité. Il est donc très difficile de vérifier si le gestionnaire de mots de passe Google peut être utilisé en toute sécurité.

Que sont les alias « hide-my-email » ?

Proton Pass crée des adresses e-mail générées de manière aléatoire qui transfèrent les messages vers votre boite de réception principale. Cela permet de protéger votre véritable identité dans les formulaires en ligne et de vous protéger contre les attaques de phishing (hameçonnage) et les spams (messages indésirables).

Qu’est-ce que l’authentification à deux facteurs (A2F) ?

L’authentification à deux facteurs, ou A2F, est un second niveau de sécurité pour protéger vos comptes. Quand elle est activée, l’authentification à deux facteurs requiert une deuxième information (comme un code à usage unique) en plus du mot de passe pour accéder à votre compte. Proton Pass dispose de l’authentification à deux facteurs intégrée, ce qui vous permet de renseigner rapidement et de manière automatique les codes A2F.

Qu’est-ce qu’un coffre-fort dans un gestionnaire de mots de passe ?

Les coffres-forts vous permettent de classer les identifiants de connexion dans des groupes que vous pouvez ensuite partager en toute sécurité avec vos amis, votre famille ou vos collègues.


Traduit et adapté par Elodie Mévil-Blanche.

Protégez votre vie privée avec Proton
Créer un compte gratuit

Articles similaires

Une communication sécurisée et fluide est la base de toute entreprise. Alors que de plus en plus d’organisations sécurisent leurs données avec Proton, nous avons considérablement élargi notre écosystème avec de nouveaux produits et services, de notre
what is a brute force attack
En matière de cybersécurité, un terme qui revient souvent est l’attaque par force brute. Une attaque par force brute est toute attaque qui ne repose pas sur la finesse, mais utilise plutôt la puissance de calcul brute pour craquer la sécurité ou même
Note : les liens dans cet article renvoient à des contenus en anglais. La section 702 du Foreign Intelligence Surveillance Act est devenue tristement célèbre comme justification juridique permettant à des agences fédérales telles que la NSA, la CIA
En réponse au nombre croissant de fuites de données, Proton Mail propose une fonctionnalité aux abonnés payants appelée surveillance du dark web. Notre système vérifie si vos identifiants ou autres données ont été divulgués sur des marchés illégaux e
Votre adresse e-mail est votre identité en ligne et vous la partagez chaque fois que vous créez un nouveau compte pour un service en ligne. Cette solution est pratique, mais elle expose votre identité au cas où des pirates parviendraient à accéder au
proton pass f-droid
Notre mission chez Proton est de contribuer à l’avènement d’un internet qui protège votre vie privée par défaut, sécurise vos données et vous donne la liberté de choix. Aujourd’hui, nous franchissons une nouvelle étape dans cette direction avec le l