Proton

Google Chrome est de loin le navigateur web le plus utilisé au monde, avec plus de 3 milliards d’utilisateurs. Son gestionnaire de mots de passe intégré, le gestionnaire de mots de passe Google (Google Password Manager), est son logiciel par défaut pour créer et conserver les mots de passe des sites internet et des services.

Même s’il est pratique pour les utilisateurs de Chrome, le gestionnaire de mots de passe Google n’est pas l’option la plus sûre et cela pour plusieurs raisons importantes. Nous avons identifié plusieurs problèmes qui n’en font pas un espace sûr pour vos identifiants de connexion.

  • Google offre peu de transparence sur la façon dont l’entreprise sécurise vos informations d’identification. Le code de la plateforme n’est pas open source, il n’y a donc aucun moyen de vérifier si vos données sont vraiment sécurisées.
  • Vos mots de passe sont uniquement accessibles dans Google Chrome. En vous obligeant à rester sur sa plateforme, Google peut voir les sites internet que vous consultez, vos termes de recherche et d’autres informations vous concernant.
  • En 2024, Google a causé plusieurs incidents de sécurité(nouvelle fenêtre) pour ses propres utilisateurs à cause d’une mauvaise gestion des infrastructures : les utilisateurs ont perdu l’accès à leurs mots de passe et les utilisateurs de Windows ont été laissés vulnérables à plusieurs exploits utilisant Google Share.
  • Le service ne dispose pas des fonctionnalités essentielles des gestionnaires de mots de passe modernes, comme la personnalisation du générateur de mots de passe, les codes à deux facteurs intégrés, les coffres-forts et le partage sécurisé des mots de passe.
  • Il y a aussi un risque que vous perdiez tous vos mots de passe. Cela peut arriver très facilement si Google désactive votre compte pour violation de ses conditions d’utilisation du service sur n’importe quelle plateforme Google.

Cet article aborde chacune de ces problématiques de manière approfondie. Même si le gestionnaire de mots de passe Google peut être pratique pour certaines personnes, son utilisation revient clairement à sacrifier la sécurité pour la facilité d’utilisation. Ce compromis n’est pas nécessaire puisqu’il existe des gestionnaires de mots de passe plus sûrs.

Qu’est-ce que le gestionnaire de mots de passe Google ?
Comment fonctionne le gestionnaire de mots de passe Google ?
Nous ne pouvons pas vérifier que le Gestionnaire de mots de passe Google est sécurisé
Le gestionnaire de mots de passe Google aide l’entreprise à vous espionner
Vous pouvez perdre tous vos mots de passe
Il manque des fonctionnalités importantes
Choisissez un gestionnaire de mots de passe plus sûr
Questions fréquentes

Qu’est-ce que le gestionnaire de mots de passe Google ?

Le Gestionnaire de mots de passe Google est le service de stockage de mots de passe par défaut de l’entreprise. Il vous permet :

  • D’accepter les mots de passe proposés automatiquement lors de la création d’un compte ou de la réinitialisation de votre ancien mot de passe.
  • De sauvegarder les identifiants de connexion de vos comptes.
  • De renseigner automatiquement les noms d’utilisateur et les mots de passe quand vous accédez à l’un de vos comptes.

Comment fonctionne le gestionnaire de mots de passe Google ?

Pour accéder au gestionnaire de mots de passe Google, connectez-vous à votre compte Google dans Chrome. Une fois que vous êtes connecté, le service vous propose d’enregistrer et de générer des noms d’utilisateur et des mots de passe pour vos comptes en ligne.

Dans une fenêtre Chrome, vous pouvez accéder aux mots de passe en cliquant ou en appuyant sur le menu à trois points. Vous trouverez un menu déroulant dans lequel vous pouvez sélectionner le gestionnaire de mots de passe Google (ci-dessous « Google Password Manager ») pour accéder à la liste des services pour lesquels vous avez autorisé Google à enregistrer les mots de passe.

Le gestionnaire de mots de passe Google génère des mots de passe aléatoires à votre demande quand vous créez un compte sur un site internet. Le service enregistre ces mots de passe et les renseigne automatiquement quand vous vous connectez par la suite.

Vous devez vous connecter à votre compte Google dans votre navigateur Chrome pour accéder aux mots de passe enregistrés. Google promet de chiffrer vos noms d’utilisateur et mots de passe sur votre appareil avant qu’ils ne soient envoyés aux serveurs de Google pour que l’entreprise n’ait jamais accès à vos données de connexion.

Vous pouvez par ailleurs activer le chiffrement sur l’appareil, qui semble ajouter une couche supplémentaire de chiffrement en sécurisant vos noms d’utilisateur et mots de passe sur votre appareil en utilisant le mot de passe de votre appareil et/ou un identifiant biométrique (comme une empreinte digitale ou Face ID).

Google ne semble pas avoir publié de description technique de son architecture de chiffrement, il est donc difficile de savoir comment Chrome sécurise réellement vos données. Mais selon un article du service client(nouvelle fenêtre), les données sont chiffrées de bout en bout.

Si vous avez configuré le chiffrement sur l’appareil, vous verrez un écran similaire à celui-ci avant de pouvoir lire les mots de passe :

Problèmes de sécurité et de confidentialité avec le gestionnaire de mots de passe Google

Le gestionnaire de mots de passe Google n’est pas le meilleur service pour sécuriser vos mots de passe. Qu’il s’agisse de normes de sécurité peu claires ou de problèmes de confidentialité, le gestionnaire de mots de passe Google ne répond pas aux exigences les plus élémentaires d’un service digne de confiance.

Nous ne pouvons pas vérifier que le Gestionnaire de mots de passe Google est sécurisé

Les entreprises fiables en matière de sécurité des données vous informent généralement de la manière dont elles chiffrent vos données et de la force de leurs normes de chiffrement. Google utilise cependant un code source qui n’est pas accessible au public et n’offre pas de description publique de son architecture de sécurité. Nous n’avons pas non plus trouvé d’indication que le gestionnaire de mots de passe Google a été soumis à un audit de sécurité indépendant.

Google assure(nouvelle fenêtre) que vous êtes la seule personne à pouvoir accéder aux mots de passe que vous avez définis et enregistrés dans son gestionnaire de mots de passe, mais il n’existe aucun moyen de vérifier cette affirmation.

Ce genre de mystère est toujours inquiétant. Alors que l’informatique quantique et les nouvelles formes de chiffrement menacent de changer la donne en matière de sécurité, l’approche manquant de transparence de Google deviendra encore plus dangereuse pour les utilisateurs. L’entreprise n’est pas à l’abri de failles de sécurité, comme l’a montré la révélation que Google conservait en clair les mots de passe des utilisateurs de la G Suite(nouvelle fenêtre).

Un bon gestionnaire de mots de passe doit respecter les normes de l’industrie et résister à un examen minutieux de la part des universitaires, ce qui implique un fonctionnement transparent. Le code open source permet à des experts indépendants de vérifier les déclarations de sécurité des développeurs et de s’assurer que le chiffrement est mis en œuvre en toute sécurité. Les gestionnaires de mots de passe open source sont toujours mis à jour et améliorés sur la base des commentaires du public.

Les événements de sécurité récents ne sont pas prometteurs

En juillet 2024, une mise à jour du gestionnaire de mots de passe Google a laissé entre 15 et 17 millions d’utilisateurs (nouvelle fenêtre)incapables d’accéder ou d’enregistrer des mots de passe. L’événement a duré près de 18 heures et a affecté des utilisateurs du navigateur Chrome dans le monde entier. Google a noté sur son tableau de bord de statut des applications(nouvelle fenêtre) que l’incident a été causé par un “changement dans le comportement du produit sans protection adéquate des fonctionnalités”.


Ce n’était pas le seul incident de Google. Encore en juillet 2024, SafeBreach, une entreprise de cybersécurité, a découvert que des attaquants avaient pu ajouter du logiciel malveillant sans fil(nouvelle fenêtre) sur les PC de leurs victimes en utilisant 10 bugs dans le partage rapide de Google pour Windows. En utilisant cette exploitation, les attaquants pouvaient ensuite exécuter du code à distance sur l’appareil de la victime et potentiellement le prendre en charge.

Le gestionnaire de mots de passe Google aide l’entreprise à vous espionner

Un gestionnaire de mots de passe devrait vous aider à protéger votre identité, mais le gestionnaire de mots de passe Google semble conçu pour verrouiller davantage votre identité dans l’écosystème de surveillance de Google.

Alors que d’autres gestionnaires de mots de passe proposent des applications et des programmes distincts que vous pouvez utiliser sur différents appareils et systèmes d’exploitation, le gestionnaire de mots de passe Google vous oblige à vous connecter à Chrome pour accéder à vos informations d’identification. Google s’appuie sur les utilisateurs connectés pour obtenir des informations privées sur leur comportement et leurs centres d’intérêt.

Quand vous utilisez Chrome en étant connecté à votre compte, l’entreprise peut voir les sites internet que vous visitez et à quel moment. Elle peut aussi voir ce que vous recherchez dans Google et associer ces informations au profil détaillé qu’elle crée sur vous à des fins de publicité ciblée. 

Le gestionnaire de mots de passe Google est donc un outil de plus que l’entreprise utilise pour surveiller votre identité numérique(nouvelle fenêtre) et tirer profit de vos données.

Vous pouvez perdre tous vos mots de passe

Quand vous utilisez un gestionnaire de mots de passe, vous vous attendez à pouvoir accéder indéfiniment à vos mots de passe et autres données. Cependant, avec le gestionnaire de mots de passe Google, vous pourriez soudainement ne plus avoir accès à vos propres données.

Google peut désactiver votre compte(nouvelle fenêtre) si l’entreprise estime que vous avez enfreint ses conditions d’utilisation du service sur l’un de ses produits, que ce soit YouTube ou Gmail. Même si cette violation présumée a lieu en dehors du Gestionnaire de mots de passe Google ou de Chrome, vous perdrez tout de même l’accès à vos mots de passe. Vous pouvez faire appel de la décision de Google, mais il existe de nombreux cas de demandes qui n’aboutissent pas(nouvelle fenêtre) (article en anglais). Même si cela peut aussi arriver avec d’autres services, la portée de Google et l’aspect impersonnel de son service client augmentent les risques.

Comme pour tous les services Google, vos données ne vous appartiennent pas vraiment. Votre identité est un produit que Google met à la disposition des entreprises qui font de la publicité. 

Il manque des fonctionnalités importantes

Le gestionnaire de mots de passe Google est un service très basique. Par exemple, il n’y a pas de fonctionnalité intégrée d’authentification à deux facteurs, pas de coffre-fort chiffré, pas d’alias d’adresse email, pas de possibilité de partager vos mots de passe avec d’autres personnes en toute sécurité et pas d’applications autonomes.

De plus, le générateur de mots de passe du gestionnaire de mots de passe Google ne crée que des chaînes de 15 caractères choisis de manière aléatoire. D’autres gestionnaires de mots de passe vous permettent de personnaliser la longueur au-delà de 15 et de modifier la combinaison de caractères utilisés. Certains vous permettent aussi de générer une phrase secrète, qui peut être plus sûre qu’un mot de passe(nouvelle fenêtre) parce qu’elle contient une plus grande part d’entropie. 

À cause de ces restrictions, Google limite votre capacité à ajuster la sécurité de vos mots de passe.

Choisissez un gestionnaire de mots de passe plus sûr

Votre gestionnaire de mots de passe doit être transparent sur son fonctionnement et se concentrer sur la protection de votre sécurité et de votre vie privée. Ce sont les spécifications minimales que Google n’offre pas. En 2024, lorsque les cyberattaques à grande échelle ciblant les mots de passe sont fréquentes(nouvelle fenêtre), cela n’est pas suffisant.

Se limiter à protéger vos mots de passe ne suffit pas non plus. Les identifiants de connexion sont la clé de votre identité en ligne et c’est en réalité ce que vous protégez. Vous pouvez toujours changer de mot de passe, mais vous ne pouvez pas facilement modifier votre adresse e-mail, vos comportements et vos centres d’intérêt spécifiques que Google a collectés à votre sujet.

Nous avons créé Proton Pass pour qu’il soit plus qu’un simple gestionnaire de mots de passe — c’est aussi un gestionnaire d’identité. Pour ce faire, nous utilisons des fonctionnalités comme les alias d’adresse e-mail « hide-my-email », qui génèrent des alias uniques pour protéger votre véritable adresse e-mail des hackers et des spams (messages indésirables). Le phishing(nouvelle fenêtre) (hameçonnage) étant la plus grande menace pour la sécurité de votre compte, il est essentiel de garder votre véritable adresse e-mail privée.

Proton Pass est transparent sur le fonctionnement de son chiffrement(nouvelle fenêtre). Notre code est open source(nouvelle fenêtre) et régulièrement audité par des professionnels de la sécurité indépendants, ce qui signifie que tout le monde peut vérifier que notre code fonctionne comme nous l’affirmons ou lire l’évaluation d’un expert à son sujet.

Le générateur de mots de passe de Proton Pass vous donne plus de contrôle : il vous permet de personnaliser la longueur des caractères de votre mot de passe ou de votre phrase secrète, ainsi que les types de caractères. Quel que soit le niveau de fiabilité de votre mot de passe, il ne vous protègera pas s’il est dévoilé par une attaque de phishing ou un enregistreur de frappe. Nous avons donc intégré une fonction d’authentification à deux facteurs directement dans Proton Pass, ce qui vous permet d’ajouter facilement un second niveau de protection à chacun de vos comptes.

Contrairement au gestionnaire de mots de passe Google, nous proposons des applications indépendantes pour iPhones et appareils Android et des extensions pour le navigateur de votre choix afin que vous puissiez accéder à vos données partout. Vous n’êtes pas prisonnier de la plateforme de Google, où votre vie privée est menacée. Vous pouvez facilement partager des identifiants et d’autres informations sensibles avec des amis, des membres de la famille ou des collègues de manière sécurisée en utilisant liens sécurisés.

Avec Proton Pass, vous avez aussi l’assurance d’un chiffrement de bout en bout(nouvelle fenêtre) qui a fait ses preuves et qui protège toutes vos données, pas seulement les mots de passe. Nous chiffrons entièrement toutes les métadonnées, les noms d’utilisateur, les adresses web et toutes les données des notes chiffrées sur votre appareil de manière à ce que même Proton ne puisse pas y accéder.

De plus, Proton Pass est le gestionnaire de mots de passe gratuit le plus riche en fonctionnalités. Voici ce dont vous bénéficiez avec l’abonnement gratuit :

  • Protection sur un nombre illimité d’appareils
  • Nombre illimité d’identifiants et de notes
  • Jusqu’à 10 alias d’adresse e-mail « hide-my-email »

Proton donne la priorité à la protection de votre vie privée parce que vous êtes le client, pas le produit. Nous gagnons de l’argent en proposant des abonnements payants avec des fonctionnalités supplémentaires. En revanche, le business model de Google repose sur la collecte et l’utilisation de vos données pour établir un profil détaillé de vos centres d’intérêt et de vos comportements à des fins de publicité ciblée. Ce business model basé sur la surveillance est inévitablement en contradiction avec la protection de votre vie privée. 

Heureusement, il est facile de s’éloigner des géants de la tech et de reprendre le contrôle de vos données. Si vous utilisez déjà le gestionnaire de mots de passe Google, vous pouvez importer vos mots de passe depuis Chrome vers Proton Pass, en toute sécurité. Il est aussi très facile de transférer d’autres données vers Proton Mail, Proton Calendar et nos autres produits chiffrés de bout en bout.

Découvrez les abonnements de Proton Pass

Questions fréquentes

Doit-on garder ses mots de passe dans Google ?

Garder vos mots de passe dans Google est rapide et pratique, mais il y a de meilleurs moyens pour les conserver. Recherchez un gestionnaire de mots de passe avec des normes de chiffrement claires et une authentification à deux facteurs sur plusieurs appareils.

Est-il possible de pirater les mots de passe de Google Chrome ?

Tout logiciel peut être piraté. C’est la raison pour laquelle il est important de choisir un gestionnaire de mots de passe qui utilise des normes de chiffrement qui ont fait leurs preuves, un code open source et qui donne la priorité au respect de la vie privée et à la sécurité.

Laisser Google Chrome enregistrer et mémoriser les mots de passe est-il sans danger ?

Le gestionnaire de mots de passe passe Google est une technologie à code source fermé et l’entreprise n’a pas publié de description de son architecture de sécurité. Il est donc très difficile de vérifier si le gestionnaire de mots de passe Google peut être utilisé en toute sécurité.

Que sont les alias « hide-my-email » ?

Proton Pass crée des adresses e-mail générées de manière aléatoire qui transfèrent les messages vers votre boite de réception principale. Cela permet de protéger votre véritable identité dans les formulaires en ligne et de vous protéger contre les attaques de phishing (hameçonnage) et les spams (messages indésirables).

Qu’est-ce que l’authentification à deux facteurs (A2F) ?

L’authentification à deux facteurs, ou A2F, est un second niveau de sécurité pour protéger vos comptes. Quand elle est activée, l’authentification à deux facteurs requiert une deuxième information (comme un code à usage unique) en plus du mot de passe pour accéder à votre compte. Proton Pass dispose de l’authentification à deux facteurs intégrée, ce qui vous permet de renseigner rapidement et de manière automatique les codes A2F.

Qu’est-ce qu’un coffre-fort dans un gestionnaire de mots de passe ?

Les coffres-forts vous permettent de classer les identifiants de connexion dans des groupes que vous pouvez ensuite partager en toute sécurité avec vos amis, votre famille ou vos collègues.

Articles similaires

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.