Vos identifiants d’accès numériques constituent les piliers de votre présence en ligne, ouvrant la voie à vos réseaux sociaux, plateformes de paiement et potentiellement même à votre système de sécurité domestique. L’outil gratuit de gestion des mots de passe proposé par Google s’intègre harmonieusement avec ses autres services, vous permettant d’accéder à vos sésames numériques depuis n’importe quel appareil. Cependant, quelle est son niveau de sécurité réel et comment se positionne-t-il par rapport à ses concurrents ?
Qu’est-ce que le Gestionnaire de Mots de Passe Google ?
Si vous avez déjà utilisé un Chromebook, un appareil Android ou navigué sur Internet avec le navigateur Chrome de Google, il est fort probable que vous ayez déjà croisé le Gestionnaire de Mots de Passe Google.
Lorsque vous saisissez vos informations de connexion sur un site web, une notification vous propose généralement d’ « Enregistrer le mot de passe ». Vous avez alors deux possibilités : « Enregistrer » ou « Jamais ».
En optant pour « Enregistrer », lors de votre prochaine visite sur ce même site, Chrome sera en mesure de renseigner automatiquement vos identifiants, c’est-à-dire votre nom d’utilisateur et votre mot de passe, sans que vous ayez besoin de vous les remémorer.
Pourquoi Opter pour le Gestionnaire de Mots de Passe Google ?
La réponse tient en un mot : la simplicité. Si vous utilisez déjà Google Chrome, l’utilisation de l’outil intégré de gestion des mots de passe devient une évidence.
Vous avez la possibilité de vous connecter sur n’importe quel navigateur Chrome et d’accéder automatiquement à vos sites web favoris, comme si vous étiez sur votre ordinateur habituel.
Pour consulter les mots de passe enregistrés, que vous soyez connecté ou non à Chrome ou à un autre service Google, vous pouvez accéder à la section dédiée à la gestion des mots de passe de Google depuis votre navigateur. La manipulation est simple, il vous suffit de vous souvenir de votre mot de passe Google.
Où le Gestionnaire de Mots de Passe Google Stocke-t-il Vos Identifiants ?
Si vous êtes connecté à votre compte Google, vos mots de passe Chrome enregistrés localement seront automatiquement synchronisés avec l’adresse passwords.google.com. Si vous n’êtes pas connecté, vous pouvez taper chrome://password-manager/passwords dans la barre d’adresse de votre navigateur.
Pour accéder à vos mots de passe sans avoir à saisir d’URL, vous devez d’abord installer le Gestionnaire de Mots de Passe Google en local. Pour cela, cliquez sur l’icône de menu située en haut à droite de l’application Chrome et choisissez « Installer Google Password Manager… », puis confirmez l’installation.
Suite à cette manipulation, une nouvelle option, nommée « Google Password Manager », sera disponible dans le menu. Vous pourrez alors cliquer dessus pour consulter vos identifiants de connexion. Il vous sera également possible d’utiliser la nouvelle icône qui apparaîtra sur votre bureau.
Sur un ordinateur Windows, vos informations de connexion Google enregistrées se trouvent dans un fichier SQLite situé dans le répertoire suivant : C:\Users\your_username\AppData\Local\Google\Chrome\User Data\Default\Login Data.
Vous pouvez ouvrir ce fichier à l’aide d’un navigateur SQLite dédié ou avec le Bloc-notes. Toutefois, en choisissant cette dernière option, le formatage risque d’être étrange et certains caractères illisibles.
Dans ce fichier, vous trouverez les adresses des sites pour lesquels vous avez un mot de passe enregistré, votre nom d’utilisateur ou votre adresse e-mail, ainsi que votre mot de passe crypté.
Quel Est le Niveau de Sécurité du Gestionnaire de Mots de Passe Google ?
Google est l’une des entreprises technologiques les plus importantes et influentes au monde. Si vous utilisez l’authentification multi-facteurs pour votre compte Google, les mots de passe et informations de compte que vous enregistrez en ligne seront très probablement bien protégés.
Google n’a pas été victime de violation de données significative depuis 2018, date à laquelle le Wall Street Journal a révélé qu’un bug de l’API exposait des données privées depuis plus de trois ans. Cependant, ces données ne comprenaient pas les mots de passe.
La principale vulnérabilité du Gestionnaire de Mots de Passe Google se situe au niveau de votre ordinateur. Les pirates informatiques peuvent accéder à votre compte de deux manières.
La première consiste à ouvrir l’application de gestion des mots de passe. Pour cela, l’attaquant aurait besoin d’un accès physique à votre machine et serait probablement bloqué lorsqu’il lui serait demandé de saisir le mot de passe de votre système. S’il parvient à contourner ce verrou, il pourra alors télécharger tous vos identifiants et mots de passe non chiffrés.
Le deuxième problème potentiel concerne le fichier de base de données.
Pour compromettre un compte, un attaquant doit connaître trois informations essentielles : l’existence d’un compte auprès d’un service spécifique, le nom d’utilisateur associé à ce compte et le mot de passe.
Dans le fichier de base de données stocké sur votre ordinateur, les deux premières informations sont visibles en texte clair, seul le mot de passe est crypté. Si un attaquant parvient à copier ce fichier depuis votre machine, il peut le pirater à loisir. Des listes de mots de passe associés à des noms d’utilisateur et services sont également disponibles sur les marchés en ligne. Vous pouvez vérifier si vos informations d’identification ont été compromises sur haveibeenpwned.
Il est, en réalité, relativement aisé de mettre la main sur ce fichier si un attaquant a accès à la machine. Il nous a fallu quelques secondes seulement pour l’extraire sur une clé USB. L’envoi par e-mail constitue également une solution efficace.
Les pirates informatiques peuvent également tenter d’installer des logiciels malveillants sur votre ordinateur pour subtiliser ce fichier.
Les Gestionnaires de Mots de Passe en Ligne Dédiés Sont-ils Plus Sûrs que le Gestionnaire de Mots de Passe Google ?
Les gestionnaires de mots de passe en ligne sont un secteur en pleine expansion. Ils stockent vos mots de passe dans un coffre-fort chiffré et encouragent l’utilisation de mots de passe robustes et générés aléatoirement. Ces coffres-forts sont généralement protégés par un mot de passe principal.
Bien que cela puisse paraître une solution sécurisée, la violation de données de LastPass en 2022 a démontré qu’il est possible pour des attaquants sophistiqués de télécharger des coffres-forts de mots de passe ainsi que les clés de chiffrement associées, leur ouvrant ainsi un accès direct à tous vos comptes et données. Il existe donc des risques, aussi minimes soient-ils, quelle que soit votre méthode de stockage, car très peu de données sont réellement inviolables.
Il N’Existe Pas de Solution Idéale pour la Gestion Sécurisée des Mots de Passe
Les noms d’utilisateur et les mots de passe sont des cibles privilégiées pour les criminels. Il est donc crucial de les protéger. Cependant, aucun système de gestion des mots de passe n’est totalement à l’abri des attaques. Une option envisageable consiste à utiliser des gestionnaires de mots de passe « apatrides » qui génèrent des mots de passe pour les sites en fonction de paramètres spécifiques tels que l’URL de connexion, votre adresse e-mail et une phrase secrète.