Le gestionnaire de mots de passe Google est-il sûr et sécurisé ?

Vos mots de passe sont les clés de votre existence en ligne et ouvrent les portes de vos comptes de réseaux sociaux, de vos portails de paiement et peut-être même de votre système de sécurité domestique. L’outil gratuit de gestion de mots de passe de Google s’intègre à ses autres services et vous permet d’accéder à votre mot de passe depuis n’importe quel appareil, mais dans quelle mesure est-il sûr et comment se compare-t-il à la concurrence ?

Qu’est-ce que le gestionnaire de mots de passe Google ?

Si vous avez déjà possédé un Chromebook, un appareil Android ou surfé sur le Web à l’aide du navigateur Chrome de Google, vous avez probablement déjà rencontré le gestionnaire de mots de passe de Google.

Lorsque vous entrez vos informations de connexion sur n’importe quel site Web, vous verrez une invite vous demandant si vous souhaitez « Enregistrer le mot de passe ». Vous avez généralement deux options : « Enregistrer » et « Jamais ».

Après avoir cliqué sur « Enregistrer », si vous visitez le même site Web, Chrome pourra renseigner vos identifiants de connexion, c’est-à-dire votre nom d’utilisateur et votre mot de passe, sans que vous ayez besoin de vous en souvenir.

Pourquoi utiliser le gestionnaire de mots de passe Google ?

En un mot, la simplicité. Si vous utilisez déjà Google Chrome, il est logique d’utiliser l’outil de mot de passe intégré.

Vous pouvez vous connecter sur n’importe quel navigateur Chrome et vous connecter automatiquement aux sites Web comme si vous étiez sur votre propre ordinateur.

Pour voir les mots de passe enregistrés, que vous soyez connecté ou non sur Chrome ou sur un autre appareil Google, vous pouvez visiter le domaine des mots de passe Google dans votre navigateur. C’est simple : il vous suffit de mémoriser votre mot de passe Google.

Où Google Password Manager stocke-t-il vos mots de passe ?

Si vous êtes connecté à votre compte Google, vos mots de passe Chrome stockés localement seront synchronisés avec passwords.google.com. Si vous n’êtes pas connecté, vous pouvez saisir chrome://password-manager/passwords dans la barre d’URL.

Pour accéder à vos mots de passe sans saisir d’URL, vous devez d’abord installer Google Password Manager localement. Pour ce faire, cliquez sur l’icône de menu en haut à droite de l’application Chrome et choisissez Installer Google Password Manager…, puis Installer lorsque vous y êtes invité.

Après cela, il y aura une nouvelle entrée dans le menu, appelée Google Password Manager. Vous pouvez cliquer dessus pour accéder à vos identifiants de connexion. Alternativement, vous pouvez cliquer sur la nouvelle icône sur votre bureau.

Sur une machine Windows, vous pouvez trouver vos informations de connexion Google enregistrées dans un fichier sqlite situé dans C:\Users\your_username\AppData\Local\Google\Chrome\User Data\Default\Login Data.

Vous pouvez ouvrir ce fichier avec un navigateur SQLite dédié ou avec le Bloc-notes, bien que si vous choisissez cette dernière option, le formatage sera étrange et certains caractères seront illisibles.

Dans ce fichier, vous trouverez l’adresse des sites pour lesquels vous disposez d’un mot de passe enregistré, votre nom d’utilisateur ou votre adresse email et votre mot de passe crypté.

Dans quelle mesure Google Password Manager est-il sécurisé ?

Google est l’une des entreprises technologiques les plus grandes et les plus puissantes au monde, et si vous utilisez l’authentification multifacteur avec votre compte Google, les mots de passe et les détails du compte que vous stockez en ligne seront probablement très sûrs.

Google n’a pas subi de violation de données notable depuis 2018, lorsque le le journal Wall Street a révélé qu’un bug de l’API exposait des données privées depuis plus de trois ans. Ces données n’incluaient cependant pas les mots de passe.

La principale vulnérabilité de Google Password Manager réside sur votre PC, et les attaquants peuvent accéder à votre compte de deux manières.

La première consiste à ouvrir l’application de gestion de mots de passe. Pour ce faire, l’attaquant aurait besoin d’un accès physique à votre machine et serait probablement déjoué lorsqu’on lui demanderait de saisir le mot de passe de votre système. S’ils parviennent à déchiffrer le mot de passe de votre système, ils pourront alors télécharger tous vos identifiants et mots de passe sans cryptage.

Le deuxième problème potentiel concerne le fichier de base de données.

Pour compromettre un compte, un attaquant doit savoir trois choses : qu’un compte existe avec un service particulier, le nom d’utilisateur associé au compte et le mot de passe.

Dans le fichier de base de données sur votre PC, ces deux premiers facteurs sont en texte brut et seul le mot de passe est crypté. Si un attaquant parvient à copier ce fichier depuis votre PC, il peut le pirater à loisir. Des listes de mots de passe associés aux noms d’utilisateur et aux services sont également disponibles sur les marchés en ligne. Vous pouvez vérifier si les informations d’identification ont été compromises sur haveibeenpwned.

En fait, mettre la main sur le fichier n’est pas difficile si un attaquant a accès à la machine, et nous avons chronométré son exfiltration sur une clé USB en quelques secondes seulement. Alternativement, le courrier électronique fera l’affaire.

Les attaquants peuvent également tenter d’installer des logiciels malveillants sur votre PC afin de voler le fichier.

Les gestionnaires de mots de passe en ligne dédiés sont-ils plus sûrs que le gestionnaire de mots de passe Google ?

Les gestionnaires de mots de passe en ligne constituent un secteur en pleine croissance. Ils stockent tous vos mots de passe dans un coffre-fort crypté et encouragent l’utilisation de mots de passe forts et générés aléatoirement. Ces coffres-forts sont généralement sécurisés par un mot de passe principal.

Bien que cela puisse sembler une solution sécurisée, la violation de données LastPass de 2022 a démontré qu’il est possible pour des attaquants sophistiqués de télécharger des coffres-forts de mots de passe et des clés de chiffrement, leur donnant ainsi un accès facile à tous vos comptes et données. Très peu de données sont réellement incassables, il existe donc des risques, aussi légers soient-ils, quelle que soit votre méthode de stockage.

Il n’existe pas de meilleure solution pour une gestion sécurisée des mots de passe

Les noms d’utilisateur et les mots de passe sont une cible importante pour les criminels, et il est important de garder les vôtres en sécurité. Mais aucun système de gestion de mots de passe n’est entièrement à l’abri des attaques. Une solution possible consiste à utiliser des gestionnaires de mots de passe apatrides qui génèrent des mots de passe pour les sites en fonction d’un certain nombre de paramètres, notamment l’URL de connexion, votre adresse e-mail et une phrase secrète.