On a presque tous connu ce genre de situation : sur le navigateur Chrome de notre PC, on enregistre les identifiants d'un site web pour y accéder plus facilement. Quelques heures plus tard, loin de la maison, on retente l'opération depuis son iPhone mais le mot de passe enregistré n'apparaît pas, ce qui nous oblige à finalement cliquer sur "mot de passe oublié".
D'apparence anodine, cette situation ne l'est pas tant que ça, et pousse à réutiliser des mots de passe souvent bien trop simples. Voici comment mieux sécuriser ses identifiants sans difficulté.
Pourquoi enregistrer ses mots de passe sur son navigateur n'est pas une bonne idée ?
De manière générale, l'enregistrement d'identifiants et de mots de passe sur son navigateur n'est pas une très bonne idée. Malgré des efforts continus pour se rendre de plus en plus accessibles, les gestionnaires intégrés de Google, de Microsoft ou d'Apple restent enfermés dans des écosystèmes, ce qui peut vite devenir contraignant au quotidien. C'est particulièrement vrai quand, par exemple, on dispose d'un PC sous Windows, d'un iPad et d'un smartphone Android. Passer d'un système d'exploitation à l'autre peut s'avérer problématique.
À l'inverse, les gestionnaires de mots de passe indépendants fonctionnent de la même manière sur tous types de systèmes d'exploitations, ce qui les rend plus pratiques au quotidien.
D'ailleurs, cette synchronisation imparfaite entre différents appareils peut favoriser la réutilisation de mots de passe pour limiter les désagréments au détriment de la sécurité en ligne.
Enfin, les navigateurs deviennent peu à peu une cible privilégiée des cybercriminels. Il existe désormais des logiciels malveillants spécialement conçus pour récupérer les mots de passe enregistrés dans Chrome, Edge et d'autres navigateurs. Parmi ces logiciels, on peut citer ACRStealer, LummaC2 ou Vidar. Selon les experts, malgré les progrès de Google avec l'App-Bound Encryption, les navigateurs font partie des cibles "faciles" pour les cybercriminels.
Les mots de passe ne suffisent plus
Si les gestionnaires de mots de passe permettent généralement de complexifier les identifiants, l'identité numérique ne se limite plus à quelques identifiants. Les gestionnaires de mots de passe ont donc plus de travail que le simple stockage de mots de passe. Ils doivent permettre l'utilisation de la double authentification, l'enregistrement sécurisé de cartes bancaires ou de documents sensibles.
Enfin, ils doivent pouvoir gérer les passkey, une nouvelle technologie destinée à remplacer les mots de passe grâce à une plus grande facilité d'utilisation et un niveau de protection supérieur.
Les VPN proposent désormais leurs propres gestionnaires de mots de passe
On est désormais loin de l'image des VPN ne servant qu'à accéder à des plateformes de streaming étrangères. Les fournisseurs de VPN proposent peu à peu des solutions complètes de protection numérique en appliquant leur logique de confidentialité à l'ensemble de ces services.
Concernant les gestionnaires de mots de passe, cela permet d'obtenir :
- Un chiffrement des connexion,
- Un chiffrement des identifiants,
- Une politique de confidentialité renforcée,
- Le tout vérifié par des audits indépendants.
Outre les VPN, il existe également des alternatives totalement indépendantes comme Bitwarden, 1Password et Dashlane.
Comment migrer ses mots de passe ?
Si vous utilisez actuellement le gestionnaire de mots de passe de votre navigateur, le transfert vers une version indépendante n'est pas des plus compliquées, voici comment procéder :
- Exporter les mots de passe depuis le navigateur, via un fichier CSV,
- Importer cette liste dans le nouveau gestionnaire,
- Supprimer immédiatement le fichier CSV, car celui-ci affiche les mots de passe en clair,
- Désactiver l'enregistrement automatique du navigateur,
- Profiter des nouvelles fonctionnalités.
Kevin Champeau
Rédacteur expert en sécurité
