Le Gestionnaire de mots de passe de Google est activé par défaut dans Chrome. Il enregistre, synchronise et remplit automatiquement vos identifiants sur tous vos appareils connectés au même compte Google. Derrière cette apparente simplicité se cache un outil qui a beaucoup évolué ces dernières années, notamment avec l’arrivée des clés d’accès (passkeys) et d’une application Android dédiée.
Stockage local ou synchronisation cloud : où vont réellement vos mots de passe Chrome
Chrome propose deux modes de stockage distincts, et le choix entre les deux modifie profondément le comportement du gestionnaire. Quand vous êtes connecté à votre compte Google dans le navigateur, chaque mot de passe enregistré remonte dans le cloud Google et devient accessible depuis n’importe quel appareil où vous vous authentifiez.
A lire également : Windows Defender gratuit : guide complet pour sécuriser votre PC
Quand vous n’êtes pas connecté, les mots de passe restent stockés localement sur votre machine. Ils ne sont ni synchronisés ni sauvegardés ailleurs. Si vous perdez l’accès à cet ordinateur, ces identifiants disparaissent avec lui.
La distinction a une conséquence directe sur la sécurité. En mode cloud, la protection repose sur la robustesse de votre compte Google (mot de passe du compte, validation en deux étapes). En mode local, elle dépend du verrouillage de votre session système (Windows, macOS, Linux). Un compte Google sans validation en deux étapes fragilise tous vos mots de passe synchronisés.
A lire également : Intranet uga LEO : que faire en cas de mot de passe oublié ?
Pour vérifier quel mode est actif, ouvrez Chrome, cliquez sur votre avatar en haut à droite et regardez si la mention « Synchronisation activée » apparaît. Si elle est absente, vos mots de passe ne quittent pas votre appareil.
Check-up mots de passe et alertes de compromission dans Chrome
Le Gestionnaire de mots de passe de Google intègre un outil de vérification accessible depuis passwords.google.com/checkup ou directement dans les paramètres de Chrome, sous « Sécurité ». Cet outil compare vos identifiants enregistrés avec des bases de données de fuites connues.
Trois catégories de problèmes sont signalées :
- Les mots de passe compromis, c’est-à-dire retrouvés dans une fuite de données publique. Chrome affiche une alerte rouge et recommande un changement immédiat.
- Les mots de passe réutilisés sur plusieurs sites. Si l’un de ces sites subit une brèche, tous les comptes partageant le même mot de passe deviennent vulnérables.
- Les mots de passe trop faibles (courts, sans caractères spéciaux, basés sur des mots courants).
Google a commencé à déployer sur Android une fonctionnalité qui va au-delà de la simple alerte. Le changement de mot de passe peut être lancé directement depuis la notification de compromission, sans avoir à chercher manuellement la page de réinitialisation du site concerné. Le déploiement reste progressif, et tous les sites ne sont pas encore pris en charge.
Passkeys dans Chrome : la connexion sans mot de passe
Depuis 2023, Chrome et le Gestionnaire de mots de passe Google prennent en charge les clés d’accès (passkeys), un standard d’authentification basé sur les spécifications FIDO. Le principe remplace le couple identifiant/mot de passe par une clé cryptographique liée à votre appareil.
Concrètement, au lieu de taper un mot de passe, vous validez la connexion avec votre empreinte digitale, la reconnaissance faciale de votre téléphone ou le code PIN de votre appareil. La clé privée ne quitte jamais votre appareil, ce qui rend le phishing structurellement inefficace : même si vous atterrissez sur un faux site, la clé d’accès ne fonctionnera pas car elle est liée au domaine légitime.
Les passkeys enregistrées dans le Gestionnaire de mots de passe Google se synchronisent entre vos appareils Chrome et Android. En revanche, tous les sites web ne proposent pas encore la connexion par passkey. La liste s’allonge (Google, Apple, Microsoft, Amazon, PayPal, entre autres), mais la transition est loin d’être terminée. Vous continuerez donc à utiliser des mots de passe classiques en parallèle pendant un bon moment.
Application Android dédiée au gestionnaire de mots de passe Google
Google distribue désormais sur le Play Store une application Android distincte de Chrome, simplement nommée « Gestionnaire de mots de passe ». Elle sert de raccourci vers le gestionnaire intégré au compte Google, mais avec un avantage pratique : la gestion des mots de passe et des clés d’accès ne nécessite plus d’ouvrir Chrome ni de naviguer dans ses paramètres.
Cette application reçoit des mises à jour indépendantes du navigateur. Cela signifie que Google peut déployer des correctifs de sécurité ou de nouvelles fonctionnalités (comme le changement de mot de passe en un clic mentionné plus haut) sans attendre une nouvelle version de Chrome.
Pour les utilisateurs Android qui utilisent un autre navigateur au quotidien (Firefox, Samsung Internet), cette application permet quand même d’accéder au remplissage automatique des identifiants Google au niveau du système, via les paramètres de saisie automatique d’Android.
Limites du gestionnaire Chrome face aux gestionnaires tiers
Le Gestionnaire de mots de passe de Google couvre les usages courants, mais il présente des limites que les gestionnaires tiers (1Password, Bitwarden, Dashlane) comblent.
Chrome ne permet pas de stocker des notes sécurisées, des documents d’identité ou des informations de paiement complexes au sein du même coffre. Il ne propose pas non plus de partage sécurisé de mots de passe entre membres d’une famille ou d’une équipe, là où des solutions tierces offrent des coffres partagés avec des niveaux d’accès différenciés.
L’accès au gestionnaire Google est par ailleurs lié à un seul écosystème. Si vous passez de Chrome à un autre navigateur, l’export de vos mots de passe est possible (au format CSV), mais ce fichier CSV contient tous vos mots de passe en clair. Il faut le supprimer immédiatement après import dans le nouvel outil.
Les retours terrain divergent sur la fiabilité du remplissage automatique de Chrome face à certains formulaires de connexion non standard (pages avec des champs dynamiques, authentification en deux pages). Les gestionnaires tiers utilisent des extensions dédiées qui gèrent généralement mieux ces cas particuliers.
Le gestionnaire intégré à Chrome reste une solution solide pour qui reste dans l’écosystème Google et n’a pas de besoins avancés de partage ou de stockage. Pour les autres profils, un gestionnaire tiers apporte une flexibilité que Google ne propose pas encore. Le choix dépend moins de la sécurité brute que de l’usage quotidien que vous faites de vos identifiants.
