Oui, vous devriez effacer tous vos mots de passe de Chrome et voici pourquoi

Par Chloé Claessens, Spécialiste cybersécurité.

Publié le 28 juillet 2025 à 11h02

Entre failles techniques, attaques par malware et promesses non tenues en matière de confidentialité, Chrome n’a de toute évidence plus grand-chose à offrir pour stocker vos mots de passe en toute sécurité.

Oui, vous devriez effacer tous vos mots de passe de Chrome et voici pourquoi. © JarTee / Shutterstock

L'info en 3 points

Katz Stealer, un malware abordable, vole vos identifiants stockés dans les navigateurs comme Chrome et Edge.
Les navigateurs ne sont pas sécurisés pour stocker vos identifiants, exposant vos données à des risques.
Optez pour des gestionnaires de mots de passe dédiés pour une sécurité renforcée de vos identifiants.

En matière de cybersécurité, il y a des évidences que l’on finit par oublier. Comme celle-ci : un navigateur web n’est pas un coffre-fort. Et pourtant, des millions d’utilisateurs et utilisatrices continuent d’y enregistrer tous leurs identifiants, sans trop se poser de questions. Facilité, synchronisation automatique, alertes en cas de fuite… Google a tout fait pour faire de Chrome un gestionnaire de mots de passe à part entière. Mais derrière le confort, les risques s’accumulent, et les experts tirent une fois de plus la sonnette d’alarme alors qu’un nouveau malware-as-a-service baptisé Katz Stealer se gave de vos identifiants moyennant 30 à 50 dollars par mois.

Katz Stealer, un aspirateur à identifiants bradé 30 dollars par mois

Un malware vendu à prix cassé, facile à utiliser et capable de vider en quelques secondes tous vos identifiants stockés dans Chrome, Edge, Firefox ou Brave : voilà ce que propose Katz Stealer. Ce nouvel outil, apparu en début d’année, se loue pour une poignée de dollars par mois et séduit de plus en plus de cybercriminels, selon une enquête de SentinelOne.

Concrètement, Katz agit comme un aspirateur à données. Il cible tous les navigateurs grand public, récupère les mots de passe enregistrés, les cookies de session, les tokens d’identification, les données de remplissage automatique (y compris les CVV des cartes bancaires), et les envoie vers un tableau de bord accessible en ligne. Même les protections mises en place récemment par Google, comme le chiffrement lié à l’utilisateur de l’OS, ne suffisent plus. Une fois injecté dans le système, Katz est capable de se faire passer pour le navigateur en question, et donc de contourner ces restrictions.

Stocker ses mots de passe dans son navigateur, une fausse bonne idée

Évidemment, ce type d’attaque n’a pas grand-chose de nouveau, mais la facilité d’accès, la richesse des données ciblées et l’efficacité du malware donnent un coup de projecteur sur un problème bien plus large : celui du stockage de vos mots de passe dans votre navigateur.

Car s’il est tentant de confier ses identifiants à Chrome ou Edge – simplicité, synchronisation, alertes en cas de fuite – cette solution présente des failles importantes. Le gestionnaire de Google, par exemple, n’utilise pas de chiffrement à connaissance nulle (zero-knowledge). En clair, Google pourrait techniquement accéder à vos mots de passe si elle le souhaitait. À l’inverse, les gestionnaires dédiés comme Bitwarden, 1Password, Keepass ou Proton Pass, pour n’en citer que quelques-uns, garantissent un chiffrement local des données, avec authentification forte, cloisonnement applicatif, protection contre les accès non autorisés et partage sécurisé des identifiants.

Autre souci : le navigateur lui-même est une cible de choix. Il suffit d’une extension douteuse, d’un site piégé ou d’un infostealer bien fichu pour accéder à vos données. Il n’y a pas de barrière étanche entre le navigateur et les identifiants stockés, et c’est précisément ce que cherchent à exploiter les MaaS comme Katz. En clair, tant que c’est le navigateur qui gère vos mots de passe, ces derniers sont exposés aux mêmes vulnérabilités.

Katz et les infostealer de manière générale sont aujourd'hui capable de contourner toutes les protections intégrées aux navigateurs web pour siphonner les données stockées dans leurs gestionnaires de mots de passe respectifs. © janews / Shutterstock

Navigateur ou sécurité : il va falloir choisir

Le paradoxe, c’est que pendant ce temps, les géants du web poussent de plus en plus d’utilisateurs et utilisatrices à… stocker leurs identifiants dans leur navigateur. Microsoft a ainsi annoncé la fermeture de son gestionnaire de mots de passe intégré à l’application Authenticator, confirmant qu'à partir du 1er août, tous les mots de passe y seront supprimés. Objectif affiché : migrer vers le gestionnaire d’Edge, censé prendre le relais. De son côté, Google encourage la transition vers les passkeys, mais continue de proposer son gestionnaire intégré dans Chrome comme solution par défaut.

Or, alors que les passkeys ne sont pas encore généralisées, cette stratégie peut poser problème. Car elle revient, pour une grande partie des utilisateurs et utilisatrices, à remplacer un outil sécurisé par une solution plus vulnérable, sans réelle séparation entre les fonctions de navigation et celles de gestion des mots de passe.

Bref, si vous utilisez encore Chrome pour stocker vos mots de passe, c’est le moment de les exporter vers un gestionnaire dédié, puis de les supprimer du navigateur. Et ça tombe bien, Google propose désormais un bouton pour tout effacer en un clic (Paramètres > Saisie automatique des mots de passe > Gestionnaire de mots de passe Google > Paramètres > Supprimer toutes les données du Gestionnaire de mots de passe Google > Supprimer les données). Parce que finalement, conserver vos mots de passe dans le navigateur, c’est comme planquer vos clés sous le paillasson. Pratique, oui, mais tout le monde connaît la cachette.

Sources : SentinelOne, Forbes [1], Forbes [2]

À découvrir

Meilleur gestionnaire de mots de passe gratuit ou payant, le comparatif en août 2025

28 juillet 2025 à 17h03

Comparatifs services

Par Chloé Claessens

Spécialiste cybersécurité

Référencement logiciel

Actualités Navigateur web

Cybersécurité

Malware / Ransomware

Internet & communication

Actualités mots de passe / authentification

Actualités High-Tech

Comparer

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Poster mon commentaire

Commentaires (10)

Francis7

En effet, il ne faut pas mettre tous ses oeufs dans le même panier.

fredclo

Je ne suis pas sûr de tout comprendre. Il y a deux méthodes de stockage dans le navigateur Firefox ou Chrome : avec ou sans mot de passe principal. Ici l’article parle de quel cas ? Car quand il dit que les mots de passe ne sont pas cryptés sur l’ordinateur, bien sûr que si, en AES-256. Il suffit de les voir le fichier sur son disque dur et de l’ouvrir pour comprendre ! Et pourquoi aller chez des prestataires est plus sûr quand on voit régulièrement qu’ils se font hacker ! Même si les mots de passe son salés, savoir que leur base de données a été piratée n’est pas rassurant.

Pierreonline

Perso j’utilise Proton Pass, ça fonctionne bien, aucune raison d’en changer.

blosk

De toutes façons le mot de passe seul ne suffit plus pour les sites critiques et sérieux maintenant c’est la double authentification qui est imposée .
Les antivirus aussi comme Norton 360 for gamers permet de bien protéger les navigateurs comme le fait de pouvoir les mettre en sandbox dans les réglages .
Les moteurs de recherche comme duck duck go sont susceptibles aussi de filtrer les sites vérolés.
Sur smartphone avec Android ,il faut voir comment ça fonctionne mais je ne suis pas sûr que les mots de passe soient forcément stockés dans le navigateur.

blosk

Sam ALTMAN vient de donner l’alerte car il s’inquiète des deepfake :

énormément de logiciels maintenant permettent de dupliquer des voix ,des visages ,etc…
les filigranes ,watermark ,sont facilement désactivable comme expliqué sur le site de KORBEN donc les sites les plus performants dans le deepfake ( les fermes de serveur) qui permettent de faire des choses ultra réaliste,leur vidéo créé permettent d’être utilisé à des fins malintentionnées .

Benoche

Au bureau on a fait une démo avec un Flipper pour expliquer au personnel pourquoi il faut TOUJOURS vérouiller son pc quand on n’est pas devant.
Un flipper et un pc non vérouillé et tous les mots de passe de Chrome sont téléchargés.

Loposo

Bit warden Perso, jusqu’à la ça marche et enregistré jamais la banque
Sinon un bon vieux internet Explorer

MattS32

Donc le flipper il arrive à te deviner le mot de passe Windows du PC ? Permet moi d’en douter… Parce que même si le PC n’est pas verrouillé, pour exporter la liste de mots de passe de Chrome, il faut le mot de passe Windows…

Bon bien sûr cela ne dispense pas pour autant de ne pas verrouiller le PC quand on n’est pas devant !

Benoche

C’est justement un des gros défaut de Chrome… les mots de passe sont facile à éxtraire si le pc n’est pas vérouillé.
Voici le tuto

MattS32

Oki, j’avais pas imaginé l’utilisation du flipper de cette façon, pour fournir un binaire à exécuter sur la machine pour aller taper directement dans les fichiers, je pensais plus à une utilisation pour casser le prompt de mot de passe Windows quand on utilise la fonction native d’exports des mots de passe de Chrome, j’étais surpris que le Flipper sache faire ça.

Du coup c’est en fait une « faille » commune avec tous les softs qui utilisent DPAPI pour chiffrer leurs données ou leur master key, si le PC n’est pas verrouillé, DPAPI permet de déchiffrer les données sans prompt du mot de passe.

Pour faire autrement il faudrait que le soft stocke sa master key dans un fichier nécessitant une élévation de privilège pour y accéder (donc pas pratique pour l’utilisateur, besoin de cette élévation à chaque fois…), ou qu’il gère lui même son chiffrement avec un mot de passe non stocké sur la machine (mais pareil, mot de passe réclamé à l’utilisateur quand il y en a besoin, ce qui emmerde pas mal d’utilisateurs ).