Qu'est-ce qu'un gestionnaire de mots de passe, et est-ce sûr d'en utiliser un ?

Réponse rapide

Un gestionnaire de mots de passe est une application qui génère un mot de passe unique et solide pour chaque compte et les retient pour vous derrière un seul mot de passe maître — oui, c'est nettement plus sûr que de réutiliser le même mot de passe, même si tout est au même endroit.

Ce que ce n'est PAS

Un gestionnaire de mots de passe n'est PAS un point de défaillance unique qui fait tout exploser en cas de fuite. Les outils sérieux stockent un coffre chiffré que l'entreprise elle-même ne peut pas lire ; une fuite chez l'éditeur ne signifie PAS que les attaquants peuvent lire vos mots de passe. Le vrai risque est d'oublier votre mot de passe maître ou de le saisir sur une fausse page de connexion.

Pour aller plus loin

Un gestionnaire de mots de passe est une application qui fait deux choses pour vous : générer un mot de passe long et unique pour chaque compte, et les retenir pour que vous n’ayez pas à le faire. Vous déverrouillez l’application avec un seul mot de passe maître (et idéalement un second facteur), et tout le reste se connecte ensuite automatiquement.

Pourquoi c’est important : la première cause de prise de compte personnelle est la réutilisation de mot de passe. Quand un site auquel vous vous étiez inscrit il y a longtemps est piraté, les attaquants rejouent les paires e-mail + mot de passe fuitées contre les banques, les fournisseurs de messagerie et les réseaux sociaux. Si vous avez utilisé ce mot de passe ailleurs, l’attaquant entre. Un gestionnaire rend chaque mot de passe différent, donc la fuite d’un seul site ne se propage pas.

Comment l’objection « tous les œufs dans le même panier » se traduit en pratique :

  • Le coffre est chiffré sur votre appareil avant de partir. L’éditeur détient un bloc chiffré ; il ne peut pas le déchiffrer sans votre mot de passe maître.
  • Une fuite chez l’éditeur n’est pas automatiquement une fuite de vos mots de passe. Vous avez un seul mot de passe maître à défendre, pas une centaine.
  • Les vraies manières de se faire avoir : un mot de passe maître faible ou réutilisé, tomber sur une fausse page de connexion qui capture le mot de passe maître (donc activez la double authentification sur le gestionnaire lui-même), ou perdre l’accès parce que le mot de passe maître a été oublié et qu’aucune récupération n’a été configurée.

Mise en place pratique pour un foyer ordinaire :

  1. Choisissez-en un — 1Password, Bitwarden (gratuit et open-source), Proton Pass, Dashlane, KeePass pour les plus techniques. Évitez les applis gratuites douteuses d’éditeurs anonymes.
  2. Choisissez une longue phrase de passe comme mot de passe maître — quatre mots aléatoires suffisent. Notez-la sur papier et rangez le papier en lieu sûr.
  3. Activez la double authentification sur le gestionnaire lui-même.
  4. Importez ou enregistrez vos mots de passe existants au fur et à mesure que vous vous connectez. Remplacez d’abord les réutilisés — votre messagerie, votre banque, tout ce qui touche à l’argent.
  5. Mettez en place un coffre partagé pour les identifiants du foyer pour arrêter d’envoyer les clés Wi-Fi par SMS.

Les gestionnaires intégrés aux navigateurs (Chrome, Safari, Firefox) sont un point de départ valable. Passer à un gestionnaire dédié, c’est surtout pour le partage multiplateforme, les coffres famille et la gestion de tout ce qui n’est pas strictement un site web (clés Wi-Fi, mots de passe d’applis, notes sécurisées). L’étape importante est d’utiliser un gestionnaire de mots de passe plutôt qu’une liste dans Notes ou — pire — le même mot de passe partout.

On nous pose aussi

Que se passe-t-il si mon gestionnaire de mots de passe se fait pirater ? +

Les gestionnaires sérieux stockent votre coffre chiffré avec votre mot de passe maître — eux-mêmes ne peuvent pas le lire. Si l'entreprise est piratée, les attaquants récupèrent des blocs chiffrés qu'ils devraient casser un mot de passe maître à la fois. Tant que votre mot de passe maître est long et unique (une phrase de quatre mots aléatoires suffit), le risque pratique est très faible. La fuite LastPass de 2022 est l'exemple : les coffres ont fuité mais un mot de passe maître solide a protégé la plupart des utilisateurs ; les faibles ont été cassés.

Faut-il utiliser le gestionnaire intégré du navigateur ou une appli dédiée ? +

Chrome, Safari, Firefox et Edge intègrent tous des gestionnaires corrects, bien meilleurs que la réutilisation de mots de passe. Leurs limites : ils vivent dans votre profil navigateur (partage entre appareils lié à votre compte Google/Apple/Microsoft), ils gèrent moins bien les mots de passe non web (applis, clés Wi-Fi, licences), et vous avez moins de contrôle sur l'export et la migration. Un gestionnaire dédié (1Password, Bitwarden, Proton Pass, Dashlane, KeePass) est un petit pas en avant, pas un produit fondamentalement différent.

Qu'est-ce qui fait un bon mot de passe maître ? +

La longueur l'emporte sur la complexité. Quatre à six mots aléatoires sans rapport, séparés par des espaces ou des tirets, sont nettement plus solides que « MotDePasse!23 » et beaucoup plus faciles à retenir. Ne réutilisez jamais votre mot de passe maître ailleurs. Notez-le sur papier et rangez le papier en lieu sûr — un mot de passe maître oublié vous verrouille en dehors de tout.

Puis-je partager des mots de passe en famille avec un gestionnaire ? +

Oui, c'est même une des meilleures raisons d'en utiliser un. La plupart des offres famille/équipe permettent de créer un coffre partagé pour le compte Netflix, la clé Wi-Fi de la maison ou le code de la carte bancaire. Le partage via le gestionnaire est plus sûr que d'envoyer un mot de passe par SMS ou de l'écrire sur un post-it, et vous pouvez retirer l'accès proprement quand quelqu'un déménage, change de travail ou quitte le foyer.

Aussi expliqué

C'est quoi la double authentification (2FA), et quelle version utiliser ?

La double authentification ajoute une seconde étape après votre mot de passe — un code venant d'une appli, une notification sur votre téléphone, ou une passkey — pour qu'un mot de passe volé ne suffise plus à se connecter ; en 2026 la meilleure option pour la plupart des gens est la passkey, puis une appli d'authentification, et le SMS uniquement en dernier recours.

C'est quoi le phishing, et comment le reconnaître ?

Le phishing (ou hameçonnage), c'est quand quelqu'un vous envoie un message truqué — généralement par e-mail, SMS ou messagerie — qui ressemble à un message de votre banque, de votre patron, d'un livreur ou d'un proche, dans l'espoir que vous cliquiez sur un lien, tapiez un mot de passe ou viriez de l'argent avant de remarquer les petits détails qui trahissent.

C'est quoi une fuite de données, et que faire si mes informations sont dedans ?

Une fuite de données, c'est quand une organisation qui détient vos informations personnelles en perd le contrôle — votre e-mail, mot de passe, numéro de téléphone, adresse, parfois votre carte bancaire ou pièce d'identité se retrouvent dans un fichier que les attaquants téléchargent et réutilisent ; la réponse pratique est de changer le mot de passe du compte concerné, le changer partout où il était réutilisé, et activer la double authentification.
← Retour au glossaire grand public