Ne cherchez pas plus loin pour découvrir comment les cybercriminels pourraient tenter de pirater votre coffre-fort et comment vous pouvez protéger vos connexions.
13 novembre 2025
•
,
5 minutes. lire
L’internaute moyen dispose d’environ 168 mots de passe pour ses comptes personnels, selon une étude de 2024. Cela représente une augmentation massive de 68 % par rapport au chiffre de quatre ans auparavant. Compte tenu des risques de sécurité associés au partage d’informations d’identification entre comptes et à l’utilisation de mots de passe simples à deviner, la plupart d’entre nous ont besoin d’aide pour gérer ces connexions. C’est là qu’interviennent les gestionnaires de mots de passe : nous permettant de stocker et de rappeler des mots de passe longs, forts et uniques pour chacun de nos comptes en ligne.
Cependant, cela ne signifie pas que ces coffres-forts de mots de passe sont une solution miracle ou que vous devez réduire votre vigilance en ligne. Étant donné qu’ils détiennent littéralement les clés de nos vies numériques, ils sont également devenus une cible privilégiée des cybercriminels. Voici six risques potentiels et quelques idées pour les atténuer.
6 problèmes de sécurité du gestionnaire de mots de passe
En accédant aux informations d’identification stockées dans votre gestionnaire de mots de passe, les acteurs malveillants pourraient détourner vos comptes pour commettre une fraude d’identité ou vendre des accès/mots de passe à d’autres. C’est pourquoi ils recherchent toujours de nouvelles façons de vous cibler. Recherchez ce qui suit :
1. Compromission de votre mot de passe principal
La beauté des gestionnaires de mots de passe réside dans le fait qu’avec un mot de passe unique et mémorisable, vous pouvez accéder au coffre-fort qui stocke toutes vos informations d’identification en ligne. Cependant, le problème de cette approche est que si les cybercriminels parviennent à obtenir ce mot de passe principal, ils obtiennent le même niveau d’accès. Cela pourrait se produire via une attaque par « force brute », dans laquelle ils utilisent essentiellement des outils automatisés pour essayer différents mots de passe à plusieurs reprises jusqu’à ce qu’ils trouvent finalement le bon. Une autre option consiste à exploiter les vulnérabilités du logiciel de gestion de mots de passe ou à tromper les utilisateurs avec des pages de phishing, comme détaillé ci-dessous.
2. Annonces de phishing/arnaques
Il est connu que les acteurs malveillants publient des publicités malveillantes sur la recherche Google, conçues pour attirer les victimes vers de faux sites qui récupèrent leur adresse e-mail, leur mot de passe principal et leur clé secrète (le cas échéant). Le danger avec ces publicités est qu’elles semblent légitimes et peuvent apparaître dans les classements de recherche lorsque vous recherchez votre gestionnaire de mots de passe sur Google. Les pages de phishing auxquelles ils sont liés sont usurpées pour donner l’impression qu’il s’agit de la vraie affaire. Par exemple, un domaine peut être “le1mot de passe[.]com” ou « mot de passe app1[.]com, “ au lieu du « 1password.com » original. Ou « appbitwarden[.]com” au lieu de « bitwarden.com ». Si vous cliquez sur une telle page, vous serez redirigé vers une page de connexion d’apparence légitime conçue pour voler vos connexions très importantes à votre gestionnaire de mots de passe.
3. Logiciel malveillant voleur de mots de passe
Les cybercriminels ne sont que des ingénieux. Les richesses proposées sont telles que certains se sont donné la peine de développer des logiciels malveillants pour voler les informations d’identification des gestionnaires de mots de passe des victimes. Les chercheurs d’ESET ont récemment repéré une tentative de ce type dans le cadre d’une campagne parrainée par l’État nord-coréen et baptisée « Développement trompeur ». Il a découvert le malware « InvisibleFerret » qui comportait une commande de porte dérobée capable d’exfiltrer les données des extensions de navigateur et des gestionnaires de mots de passe via Telegram et FTP. Parmi les gestionnaires de mots de passe ciblés figuraient 1Password et Dashlane.
Dans ce cas particulier, le logiciel malveillant était caché dans des fichiers téléchargés par la victime dans le cadre d’un faux processus élaboré d’entretien d’embauche. Mais il n’y a aucune raison pour qu’un code malveillant doté de propriétés similaires ne puisse pas se propager par d’autres moyens, par exemple par courrier électronique, SMS ou réseaux sociaux.
4. Une violation du fournisseur du gestionnaire de mots de passe
Les fournisseurs de gestionnaires de mots de passe savent qu’ils constituent une cible majeure pour les acteurs malveillants. C’est pourquoi ils consacrent beaucoup de temps et de ressources à rendre leurs environnements informatiques aussi sécurisés que possible. Mais il leur suffit de commettre une seule erreur pour potentiellement laisser entrer les méchants. En 2022, ce pire scénario est arrivé à LastPass. Des voleurs numériques ont compromis l’ordinateur portable d’un ingénieur LastPass pour accéder à l’environnement de développement de l’entreprise. Là, ils ont volé le code source et les documents techniques contenant des informations d’identification, qui leur ont permis d’accéder aux sauvegardes des données des clients.
Cela comprenait les informations personnelles et de compte des clients, qui pourraient être utilisées pour des attaques de phishing ultérieures. Une liste de toutes les URL de sites Web dans leurs coffres-forts. Et les noms d’utilisateur et mots de passe pour tous les clients. Bien que ceux-ci aient été cryptés, le pirate informatique a pu les « forcer brutalement » (comme indiqué ci-dessus). On pense que cela a conduit à un énorme cambriolage de crypto-monnaie de 150 millions de dollars et constitue une mise en garde selon laquelle même les fournisseurs les mieux protégés peuvent parfois être piratés.
5. Fausses applications de gestion de mots de passe
Parfois, les cybercriminels profitent de la popularité des gestionnaires de mots de passe pour tenter de récupérer des mots de passe et de propager des logiciels malveillants via de fausses applications. Même l’App Store d’Apple, normalement sécurisé, a permis aux utilisateurs de télécharger l’une de ces applications de gestion de mots de passe malveillantes l’année dernière. Ces menaces sont généralement conçues pour voler ce mot de passe principal très important, ou bien télécharger des logiciels malveillants voleurs d’informations sur l’appareil de l’utilisateur.
6. Exploitation des vulnérabilités
Les gestionnaires de mots de passe ne sont en fin de compte que des logiciels. Et les logiciels, étant écrits (principalement) par des humains, contiennent inévitablement des vulnérabilités. Si un cybercriminel parvient à trouver et à exploiter l’un de ces bugs, il pourra peut-être extraire les informations d’identification de votre coffre-fort de mots de passe. Alternativement, ils pourraient cibler les vulnérabilités des plugins de gestion de mots de passe pour les navigateurs Web afin de voler les informations d’identification et même les codes d’authentification à deux facteurs (2FA). Ou ils pourraient cibler les systèmes d’exploitation des appareils pour faire de même. Plus vous téléchargez votre gestionnaire de mots de passe sur d’appareils, plus ils ont la possibilité de le faire.
Comment sécuriser l’utilisation de votre gestionnaire de mots de passe
Pour vous prémunir contre les menaces répertoriées ci-dessus, considérez les points suivants :
- Pensez à une phrase secrète principale sécurisée, longue et unique. Considérez quatre mots mémorables séparés par des traits d’union. Cela rendra plus difficile pour un attaquant de le « forcer brutalement ».
- Améliorez toujours la sécurité de vos comptes en activant 2FA. Cela signifie que même si des pirates informatiques mettent la main sur vos mots de passe, ils ne pourront pas accéder à vos comptes sans le deuxième facteur.
- Gardez les navigateurs, les gestionnaires de mots de passe et les systèmes d’exploitation à jour afin qu’ils utilisent les versions les plus sécurisées. Cela réduit les possibilités d’exploitation des vulnérabilités.
- Téléchargez uniquement des applications à partir d’un magasin d’applications légitime (Google Play, App Store) et vérifiez l’évaluation du développeur et de l’application avant de le faire, au cas où il s’agirait d’applications fausses/malveillantes.
- Choisissez uniquement un gestionnaire de mots de passe provenant d’un fournisseur réputé. Faites le tour jusqu’à ce que vous en trouviez un avec lequel vous êtes à l’aise.
- Assurez-vous d’installer un logiciel de sécurité d’un fournisseur réputé sur tous les appareils, afin d’atténuer la menace d’attaques conçues pour voler des mots de passe directement à partir de votre gestionnaire de mots de passe.
Les gestionnaires de mots de passe restent un élément clé des meilleures pratiques en matière de cybersécurité. Mais seulement si vous prenez des précautions supplémentaires. Les risques de sécurité évoluent constamment, alors restez au courant des tendances actuelles en matière de menaces pour garantir que vos informations d’identification en ligne restent sous clé.
