Le remplissage automatique du gestionnaire de mots de passe est-il sûr ? La défense anti-phishing que la plupart des utilisateurs ignorent posséder
Le remplissage automatique est la fonction anti-phishing la plus puissante du gestionnaire de mots de passe : les gestionnaires refusent de remplir sur le mauvais domaine. Voici comment l'utiliser en toute sécurité et les schémas qui déjouent la protection.
Pourquoi le remplissage automatique est anti-phishing
Les gestionnaires de mots de passe modernes stockent les identifiants associés à une origine (le domaine + le schéma + le port). Lorsque le gestionnaire remplit automatiquement, il vérifie que l'origine actuelle correspond exactement à l'origine stockée. Un site de phishing sur un domaine imitateur (g00gle-login.com) ne correspondra pas à accounts.google.com, de sorte que le gestionnaire ne remplira pas automatiquement. Le premier signal pour l'utilisateur que quelque chose ne va pas est que les identifiants qu'il s'attend à voir remplis automatiquement n'apparaissent pas. C'est un signal anti-phishing plus fort que l'inspection visuelle de l'URL, car les humains manquent les substitutions de caractères subtiles et les attaques par homographe ; le gestionnaire, non.
Comment les utilisateurs déjouent la protection
La protection ne fonctionne que lorsque l'utilisateur fait confiance au comportement du gestionnaire. Deux schémas la déjouent. (1) Copier-coller manuel : si le remplissage automatique ne fonctionne pas, l'utilisateur copie le mot de passe depuis l'interface du coffre du gestionnaire et le colle dans le formulaire de phishing. La vérification de l'origine est contournée. (2) Forçage manuel : la plupart des gestionnaires proposent une interface « utiliser les identifiants d'un autre site » pour les utilisateurs qui changent de domaine (un fournisseur renomme son site, etc.). Les pages de phishing qui ressemblent à un site connu peuvent inciter l'utilisateur à utiliser le flux de forçage du gestionnaire. La solution est de considérer le refus d'un gestionnaire de remplir automatiquement comme un signal d'arrêt et de vérifier l'URL avant tout forçage manuel.
Défenses architecturales dans les gestionnaires audités
Les cinq gestionnaires comparés dans le tableau pilier de ce site — Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC — implémentent un remplissage automatique lié à l'origine. Bitwarden et 1Password exigent une action explicite de l'utilisateur pour remplir automatiquement (cliquer sur le champ, puis remplir) ; ils ne remplissent pas automatiquement au chargement de la page. Cela protège contre les attaques par injection d'iframe invisible où une page malveillante intègre un formulaire de connexion caché pour une origine à forte valeur. Les anciennes versions de certains concurrents remplissaient bel et bien au chargement de la page, ce qui était vulnérable ; ce schéma est désormais rare parmi les gestionnaires audités.
Pratiques qui améliorent la résistance au phishing dans le monde réel
(1) Utilisez le remplissage automatique de l'extension de navigateur, pas le copier-coller. (2) Si l'extension ne propose pas d'identifiants, prenez-le comme un signal pour vérifier l'URL avant de faire quoi que ce soit d'autre. (3) Activez la 2FA sur chaque compte qui la prend en charge — même si un mot de passe fuite, le second facteur bloque la connexion. (4) Passez aux passkeys (FIDO2 / WebAuthn) sur tout site qui les prend en charge ; les passkeys sont liées à l'origine au niveau du protocole et ne peuvent pas faire l'objet de phishing, même avec une erreur manuelle de l'utilisateur. Bitwarden, 1Password et Proton Pass stockent et remplissent automatiquement les passkeys en 2026.
Sources
Remplissage automatique Bitwarden : bitwarden.com/help/auto-fill-browser. Remplissage automatique 1Password : 1password.com/features. Remplissage automatique Proton Pass : proton.me/pass. Spécification WebAuthn / passkeys : w3.org/TR/webauthn-3. Toutes les URL consultées le 2026-04-30.