Les générateurs de mots de passe, bien que considérés comme essentiels à la sécurité numérique, font face à une pression croissante due à diverses vulnérabilités.
À l'été 2025, une conférence sur la sécurité a révélé qu'une faille dans l'interface des navigateurs pouvait permettre à certaines extensions d'exfiltrer des identifiants, des codes d'authentification à deux facteurs (2FA) et même des passkeys(1) via une fonction d'auto-remplissage. Par exemple, une extension populaire de gestion de coupons a été accusée de collecter en arrière-plan des jetons de session...
Cette alerte s'ajoute à une série d'incidents récents, tels que la génération de mots de passe prédictifs due à une mauvaise initialisation des générateurs aléatoires (comme observé sur certaines anciennes versions de KeePass), une fuite de mot de passe maître en mémoire en 2023 (affaire connue touchant KeePassXC), et des vulnérabilités d'auto-remplissage sur Android la même année, permettant à des applications malveillantes de déclencher des formulaires piégés.
Ces événements soulèvent des questions quant à la fiabilité des générateurs de mots de passe, devenus un pilier de la sécurité pour les particuliers comme pour les entreprises.
Les trois piliers de la problématique des générateurs
La problématique des générateurs de mots de passe repose sur trois aspects fondamentaux :
-
Qualité Cryptographique de l'Aléa
Si le générateur s'appuie sur une "graine" prévisible, comme l'horloge système, les mots de passe générés peuvent être reconstitués en remontant le temps. Un exemple est celui de certains utilitaires des années 2000 (PWGen) vulnérables à des attaques temporelles simples.
-
Implémentation
Même un générateur cryptographiquement fort peut être compromis par une extension trop permissive ou un mécanisme d'auto-remplissage trop agressif, comme l’a montré une faille de LastPass en 2016 permettant d’injecter du JavaScript dans une page.
-
Gouvernance
Les délais de mise en place des correctifs, le choix des paramètres cryptographiques et la transparence envers les utilisateurs sont cruciaux. Par exemple, Bitwarden a été salué en 2023 pour sa communication rapide et transparente lors de la découverte d’un bug dans son extension navigateur.
Le coût élevé des violations de données
Sur le plan économique, les violations de données représentent une facture conséquente. Le coût moyen d'une telle violation se chiffre en millions, avec des variations notables selon les secteurs d'activité. En France, les secteurs de la finance, de la santé et de l'énergie sont particulièrement touchés, comme l’attaque du groupe Ramsay Santé en 2023 qui a entraîné d’importantes interruptions de service. Au-delà des pertes financières directes, il faut compter les coûts liés à la mise en conformité (notifications CNIL, assistance aux victimes, audits), les interruptions d'activité et l'augmentation des primes d'assurance. La compromission d'identifiants, qu'il s'agisse de mots de passe réutilisés, de bases de données chiffrées dérobées puis forcées (comme le piratage de la base RockYou2021 contenant des milliards de mots de passe), ou d'exfiltration via des chaînes d'outils trop permissives, est souvent à l'origine de ces incidents.
L'investissement nécessaire pour les entreprises
Face à ces risques, l'investissement dans la sécurité n'est plus une option. Les entreprises adoptent de plus en plus des gestionnaires de mots de passe robustes, intégrant l'authentification unique (SSO) et l'authentification multi-facteurs (MFA), offrant des coffres-forts chiffrés et permettant le partage sécurisé. Par exemple, Microsoft impose désormais le MFA par défaut pour Office 365 et encourage l’utilisation de YubiKeys(2). Elles améliorent également les algorithmes de dérivation de clés (PBKDF2 avec un nombre élevé d'itérations ou Argon2id par défaut) et réalisent des audits systématiques des extensions et de leurs permissions. Les équipes de sécurité renforcent la supervision par des alertes de compromission (comme Have I Been Pwned intégré à certains gestionnaires) et des tests d'intrusion ciblés sur l'autofill, tout en structurant des programmes de bug bounty (ex. celui de 1Password lancé en 2024). Ces dépenses s'avèrent rapidement rentables comparativement au coût d'un incident de sécurité.
Panorama technique des failles récentes
Les incidents récents mettent en lumière plusieurs familles de vulnérabilités :
-
Aléa Insuffisant : Des générateurs utilisant des graines prévisibles ont permis des attaques par force brute basées sur le temps. La solution consiste à utiliser des sources d'entropie éprouvées comme les CSPRNG, disponibles dans OpenSSL ou l’API Web Crypto.
-
Exposition mémoire : Une vulnérabilité en 2023 a révélé que des mots de passe maîtres pouvaient laisser des traces récupérables dans la mémoire d'une application. C’est exactement ce qui avait été reproché à KeePass par certains chercheurs, nécessitant un patch correctif urgent.
-
Implémentation et ergonomie : L'auto-remplissage, conçu pour le confort, peut devenir un vecteur d'exfiltration si des superpositions ou des manipulations du DOM déclenchent un remplissage à l'insu de l'utilisateur, comme démontré par une attaque de phishing sophistiquée ciblant LastPass en 2022.
Cadre légal et réglementaire, une pression accrue
Le cadre légal et réglementaire, notamment en France et en Europe, exerce une pression supplémentaire. Le RGPD impose des "mesures techniques et organisationnelles appropriées", incluant des politiques d'authentification robustes et un stockage sécurisé des secrets.
En 2024, la CNIL a sanctionné une entreprise du e-commerce pour avoir stocké des mots de passe clients en MD5 sans sel. La directive NIS2, attendue pour 2025, renforcera encore les exigences de sécurité pour de nombreux secteurs, en particulier pour les opérateurs d’importance vitale comme ENEDIS et SNCF.
(1) PassKey : clé cryptographique qui remplace le mot de passe pour accéder à un compte en ligne
(2) YubiKey : dispositif électronique d'authentification forte (mots de passe à usage unique, chiffrement, ...)