Gestion des mots de passe Google

Ce qu’est exactement le gestionnaire de mots de passe Google

Le gestionnaire de mots de passe Google est intégré au compte Google. Quand vous enregistrez un identifiant via Chrome ou Android, il est associé à votre compte et synchronisé avec tous les appareils où vous êtes connecté. Il est aussi accessible depuis une interface dédiée, passwords.google.com, qui regroupe tous vos mots de passe enregistrés et propose un contrôle de sécurité. C’est aujourd’hui la voie d’entrée la plus courante dans la gestion des mots de passe Google pour le grand public et les indépendants.

Ce qu’il fait : stocker un identifiant et un mot de passe par site, proposer le remplissage automatique des formulaires de connexion, générer un mot de passe fort à la création d’un compte, vérifier régulièrement si vos mots de passe ont fuité dans des bases publiques.

Ce qu’il ne fait pas, ou mal : partager un mot de passe entre plusieurs personnes de manière sécurisée, héberger des notes ou des fichiers chiffrés, fonctionner pleinement en dehors de l’écosystème Chrome / Android. Si vous travaillez beaucoup sur Safari, Firefox ou un navigateur professionnel non basé sur Chrome, les frictions sont sensibles.

Pour un dirigeant de TPE, ce gestionnaire est un point de départ utile, surtout si vous êtes déjà sur Google Workspace. Mais ce n’est pas une solution équipe à part entière, et il faut en mesurer les limites avant d’y reposer toute sa sécurité.

Où sont stockés vos mots de passe et comment y accéder

Les mots de passe enregistrés via Google se retrouvent à trois endroits qui pointent vers le même contenu. Tout dirigeant qui veut sérieusement reprendre la main sur la gestion des mots de passe Google doit connaître ces trois points d’entrée.

Sur Chrome (ordinateur)

Dans Chrome, ouvrir le menu (trois points en haut à droite), aller dans Mot de passe et saisie automatique puis Gestionnaire de mots de passe Google. Vous y voyez la liste de vos sites enregistrés, vous pouvez consulter un mot de passe en confirmant votre identité (mot de passe de session ou empreinte), modifier, supprimer.

Un point souvent oublié : si vous utilisez Chrome sans être connecté à un compte Google, les mots de passe restent locaux, non synchronisés. Connectez-vous au compte Google pour activer la synchronisation, ou décidez explicitement de la couper si vous tenez à un stockage local.

Sur smartphone Android

Android se sert du même service comme système central de remplissage automatique. Pour vérifier, ouvrir Paramètres puis Google puis Saisie automatique et Mots de passe et identifiants. La même interface qu’au-dessus s’y retrouve. Sur iPhone, l’application Google et le navigateur Chrome y donnent accès, mais l’intégration système n’est pas aussi complète que sur Android.

Sur passwords.google.com

L’interface web passwords.google.com est la vue la plus complète. Elle permet de chercher un mot de passe, de lancer un contrôle de sécurité, d’exporter ou d’importer un fichier de mots de passe. C’est l’endroit où vous allez si vous voulez faire le ménage à froid dans vos comptes enregistrés.

Sécuriser le compte Google avant tout

Le gestionnaire ne vaut que la sécurité du compte Google qui l’héberge. Quatre piliers, dans cet ordre.

Repérer les mots de passe faibles, réutilisés ou compromis

Le contrôle de sécurité, accessible directement dans passwords.google.com, est l’un des outils les plus utiles du dispositif. Il vérifie automatiquement trois choses.

Les mots de passe que vous avez réutilisés sur plusieurs sites. C’est une faille majeure : si l’un des sites est compromis, tous les autres tombent avec.

Les mots de passe considérés comme faibles : trop courts, trop simples, basés sur des informations personnelles évidentes.

Les mots de passe compromis, c’est-à-dire détectés dans une fuite publique. Cette détection se fait en comparant des empreintes de vos mots de passe à des bases de données de fuites connues, sans envoyer vos mots de passe en clair à Google.

La marche à suivre quand un signal apparaît est toujours la même : changer le mot de passe concerné, vérifier les activités récentes du compte concerné, activer la double authentification si elle ne l’est pas. Sur un compte professionnel critique (Workspace, banque, factures), traiter sans attendre. Sur un compte secondaire, planifier rapidement.

Gérer les mots de passe d’une équipe avec Google Workspace

Google Workspace ajoute un étage : la console d’administration. Elle permet à un dirigeant de TPE de créer, gérer et désactiver les comptes des salariés, d’imposer la double authentification, de définir des règles de session et d’attribuer des accès aux applications Google et à des outils tiers via le SSO (Single Sign-On).

Plus on passe par le SSO Google, moins il y a de mots de passe à gérer dans l’équipe. Chacun se connecte une fois à son compte Workspace, et le compte donne accès aux outils paramétrés. Cela limite le nombre de mots de passe individuels à gérer et permet de couper proprement les accès quand un collaborateur part.

Là où Workspace montre ses limites, c’est pour le partage de mots de passe entre membres de l’équipe sur des outils qui n’acceptent pas le SSO. C’est le cas typique de nombreux outils du quotidien d’une TPE : compte Canva pour les visuels, Mailchimp pour la newsletter, accès administrateur d’un CMS, console publicitaire partagée. Google Password Manager ne propose pas, à ce jour, de mécanisme natif de partage sécurisé entre comptes pour ce genre d’usage. Des options de partage existent dans le cadre de Family Sharing pour un usage familial, mais elles ne couvrent pas les besoins d’une équipe professionnelle.

Un partage propre passe alors par un outil tiers ou par une organisation rigoureuse (compte commun documenté, double authentification partagée via une application centralisée).

En cas de départ d’un salarié, la console permet de transférer les données du compte et de couper les accès. Le geste à ne pas oublier : forcer la déconnexion de toutes les sessions actives et invalider les jetons d’application, sans quoi un client mail ou un téléphone associé peut continuer à accéder à certaines données.

Limites du gestionnaire Google et quand passer à un gestionnaire dédié

Le gestionnaire Google est gratuit, intégré, suffisant pour beaucoup d’usages personnels et pour un dirigeant qui travaille seul. Quatre signaux indiquent en revanche qu’il devient temps d’adopter un gestionnaire dédié.

Les alternatives les plus citées dans le contexte TPE sont Bitwarden (très bon rapport qualité/prix, version open source), 1Password (très orienté équipe et entreprise), Dashlane (interface soignée), Proton Pass (ancré dans l’écosystème Proton, axé confidentialité). Aucune n’est la solution universelle : Bitwarden séduit les profils techniques attentifs au coût, 1Password convient mieux aux équipes structurées, Dashlane mise sur l’expérience utilisateur, Proton Pass intéresse les TPE déjà engagées dans l’écosystème Proton.

Bonnes pratiques pour un dirigeant de TPE

Quelques règles simples, applicables que l’on reste sur Google ou non.

Un coffre, un seul, par personne. Multiplier les gestionnaires ouvre des angles morts. Si vous adoptez un gestionnaire dédié, basculer progressivement et désactiver l’enregistrement automatique côté Chrome pour éviter les doublons.

La double authentification généralisée. Sur Google, sur la banque, sur les outils métiers, sur la messagerie. Sans 2FA, la solidité d’un mot de passe ne suffit jamais à 100 %.

Une procédure écrite, même minimale, pour les arrivées et les départs. Qui crée le compte ? Qui le ferme ? Qui récupère les accès partagés ? Cinq lignes suffisent à éviter beaucoup d’oublis.

Une sauvegarde des codes de récupération hors ligne. Une feuille imprimée dans un classeur fermé reste l’un des moyens les plus sûrs pour récupérer un compte si tout le reste tombe en panne.

Un audit annuel : revue des accès, suppression des comptes inutilisés, vérification des appareils enregistrés, contrôle de sécurité dans Google et dans les outils tiers. Un rendez-vous d’une heure, une fois par an, qui évite parfois des semaines de panique.