Le saviez-vous ? Lorsque vous vous connectez à Chrome avec votre compte Google, le navigateur envoie par défaut l'ensemble de vos mots de passe des sites tiers sur les serveurs de Google, pour vous permettre de les retrouver. Un risque considérable pour la sécurité, que la firme documente très mal.

Désormais, lorsque vous vous connectez à votre compte Google avec Chrome ("Menu" / "Se connecter à Chrome…"), Google synchronise par défaut l'ensemble des éléments enregistrés dans le navigateur avec ses serveurs, y compris la liste des mots de passe mémorisés localement. Le tout avec une transparence largement perfectible, pour ne pas dire plus.

En effet, lorsque l'internaute demande sur Chrome à se connecter à son compte pour "accéder à vos favoris, à votre historique et à vos paramètres sur tous vos appareils", le formulaire de connexion suivant apparaît, sans que la case "Sélectionner les éléments à synchroniser" ne soit cochée par défaut :

Une fois la connexion effectuée, un message apparaît en haut à droite du navigateur pour prévenir l'internaute que désormais, "vos favoris, votre historique et d'autres paramètres seront synchronisés avec votre compte Google". Il n'est rien dit sur les mots de passe, qui sont inclus dans ces "autres paramètres" :

Il faut que l'internaute soit curieux et clique sur le lien vers les "paramètres avancés" pour en apprendre davantage et découvrir que par défaut, Chrome partage l'ensemble des mots de passe de l'utilisateur avec ses serveurs, et qu'il le fait d'une manière étrangement sécurisée. En effet, il propose par défaut à l'utilisateur de chiffrer ces mots de passe "avec vos certificats Google", c'est-à-dire avec la clé que Google connaît. La firme de Mountain View est ainsi capable, au moins en théorie à défaut de le mettre en pratique, de déchiffrer l'ensemble des mots de passe et d'accéder aux comptes des utilisateurs.

Si lui-même ne souhaite pas exploiter ces mots de passe, Google peut recevoir l'ordre de les communiquer aux autorités judiciaires ou administratives qui les demandent. Mais surtout de façon plus pragmatique, pour qui synchronise son compte avec Chrome, la découverte par un tiers du mot de passe d'un compte Gmail peut donner l'accès à l'ensemble des comptes utilisés sur Facebook, eBay, Yahoo, etc. Plus que jamais, le compte Gmail devient le saint-graal des hackers.

Ce n'est qu'une option particulière qui permet d'enregistrer ses mots de passe avec "votre propre phrase secrète de synchronisation", qui n'est pas connue de Google :