Cette fonctionnalité, proposée par de nombreux navigateurs, est certes très pratique pour rentrer facilement ses mots de passe. Néanmoins, elle représente de gros risques pour votre sécurité. On vous explique pourquoi et quelle alternative adopter. 

Depuis de nombreuses année maintenant, la grande majorité des navigateurs et des gestionnaires de mots de passe proposent cette fonctionnalité. A savoir, l'autofill ou le remplissage automatique en bon français.

Vous connaissez forcément le principe, cet outil saisie automatiquement vos mots de passe et identifiants lorsque vous cherchez à vous connecter à un site, un service, etc. Une fonctionnalité extrêmement pratique, puisqu'elle permet de gagner un temps fou. Néanmoins, elle est loin d'être sans risque… A nos yeux, il est même judicieux de la désactiver. On vous explique pourquoi.

L'Autofill, ça fonctionne comment ?

Mais avant de rentrer dans les détails, il convient de revenir rapidement sur le remplissage automatique. Comme dit plus haut, cet outil remplit automatiquement les champs sur un site web, sans que vous ayez besoin de taper quoique ce soit. Concrètement, il peut s'agir d'identifiants, de mots de passe, mais aussi de coordonnées bancaires si vous les avez enregistrées sur votre navigateur.

Attention toutefois, sachez qu'il existe deux types d'autofill. A savoir, l'Autofill automatisé et l'Autofill manuel. Dans le premier cas, le remplissage automatique est automatisé. Par conséquent, il remplira automatiquement les champs avec les informations enregistrées sur votre navigateur sans action de votre part. Quant à l'Autofill manuel, le navigateur/gestionnaire de mots de passe attendra une interaction avec les champs (généralement un clic) avant de les remplir automatiquement.

Pourquoi la saisie automatisée est dangereuse

Si la saisie automatique est indéniablement plus rapide, elle présente des risques non-négligeables pour la sécurité de vos données. Comme dit précédemment, cette fonctionnalité remplit automatiquement n'importe quel champ sur une page web sans intervention de votre part.

Or, cette procédure peut comporter de gros risques, surtout lorsque vous visitez malencontreusement des sites malveillants comme des copies de sites légitimes. Par exemple, les pirates peuvent y insérer des formulaires invisibles pour inciter les gestionnaires de mots de passe ou le navigateur à remplir automatiquement les champs avec vos informations. Pire encore, des hackers ont démontré par le passé leur capacité à introduire des scripts malveillants sur des sites légitimes…

Cette technique a été découverte par des chercheurs en sécurité informatique en 2023. Baptisée AutoSpill, elle a été détectée dans de nombreux gestionnaires de mots de passe réputés, comme 1Password, LastPass, Enpass, Keeper ou encore Keeppass2Android.

A lire également : LastPass a minimisé les conséquences du dernier piratage, changez vos mots de passe

Quelles alternatives à l'Autofill automatisé ?

Comment limiter les risques inhérents à la saisie automatisée ? La réponse est toute simple : désactivez-là et optez plutôt pour le remplissage automatique manuel. Si cette méthode est moins rapide, elle a le mérite d'être bien moins vulnérable aux techniques de piratage citées plus haut.

Pourquoi cela ? Tout simplement car le saisie manuelle implique une action de votre part pour remplir les informations. Par conséquent, les pirates ne pourront pas les consulter directement via des formulaires invisibles. En outre, cette méthode permet de gagner un peu de temps lorsque vous tombez sur un site de phishing par exemple. Plutôt que de livrer directement vos identifiants, la saisie manuelle vous laisse le temps de s'assurer que vous êtes bien sur un site légitime (vérification du nom de domaine et de l'URL, présence de fautes d'orthographe, de défauts dans les logos utilisés, utilisation d'un certificat SSL ou non, absence de rubrique Contactez-nous ou de mentions légales, méthodes de paiement inhabituelles et non-sécurisées, etc.).

Les Passkeys, l'autre option viable

Si la saisie automatique manuelle est donc une bonne solution, on vous invite fortement à adopter rapidement les Passkeys sur tous les services qui les prennent en charge. Depuis 2023, cette nouvelle méthode d'authentification s'est démocratisée, et ce pour plusieurs raisons.

Pour les néophytes, les Passkeys ou clés d'identification contiennent des données chiffrées utilisées pour valider votre identité lors d'une tentative de connexion. Elles reposent sur un principe de chiffrement asymétrique, en exploitant deux clés : une clé publique stockée sur les serveurs du site hôte, et une clé privée stockée localement sur votre appareil. Lors d'une connexion, les deux clés communiquent et valident le processus.

Ce n'est pas tout. En guise de couche de sécurité supplémentaire, les Passkeys réclament également une validation de l'utilisateur depuis son appareil (empreinte digitale, reconnaissance faciale, code PIN, schéma, etc.). Dernier point appréciable, les clés privées générées se synchronisent sur l'ensemble des appareils où un compte cloud, comme iCloud ou Google, est actif. Ce qui permet de se connecter en toute sécurité sur toutes vos machines.

Comment désactiver la saisie automatisée ?

Sans surprise, la méthode pour désactiver la saisie automatique variera selon le gestionnaire de mots de passe utilisé. Sachez néanmoins qu'ils proposent tous cette option. Si vous faites confiance plutôt à votre navigateur, voici la méthode pour désactiver cet outil sur le gestionnaire de mots de passe de Chrome. 

Notre choix s'est porté sur le navigateur de Google, en raison de sa place de numéro 1 mondial. Si vous êtes un aficionado de Mozilla Firefox ou de Microsoft Edge, pas d'inquiétude. La procédure reste sensiblement la même :

• Ouvrez Chrome et cliquez sur les trois petits point en haut à droite
• Dans la fenêtre déroulante, cherchez les Paramètres tout en bas
• Cliquez maintenant sur l'onglet Saisie automatique et mots de passe, puis Gestionnaire de mots de passe Google 
• Maintenant, cliquez sur Paramètres à droite et désactivez les deux options suivantes : “Proposer d'enregistrer les mots de passe et les clés d'accès” et “Connexion automatique”