Chrome propose une option d’export des mots de passe au format CSV sur la version bureau. Ce procédé est utile pour migrer vos identifiants vers un autre appareil ou vers un gestionnaire de mots de passe tiers. Toutefois, un export de ce type produit un fichier en clair contenant toutes vos identifiants : il faut donc le chiffrer et le transférer prudemment. Cet article décrit pas à pas la procédure d’exportation, les outils de chiffrement recommandés, les bonnes pratiques de transfert et d’importation, ainsi que les problèmes courants et leurs solutions.
1. Préparations et précautions initiales
Avant de commencer, mettez à jour Chrome et vérifiez que vous utilisez le profil contenant les identifiants souhaités. Assurez-vous que votre système local est sain : antivirus à jour, système d’exploitation patché, et absence de logiciels suspects. Déterminez le but de l’export : sauvegarde locale, transfert vers un nouveau poste, ou import dans un gestionnaire externe. Si l’export concerne des comptes sensibles (banque, travail), envisagez de changer les mots de passe après migration pour plus de tranquillité.
2. Exporter les mots de passe depuis Chrome (bureau)
Sur Windows et macOS :
- Ouvrez Chrome et cliquez sur l’icône de profil en haut à droite, puis sur « Mots de passe » ou accédez à chrome://settings/passwords.
- Cliquez sur les trois points à droite de « Mots de passe enregistrés » et choisissez « Exporter les mots de passe ».
- Confirmez l’opération avec l’authentification de votre système : mot de passe Windows, PIN, empreinte, Touch ID, etc.
- Enregistrez le fichier CSV dans un dossier temporaire sécurisé sur le disque local. N’utilisez pas un emplacement synchronisé (cloud) sans chiffrement.
Sur Linux, la procédure est similaire, mais l’authentification dépendra de la configuration locale et du gestionnaire de clés.
3. Export depuis mobile et alternatives
Chrome mobile ne propose pas toujours un export direct. Activez la synchronisation Chrome et utilisez passwords.google.com depuis un ordinateur connecté au même compte pour effectuer l’export. Si vous n’avez pas d’accès à un PC, envisagez d’installer un gestionnaire de mots de passe sur mobile et d’importer manuellement ou via l’option d’import du gestionnaire, après avoir copié les identifiants en toute sécurité.
4. Chiffrement du fichier CSV immédiatement après l’export
Ne laissez jamais le CSV non chiffré plus longtemps que nécessaire. Chiffrez-le immédiatement à l’aide d’un des outils suivants selon votre plateforme :
- 7-Zip (Windows) : création d’une archive ZIP chiffrée AES-256. Exemple de commande pour utilisateurs avancés :
7z a -tzip -pVotreMotDePasse -mem=AES256 archive.zip mots.csv. - Disk Utility (macOS) : création d’une image disque chiffrée en APFS ou HFS+ via l’interface graphique.
- VeraCrypt : création d’un conteneur chiffré pour stocker et transporter plusieurs fichiers de manière sécurisée.
- OpenSSL (tous OS) : chiffrement en ligne de commande pour automatisation. Exemple :
openssl enc -aes-256-cbc -salt -in mots.csv -out mots.csv.enc.
Choisissez un mot de passe long et unique, au moins 16 caractères, en évitant les réemplois et les mots évidents. Conservez le mot de passe séparément et transmettez-le via un canal différent du fichier chiffré.
5. Transfert sécurisé du fichier chiffré
Pour transférer le fichier chiffré :
- Privilégiez SFTP, SCP, ou un service de partage chiffré de bout en bout. Évitez les liens publics temporaires non chiffrés.
- Vérifiez l’intégrité après transfert : calculez et comparez un hash SHA-256 du fichier chiffré avant et après le transfert.
- Supprimez toute copie locale non chiffrée. Utilisez des outils de suppression sécurisée si nécessaire.
6. Importer le CSV dans un autre navigateur ou gestionnaire
Après avoir déchiffré le fichier sur l’appareil de destination, vérifiez le format du CSLes colonnes communes attendues sont : name, url, username, password. Certains gestionnaires demandent un ordre précis ou un en-tête particulier. Procédez à un import test sur un petit lot si possible, puis vérifiez manuellement quelques comptes critiques pour s’assurer de la bonne correspondance.
Une fois l’import effectué, supprimez toutes les traces locales : archive chiffrée et CSV déchiffré. Changez les mots de passe les plus sensibles si vous suspectez une exposition durant la procédure.
7. Problèmes fréquents et solutions
- Option d’export grisée : mettez à jour Chrome, vérifiez que le profil n’est pas géré par une organisation, ou activez l’option via chrome://flags si approprié.
- CSV mal formaté pour l’import : ouvrez le fichier dans un éditeur CSV et adaptez les en-têtes et l’ordre des colonnes.
- Perte du mot de passe d’archive : sans mot de passe, le fichier chiffré est inutilisable ; conservez toujours une copie sûre du mot de passe.
8. Recommandations finales
L’export des mots de passe est une opération puissante mais risquée si elle est mal protégée. Chiffrez systématiquement, utilisez des canaux distincts pour le mot de passe, et supprimez toutes les copies non chiffrées. Si vous exportez pour migrer vers un gestionnaire de mots de passe, profitez-en pour activer l’authentification à deux facteurs et pour renforcer les mots de passe faibles. En cas de doute, changez les identifiants les plus sensibles après la migration.
Pour aller plus loin, consultez la documentation de votre gestionnaire de mots de passe cible et les recommandations de sécurité publiées par la Electronic Frontier Foundation et Google Passwords.
