Rien à dire…

L’aliénation du mot de passe (et comment j’essaie d’en sortir)

Écrit par

Clément Le Guyadec

dans

,

Les mots de passe sont devenus si nombreux, si complexes, si obligatoires qu’on nous a vendu la solution : laisse ton navigateur s’en occuper. Et c’est exactement ça, le piège. Le navigateur prend la place de mon cerveau. Il compense une contrainte artificielle que le système a lui-même créée. Résultat : changer de navigateur devient pénible. Utiliser un autre ordinateur devient compliqué. Je suis verrouillé.

Ivan Illich appelait ça un « outil aliénant » : un outil qui crée la dépendance au lieu d’augmenter l’autonomie. Le gestionnaire de mots de passe résout un problème qu’il contribue à générer.

Le trajet classique : enthousiasme, désillusion, réappropriation

J’ai passé des années sur Linux. J’ouvrais les PC pour comprendre comment ils fonctionnaient. Je bidouillais, j’utilisais de l’open source, je contribuais aux communs numériques. Puis j’ai vieilli. J’ai commencé à travailler. On m’a imposé des systèmes fermés. Je suis tombé dans le confort des écosystèmes connectés qui font tout à la place. Je me suis habitué.

J’ai perdu du temps sur Twitter, Facebook, Instagram, TikTok avant de tout désinstaller. YouTube reste. Je me dis qu’il y a des choses intéressantes dessus. C’est vrai. Mais les shorts me happent parfois. Je scrolle. Je perds la main.

L’arrivée de l’IA a ravivé ces questions. Externaliser sa pensée dans un outil, c’est pratique. Mais quelle relation je veux avec ça ? Comment garder un rapport qui ne soit pas aliénant ? Comment accepter qu’un jour, il faudra peut-être s’en passer ?

Le problème du couplage

Quand Chrome ou Firefox garde mes mots de passe, mon navigateur devient mon gestionnaire de mots de passe. Les deux sont couplés. Indissociables.

C’est pratique. Mais c’est un verrouillage.

Si je veux changer de navigateur, je dois exporter mes mots de passe, les importer ailleurs, reconfigurer. Si je veux utiliser un autre ordinateur, mes mots de passe ne sont pas là. Si mon profil Firefox corrompt, je perds tout.

Plus grave : je ne peux pas accéder à mes mots de passe en dehors du navigateur. Pour vérifier un mot de passe sans ouvrir le site, pour le noter ailleurs, pour le partager avec quelqu’un, je dois passer par le navigateur. L’outil qui devrait servir à naviguer contrôle aussi mes identifiants.

C’est ce qu’on appelle le couplage : deux fonctions différentes (naviguer et gérer des mots de passe) liées dans un même outil. Et le couplage crée le verrouillage.

Le principe du découplage

En architecture logicielle, le découplage est un principe simple : séparer les fonctions pour que chacune fasse son travail indépendamment.

Un navigateur devrait naviguer. Afficher des pages web, gérer des onglets, exécuter du JavaScript. Point.

Un gestionnaire de mots de passe devrait gérer les mots de passe. Les stocker de manière sécurisée, les remplir automatiquement, les synchroniser entre appareils. Point.

Quand ces deux fonctions sont couplées, je ne peux plus changer l’une sans impacter l’autre. Si je quitte Chrome pour Firefox, mes mots de passe ne suivent pas. Si mon profil Firefox corrompt, je perds tout. Si je veux utiliser un autre ordinateur, mes identifiants ne sont pas là.

Le découplage résout ça. Mes mots de passe existent dans un outil indépendant. Je les utilise dans n’importe quel navigateur. Je change de navigateur sans friction. Je garde le contrôle.

C’est le même principe partout :

  • Mes emails ne devraient pas dépendre de Google (découpler fournisseur email / fournisseur de services)
  • Mes fichiers ne devraient pas être enfermés dans iCloud (découpler stockage / système d’exploitation)
  • Mes applications Android ne devraient pas exiger Google Play Services (découpler apps / écosystème propriétaire)

Le découplage, c’est la condition de l’autonomie. On ne peut être libre qu’avec des outils qu’on peut remplacer.

Pourquoi les navigateurs veulent coupler

Le couplage n’est pas accidentel. Il sert une stratégie commerciale.

Pour Chrome : garder tes mots de passe, c’est te garder dans l’écosystème Google. Tu ne partiras pas facilement. Google sait que la friction du changement (exporter, réimporter, reconfigurer) suffit à retenir la plupart des gens.

Pour Firefox : c’est moins prédateur, mais le résultat est identique. Firefox Sync te lie à Firefox. Tu changes de navigateur, tu perds le confort de la synchronisation.

Ce qu’ils vendent comme « intégration fluide », c’est du verrouillage propriétaire. Le terme technique : vendor lock-in. Tu deviens dépendant d’un fournisseur qui peut changer ses conditions, augmenter ses prix, ou disparaître.

Avant de découpler : reprendre le contrôle de son email

Avant de parler de gestionnaires de mots de passe, il faut régler un problème plus profond : l’email.

Gmail n’est pas qu’un fournisseur d’email. C’est devenu un fournisseur d’identité. Des centaines de services utilisent « Se connecter avec Google » (OAuth). Sans compte Google, certains services deviennent inaccessibles. C’est un verrouillage encore plus insidieux que les mots de passe.

De plus, Gmail est la porte d’entrée de tous tes comptes. La réinitialisation de mots de passe passe par email. Si tu perds l’accès à Gmail, tu perds l’accès à tout. Et Google peut suspendre ton compte sans préavis, sans recours.

La migration email est le prérequis. Sans ça, découpler les mots de passe ne sert à rien.

Les alternatives respectueuses

J’ai choisi Infomaniak avec la suite kSuite. Hébergeur suisse, soumis au droit suisse (plus protecteur que le droit américain). Pas de monétisation de mes données. Pas de tracking publicitaire. Interopérabilité totale (IMAP, CalDAV, CardDAV).

Mailo est une autre option. Français, axé vie privée, gratuit jusqu’à 1 Go, payant au-delà. Moins de fonctionnalités qu’Infomaniak (pas de cloud intégré), mais solide sur l’email.

D’autres alternatives : Proton Mail (chiffrement zero-knowledge, mais moins interopérable), Posteo ou Mailbox.org (Allemagne, RGPD).

La stratégie de migration

Phase 1 : Créer la nouvelle adresse (semaine 1)

  • Ouvrir un compte Infomaniak ou Mailo
  • Configurer l’adresse sur tous mes appareils
  • Tester l’envoi/réception

Phase 2 : Redirection temporaire (mois 1-3)

  • Gmail : Paramètres → Transfert → Rediriger vers la nouvelle adresse
  • Tous les emails arrivent sur Infomaniak
  • Je peux répondre depuis Infomaniak ou Gmail
  • Période de test sans tout casser

Phase 3 : Identifier les services critiques (mois 2-4)

  • Lister tous les services où j’utilise Gmail
  • Priorité : banque, impôts, santé, travail
  • Changer l’adresse email sur ces comptes un par un

Phase 4 : Le problème OAuth Google

C’est là que ça se complique. Certains services n’offrent QUE l’authentification Google. Pas de compte classique possible.

Stratégie :

  1. Vérifier si le service permet d’ajouter une méthode de connexion alternative (email + mot de passe)
  2. Si oui : ajouter email + mot de passe AVANT de retirer Google
  3. Si non : garder Google uniquement pour ces 2-3 services récalcitrants, ou abandonner le service

Les alias email : utiliser SimpleLogin ou AnonAddy. Je crée des alias (comme amazon.xyz@simplelogin.com) qui redirigent vers mon vrai email. Si un service vend mon adresse, je coupe l’alias. Le service ne connaît jamais mon vrai email.

Sans aller aussi loin il est aussi possible sur informaniak par exemple d’utiliser un alias type monmail+newsletter@etik.com ce qui permet de filtrer et traiter automatiquement les notifications reçus de services en ligne.

Phase 5 : Couper la redirection Gmail

  • Quand la majorité des comptes sont migrés
  • Gmail devient une boîte morte, gardée uniquement pour l’authentification OAuth de quelques services
  • Je consulte Gmail une fois par mois pour vérifier qu’il ne reste rien d’important

Les solutions découplées pour les mots de passe

Une fois l’email migré, je peux m’attaquer aux mots de passe. Parce que maintenant, mon adresse email de récupération n’est plus chez Google. Je peux créer des comptes classiques (email + mot de passe) sans dépendre d’OAuth.

J’ai testé trois approches pour découpler mes mots de passe du navigateur.

1. Bitwarden (mon choix)

Principe : gestionnaire open source, multi-plateformes, avec extension navigateur.

Avantages :

  • Fonctionne sur tous les navigateurs (Chrome, Firefox, Edge, Brave, Safari)
  • Synchronisation entre tous mes appareils (desktop, mobile, tablette)
  • Auto-remplissage aussi fluide que Chrome
  • Export facile si je veux partir
  • Peut s’auto-héberger (via Vaultwarden)
  • Gratuit pour usage illimité

Inconvénients :

  • Nécessite un mot de passe maître solide
  • Légèrement moins intégré que les solutions natives (mais c’est le prix de la liberté)

Pourquoi ce choix : portabilité maximale. Je peux changer de navigateur demain sans tout casser. Je peux basculer vers l’auto-hébergement plus tard si je veux.

2. KeePassXC (pour les puristes)

Principe : base de données locale, chiffrée, aucun cloud.

Avantages :

  • Contrôle total (fichier local que tu stockes où tu veux)
  • Aucune dépendance à un service tiers
  • Open source, audité depuis des années

Inconvénients :

  • Synchronisation manuelle entre appareils (via Nextcloud ou Syncthing)
  • Moins fluide sur mobile
  • Courbe d’apprentissage plus raide

Pour qui : ceux qui veulent la souveraineté absolue et acceptent moins de confort.

3. Méthode mnémotechnique (le backup mental)

Principe : formule personnelle pour générer des mots de passe mémorisables.

Exemple : « Je suis né à Clermont-Ferrand en 1985 » devient JsnaC-Fe1985. J’ajoute le nom du site + un symbole : JsnaC-Fe1985-Amazon!

Avantages :

  • Zéro dépendance technique
  • Fonctionne même sans ordinateur

Inconvénients :

  • Limité à quelques sites critiques
  • Moins sécurisé que des mots de passe générés aléatoirement

Usage : je l’utilise pour 3-4 comptes vraiment critiques (banque, impôts, santé). Le reste va dans Bitwarden.

Comment j’ai migré (guide pratique)

Étape 0 : Migrer l’email (voir section précédente)

  • Créer compte Infomaniak/Mailo
  • Configurer redirection Gmail
  • Commencer à changer les comptes critiques

Étape 1 : Exporter depuis Chrome

  • Chrome → Paramètres → Mots de passe → ⋮ → Exporter les mots de passe
  • Fichier CSV sauvegardé (attention : non chiffré, à supprimer après)

Étape 2 : Installer Bitwarden

  • Compte gratuit sur bitwarden.com (avec la nouvelle adresse Infomaniak)
  • Extension installée sur Chrome (oui, d’abord sur Chrome ou Firefox, le navigateur que vous utilisez en pratique)
  • Application desktop téléchargée

Étape 3 : Importer

  • Bitwarden → Outils → Importer des données → Chrome (CSV)
  • Vérification : tous les mots de passe sont là
  • Suppression du fichier CSV

Étape 4 : Tester (2 semaines)

  • Utilisation de Bitwarden en parallèle de Chrome
  • Vérification que l’auto-remplissage fonctionne
  • Ajustement des mots de passe faibles (audit intégré)

Étape 5 : Installer sur Firefox

  • Extension Bitwarden sur Firefox
  • Connexion au même coffre
  • Vérification : les mots de passe sont accessibles partout

Étape 6 : Désactiver les gestionnaires natifs

  • Chrome → Paramètres → Mots de passe → Proposer d’enregistrer les mots de passe (OFF)
  • Firefox → Paramètres → Vie privée et sécurité → Identifiants et mots de passe (OFF)

Résultat : mes mots de passe ne dépendent plus du navigateur. Je peux basculer de l’un à l’autre sans friction.

Les pièges rencontrés

Piège 1 : Ne pas migrer l’email d’abord
Au début, j’ai voulu juste changer de gestionnaire de mots de passe. Mais tous mes comptes utilisaient Gmail. J’ai réalisé qu’il fallait d’abord migrer l’email, sinon je restais dépendant de Google.

Piège 2 : Le mot de passe maître faible
J’ai utilisé la méthode Diceware pour en générer un solide : 6 mots aléatoires tirés aux dés. Long, mémorisable, incraquable.

Piège 3 : Ne pas désactiver les gestionnaires natifs
Au début, Chrome ET Bitwarden proposaient d’enregistrer les mots de passe. Doublon, confusion. J’ai désactivé Chrome.

Piège 4 : Vouloir tout migrer d’un coup
Commencer par les 10 services critiques. Le reste, progressivement. Un service par semaine.

Piège 5 : Les services OAuth-only
Certains services n’offrent que Google/Facebook/Apple. J’ai dû choisir : abandonner le service ou garder Google juste pour ça. J’ai gardé Google pour 3 services. C’est un compromis. Pas parfait, mais tenable.

Et ensuite ?

Le découplage des mots de passe et la migration email ne sont que les premières étapes. Le prochain article de cette série abordera l’environnement Android : comment sortir de la dépendance à Google Play Services, quelles applications open source utiliser (Thunderbird pour les mails, OsmAnd pour la navigation, NewPipe pour YouTube), et comment configurer son téléphone pour limiter l’invasion de l’économie de l’attention.

Le principe reste le même : découpler pour retrouver le contrôle. Un composant à la fois.

Ressources

Hébergeurs email respectueux :

Alias email :

Gestionnaires découplés :

Guides de migration :

Pour aller plus loin :

CHATONS (hébergeurs alternatifs) : https://chatons.org

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus de publications