Mon générateur de mot de passe en ligne est-il sûr ?
Tous les générateurs en ligne ne se valent pas. Voici les 5 critères pour vérifier qu'un générateur ne stocke ni n'envoie vos mots de passe.
Un générateur de mot de passe en ligne peut être totalement sûr — ou totalement compromis. Voici les 5 critères vérifiables qui font la différence, et comment les contrôler sur n'importe quel site (y compris Convertly PASSWORD).
Critère 1 — Génération locale (côté client)
Un générateur sûr ne transmet jamais le mot de passe généré sur le réseau. La génération doit se faire 100 % dans votre navigateur, en JavaScript local. À vérifier :
- Ouvrir l'onglet « Réseau » des DevTools de votre navigateur (F12).
- Cliquer sur « Générer ».
- Aucune requête HTTP POST ne doit apparaître. Seules les requêtes de ressources statiques (HTML, CSS, JS, fonts) sont acceptables.
Si une requête POST part vers le serveur, fuyez.
Critère 2 — Web Crypto API (pas Math.random)
Math.random() en JavaScript est prédictible : un attaquant qui observe quelques sorties peut deviner les suivantes. La seule API sûre est Web Crypto via crypto.getRandomValues().
À vérifier dans le code source :
- Vous voyez
crypto.getRandomValuesoucrypto.randomUUID⇒ sûr. - Vous voyez
Math.randomdans la génération ⇒ faille.
Critère 3 — Code source ouvert ou auditable
Un générateur sérieux publie son code source ou permet de l'inspecter facilement (View Source). Le code doit être minimalement obfusqué — sinon, il y a quelque chose à cacher.
Sur Convertly PASSWORD, le code de génération est lisible directement dans le bundle Next.js et utilise les API natives du navigateur — aucune librairie tierce non auditée.
Tester le générateur de mot de passe fort
Critère 4 — HTTPS et en-têtes de sécurité
Le site doit servir le générateur en HTTPS strict (HTTP redirige vers HTTPS). Les en-têtes attendus :
Content-Security-Policystricte (limite les scripts à l'origine).Strict-Transport-Security(HSTS).X-Content-Type-Options: nosniff.Referrer-Policy: strict-origin-when-cross-originou plus strict.
Sur Convertly, ces en-têtes sont configurés dans next.config.ts. Vous pouvez les vérifier sur securityheaders.com.
Critère 5 — Pas de tracking ni d'historique côté serveur
- Le générateur ne doit pas afficher de bandeau « historique de vos mots de passe » (révèle qu'il est stocké).
- Pas de connexion utilisateur requise.
- Politique de confidentialité explicite qui exclut le stockage du mot de passe.
- Analytics raisonnables (Plausible, Matomo self-hosted) plutôt que Google Analytics qui peut leaker des données.
Cas particulier : générateurs intégrés à un gestionnaire
Bitwarden, 1Password, KeePassXC intègrent un générateur dans leur app. C'est la solution la plus sûre car :
- Tout se passe localement.
- Le mot de passe est immédiatement stocké chiffré.
- Pas de copier-coller exposé dans le presse-papiers.
Un générateur web reste utile pour : un mot de passe à usage unique, un visiteur qui n'a pas (encore) de gestionnaire, un test rapide.
Convertly PASSWORD : ce qu'on fait et ce qu'on ne fait pas
| Pratique | État Convertly |
|---|---|
| Génération 100 % locale | ✅ |
| Web Crypto API (crypto.getRandomValues) | ✅ |
| Aucune transmission serveur | ✅ |
| HTTPS + HSTS + CSP | ✅ |
| Sans inscription, sans compte | ✅ |
| Sans historique persistant | ✅ |
| Code source vérifiable | ✅ |
| Hébergement Europe (Vercel) | ✅ |
| Conformité RGPD | ✅ |