Le détail qui change tout : où est généré votre mot de passe ?

La plupart des internautes choisissent un générateur de mot de passe à l’apparence du site : couleur, design, nombre d’options. Presque personne ne regarde le mot de passe est réellement calculé. Ce détail technique change pourtant complètement le niveau de sécurité réel, et en 2026, il est devenu le premier critère à vérifier avant d’utiliser un outil en ligne.

Un générateur de mot de passe côté client exécute tout le calcul dans votre navigateur, sans jamais envoyer le mot de passe sur un serveur. C’est la seule approche compatible avec la notion de privacy by design que recommandent la CNIL et l’ANSSI.

Ce que signifie “côté client” concrètement

Le terme “côté client” désigne tout code qui s’exécute sur l’appareil de l’utilisateur, par opposition au “côté serveur” qui tourne sur une machine distante. Dans le cas d’un générateur de mot de passe :

  • Côté client : votre navigateur télécharge le code JavaScript, puis fabrique le mot de passe en utilisant la fonction crypto.getRandomValues() intégrée à votre navigateur. Le résultat reste dans la mémoire locale de l’onglet et disparaît dès que vous fermez la page.
  • Côté serveur : votre navigateur envoie une requête à un service distant, qui calcule le mot de passe et vous le renvoie dans la réponse HTTP. Le mot de passe a donc transité sur le réseau et a existé, même brièvement, dans la mémoire du serveur.

La différence semble minime. Elle a pourtant des conséquences très concrètes.

Les trois risques réels d’un générateur côté serveur

Le mot de passe existe dans les logs

Même si le site promet de ne rien enregistrer, toute requête HTTP laisse des traces. Le serveur web (Nginx, Apache), le CDN (Cloudflare, Akamai), le reverse proxy et parfois le WAF enregistrent chacun leurs propres logs. Un mot de passe passé dans une URL ou dans le corps d’une réponse peut ainsi se retrouver archivé pendant 30 à 90 jours dans des systèmes que le site lui-même ne contrôle pas.

Un opérateur malveillant peut lire les mots de passe

Un site qui génère vos mots de passe côté serveur peut, en théorie, les enregistrer volontairement avant de vous les renvoyer. Il suffit d’ajouter trois lignes de code dans la fonction. Vous n’avez aucun moyen de le détecter depuis votre navigateur, puisque le code sensible tourne sur une machine à laquelle vous n’avez pas accès.

Plusieurs incidents réels ont déjà été documentés : en 2019, un générateur gratuit très populaire s’est révélé stocker l’intégralité des mots de passe générés dans une base de données non chiffrée accessible publiquement. Les utilisateurs qui avaient utilisé le service pendant trois ans ont vu leurs mots de passe exposés d’un coup.

Une attaque man-in-the-middle reste possible

Même si la connexion est chiffrée en HTTPS, toute faille dans la chaîne de certificats ou une attaque sur le DNS peut permettre à un attaquant d’intercepter le mot de passe entre le serveur et votre navigateur. La seule façon d’éliminer ce vecteur d’attaque est de ne jamais faire transiter le mot de passe sur le réseau. C’est exactement ce que garantit la génération côté client.

Comment reconnaître un vrai générateur côté client

Voici les signes qui confirment qu’un générateur est réellement local :

  1. La page fonctionne sans connexion internet. Déconnectez votre Wi-Fi, rechargez la page (à condition qu’elle soit déjà en cache) et cliquez sur “Générer”. Si un nouveau mot de passe s’affiche, le calcul est bien local. Si rien ne se passe, c’est qu’une requête serveur était nécessaire.
  2. L’onglet Réseau reste silencieux à la génération. Ouvrez les outils développeur (F12), onglet Network, et cliquez sur “Générer”. Aucune requête ne doit apparaître. Si vous voyez un POST ou un GET au moment du clic, fuyez.
  3. Le code source est ouvert. Un générateur sérieux publie son code sur GitHub ou directement inspectable depuis la page, afin que tout le monde puisse vérifier qu’aucun envoi caché n’a lieu. L’outil est parfois accompagné d’un fichier diceware-fr.txt téléchargé une fois et stocké en cache.
  4. Il utilise crypto.getRandomValues() et non Math.random(). Cette distinction garantit un vrai caractère aléatoire cryptographique, pas un simple pseudo-aléatoire prédictible. Vous pouvez le vérifier en inspectant le code JavaScript.

Un outil comme generateur-mdp.com coche ces quatre cases : code ouvert, calcul local, aléa cryptographique, aucun appel réseau lors de la génération.

Le privacy by design au-delà du mot de passe

Le principe client-side vaut pour tous les outils qui manipulent des données sensibles : compresseurs d’image, convertisseurs de documents, éditeurs PDF, lecteurs QR code. À chaque fois qu’un site propose de “traiter” un fichier ou une information personnelle, la même question doit se poser : le traitement a-t-il lieu dans mon navigateur, ou est-il envoyé sur un serveur ?

Pour les téléphones, le même raisonnement s’applique lors du choix des applications. Les guides tech comme les comparatifs de smartphones rappellent d’ailleurs que les appareils récents intègrent de plus en plus de traitements locaux pour limiter les fuites.

En matière de mot de passe, combiner un générateur côté client avec un gestionnaire chiffré localement comme Bitwarden offre le meilleur compromis entre confort et sécurité.

L’erreur à ne pas faire

Utiliser un générateur côté client et coller ensuite le résultat dans un formulaire de test en ligne pour vérifier sa robustesse annule toute la démarche. Les outils d’évaluation de mot de passe sont très souvent hébergés côté serveur. Collez un mot de passe dans l’un de ces services, et il aura voyagé sur le réseau, exactement ce que vous cherchiez à éviter.

Pour évaluer la force d’un mot de passe, utilisez plutôt les indicateurs d’entropie affichés directement par le générateur. Le nôtre affiche le score d’entropie en bits en temps réel, sans aucun envoi.

FAQ

Un générateur côté client fonctionne-t-il sans connexion ?

Oui, une fois la page chargée, le générateur fonctionne hors ligne. Le calcul utilise uniquement la fonction crypto.getRandomValues() intégrée à votre navigateur. C’est d’ailleurs l’un des tests les plus simples pour vérifier qu’un outil est bien local : coupez le Wi-Fi, rafraîchissez, générez.

Comment être certain qu’un site ne stocke pas mes mots de passe ?

La seule preuve solide est l’inspection réseau dans les outils développeur du navigateur. Si aucune requête HTTP n’est émise au moment de la génération, le mot de passe n’a physiquement pas pu quitter votre machine. Des sites sérieux publient également leur code source pour permettre la vérification par n’importe qui.

Est-ce que le côté client est toujours plus sûr que le côté serveur ?

Dans le cas spécifique d’un générateur de mot de passe, oui. Pour d’autres usages, la question est plus nuancée (un coffre-fort chiffré doit par exemple synchroniser ses données entre appareils via un serveur, mais avec un chiffrement bout en bout). Pour la génération pure, il n’existe aucun avantage à passer par un serveur : la fonction crypto.getRandomValues() est identique dans tous les navigateurs modernes et ne nécessite aucune infrastructure distante.

Que se passe-t-il si je ferme l’onglet après avoir généré un mot de passe ?

Le mot de passe disparaît de la mémoire du navigateur. Il n’est stocké nulle part, sauf si vous l’avez explicitement enregistré dans un gestionnaire ou copié dans le presse-papiers. Pensez donc à le transférer immédiatement dans votre gestionnaire de mots de passe avant de fermer la page.

Conclusion

En 2026, le choix entre un générateur côté client et un générateur côté serveur n’est pas une question de préférence esthétique : c’est une différence fondamentale de modèle de sécurité. Un générateur local ne transmet rien, ne stocke rien, ne dépend de personne d’autre que vous. C’est le seul moyen d’avoir la certitude mathématique qu’un mot de passe créé aujourd’hui n’apparaîtra pas dans une fuite de base de données dans trois ans.

Avant de générer votre prochain mot de passe, posez-vous simplement la question : ce site peut-il voir ce qu’il est en train de calculer ? Si la réponse n’est pas un “non” technique et démontrable, passez à un outil qui garantit la réponse par design.