Temps de lecture estimé : 9 minutes
Points clés à retenir
- Modifier type= »password » en type= »text » dans l’inspecteur révèle le mot de passe en 30 secondes.
- Le gestionnaire intégré Chrome/Firefox est la méthode la plus simple pour les mots de passe enregistrés.
- La manipulation HTML ne persiste pas au rechargement — le masquage revient automatiquement.
- Sur mobile, seul le gestionnaire de mots de passe système donne accès aux mots de passe masqués.
- Ces méthodes ne fonctionnent que sur des mots de passe déjà présents dans le champ — pas sur du vide.
Pourquoi votre mot de passe s’affiche en étoiles
Le mécanisme HTML derrière le masquage
Tout part d’un attribut HTML : type= »password ». Quand un développeur crée un champ de saisie avec cet attribut, le navigateur remplace automatiquement chaque caractère saisi par un point ou une étoile. C’est une convention universelle, implémentée dans chaque navigateur depuis les débuts du web.
L’objectif est simple : empêcher quelqu’un qui regarde par-dessus votre épaule de lire votre mot de passe. Le contenu est bien là, en mémoire, le navigateur l’affiche simplement de manière masquée. C’est exactement le genre de truc qu’on n’apprend pas en école de commerce. Mais qui explique pourquoi ces méthodes fonctionnent.
Quand ce masquage devient un problème
Vous avez enregistré un mot de passe il y a des années. Aujourd’hui, vous devez le saisir manuellement sur un autre appareil — et le champ se remplit automatiquement mais affiche des étoiles. Impossible de savoir ce qui se cache derrière.
Autre cas fréquent : vous tapez votre mot de passe, vous avez un doute sur un caractère, et vous voulez vérifier avant de valider. Ces situations arrivent plus souvent qu’on ne le croit. Trois méthodes permettent de voir un mot de passe derrière les étoiles, selon votre niveau technique et le contexte.
Méthode 1 — Via l’inspecteur du navigateur (Chrome, Edge, Firefox)
Ouvrir l’inspecteur et localiser le champ
C’est la méthode la plus connue, et elle prend moins de 30 secondes une fois qu’on sait où chercher. Placez votre curseur directement sur le champ mot de passe, puis faites un clic droit. Dans le menu contextuel, choisissez « Inspecter » (Chrome, Edge) ou « Inspecter l’élément » (Firefox).
Le panneau développeur s’ouvre sur le côté ou en bas de l’écran. Vous voyez une ligne de code surlignée en bleu — c’est le champ que vous venez de cibler. Elle ressemble à ça : <input type="password" ...>.
Modifier l’attribut pour révéler le contenu
Sur Chrome et Edge : double-cliquez sur le mot « password » dans ce code. Il devient éditable. Tapez « text » à la place, puis appuyez sur Entrée.
Sur Firefox, c’est encore plus rapide : un double-clic suffit pour sélectionner le mot « password », et vous pouvez le remplacer directement. L’interface Firefox met le mot en surbrillance d’un seul coup, là où Chrome demande parfois un peu plus de précision dans le double-clic.
Lire le mot de passe en clair
Dès que vous validez la modification, le champ bascule de mode masqué à mode texte. Votre mot de passe s’affiche en clair dans le champ. Important : rechargez la page et tout revient comme avant — le masquage se réactive automatiquement. La visibilité est donc limitée à la session ouverte.
Cette méthode fonctionne sur la très grande majorité des sites. Il existe cependant des exceptions — j’y reviens dans la section sur les limites.
Méthode 2 — Via le gestionnaire de mots de passe intégré au navigateur
Accéder aux mots de passe enregistrés sur Chrome
Si votre navigateur a mémorisé le mot de passe, inutile de bidouiller le code source. Chrome dispose d’un gestionnaire intégré accessible directement. Deux façons d’y accéder : soit via le menu principal (trois points en haut à droite → « Mots de passe et saisie automatique » → « Gestionnaire de mots de passe Google »), soit en tapant chrome ://password-manager/passwords dans la barre d’adresse.
Recherchez le site concerné dans la liste, cliquez sur l’entrée, puis sur l’icône en forme d’œil. Chrome vous demande votre mot de passe Windows ou macOS pour confirmer que c’est bien vous. Entrez-le, et le mot de passe s’affiche.
Accéder aux identifiants enregistrés sur Firefox
Sur Firefox, le chemin est légèrement différent : menu principal (trois barres) → « Mots de passe ». Ou directement about :logins dans la barre d’adresse. Vous retrouvez la même logique : sélectionnez le site, cliquez sur l’œil, saisissez votre mot de passe système si demandé.
Concrètement, ça donne quoi ? Une liste organisée par domaine, avec le nom d’utilisateur et le mot de passe masqué. Un clic sur l’icône œil révèle le mot de passe pour l’entrée sélectionnée.
L’avantage de cette approche
C’est la méthode la plus simple pour un non-technicien. Pas de code, pas d’inspecteur, juste une interface graphique propre. Elle suppose évidemment que le mot de passe ait bien été enregistré au moment de la connexion — ce qui est souvent le cas si vous avez accepté la proposition d’enregistrement du navigateur.
Méthode 3 — Avec un logiciel dédié (Asterisk Password Reveal)
Quand cette option entre en jeu
Les deux premières méthodes couvrent 90% des besoins quotidiens. Mais il existe un cas spécifique où elles ne fonctionnent pas : les applications Windows classiques (logiciels de messagerie, boîtes de dialogue système, formulaires ActiveX) qui ne sont pas des pages web.
Des logiciels comme Asterisk Password ou Password Revealer sont conçus pour ces situations. Leur fonctionnement repose sur une lecture directe de la mémoire du champ de saisie, indépendamment du navigateur.
Fonctionnement et cas d’usage
Asterisk Password, par exemple, prend en charge trois types de champs : les pages web affichées dans certains navigateurs, les boîtes de dialogue Windows standard, et les contrôles ActiveX. L’utilisation est simple en théorie : vous lancez le logiciel, vous faites glisser une icône de visée sur le champ masqué, et le mot de passe s’affiche.
Sur le papier c’est séduisant, mais il y a un bémol sérieux : ces logiciels sont souvent anciens, peu mis à jour, et certains antivirus les signalent comme potentiellement indésirables. À utiliser uniquement si vous savez exactement d’où vous téléchargez, et uniquement depuis le site officiel de l’éditeur.
| Méthode | Profil utilisateur | Contexte compatible | Difficulté |
|---|---|---|---|
| Inspecteur navigateur | Intermédiaire | Sites web uniquement | Faible |
| Gestionnaire intégré | Débutant | Mots de passe enregistrés | Très faible |
| Logiciel dédié | Avancé | Apps Windows, ActiveX | Moyenne |
Limites et précautions à connaître
Ce que ces méthodes ne permettent pas
On va pas se mentir : ces méthodes ne sont pas magiques. Elles permettent de voir un mot de passe déjà présent dans le champ — soit saisi manuellement, soit rempli automatiquement par le navigateur. Si le champ est vide ou si le mot de passe n’a jamais été enregistré, il n’y a rien à révéler.
Certains sites protègent également leurs champs côté serveur ou via du JavaScript personnalisé qui réinitialise le type du champ dès qu’il détecte une modification. Dans ce cas, la méthode de l’inspecteur échoue : vous changez l’attribut, le champ repasse en « password » quelques millisecondes plus tard.
Sur mobile, la situation est différente
Sur Android et iPhone, les méthodes inspecteur sont inaccessibles depuis le navigateur mobile standard. La seule option pratique reste le gestionnaire de mots de passe. Soit celui du navigateur (Chrome, Safari), soit un gestionnaire tiers comme Bitwarden ou 1Password.
Sur iOS, Safari propose une option « Voir les mots de passe » dans Réglages → Mots de passe, avec authentification Face ID ou code. Sur Android, l’équivalent se trouve dans les paramètres Chrome ou via le gestionnaire Google passwords.
Risques si vous utilisez un appareil partagé
Si vous êtes sur un ordinateur partagé (bibliothèque, bureau d’un collègue, poste de travail familial), ne laissez jamais un champ mot de passe en mode « text » sans le réinitialiser. Quiconque regarde l’écran après vous peut lire ce qui s’affiche.
J’aurais aimé avoir cette info quand je démarrais sur des postes partagés en coworking : rechargez systématiquement la page après avoir consulté votre mot de passe. C’est le seul geste de sécurité indispensable dans ce contexte.
Questions fréquentes
Est-il possible de voir un mot de passe derrière des étoiles sans logiciel ?
Oui, via l’inspecteur intégré au navigateur ou le gestionnaire de mots de passe natif (Chrome, Firefox, Safari). Aucun logiciel tiers n’est nécessaire dans la plupart des cas courants sur ordinateur.
Comment voir un mot de passe enregistré dans Chrome sans passer par l’inspecteur ?
Tapez chrome ://password-manager/passwords dans la barre d’adresse. Recherchez le site, cliquez sur l’entrée, puis sur l’icône œil. Chrome demande votre mot de passe système pour confirmer votre identité avant d’afficher le mot de passe.
La méthode de l’inspecteur fonctionne-t-elle sur tous les sites ?
Sur la majorité des sites, oui. Certains sites utilisent du JavaScript qui surveille les modifications du DOM et réinitialise l’attribut type. Dans ce cas, la modification ne tient pas et le champ repasse en mode masqué automatiquement.
Peut-on voir un mot de passe masqué sur mobile (Android, iPhone) ?
L’inspecteur n’est pas accessible sur mobile. La seule option est le gestionnaire de mots de passe du navigateur ou du système (Réglages → Mots de passe sur iOS, Gestionnaire de mots de passe Google sur Android). L’accès nécessite une authentification biométrique ou un code PIN.
Est-ce légal de révéler un mot de passe caché sur son propre ordinateur ?
Oui, sur votre propre appareil et pour vos propres comptes, il n’y a aucune restriction légale. Les méthodes décrites ici concernent exclusivement des mots de passe que vous avez vous-même saisis ou enregistrés. Utiliser ces techniques sur le compte d’un tiers sans autorisation est une autre affaire — et tombe sous le coup de la loi.
Que faire si le champ mot de passe ne répond pas à la manipulation HTML ?
Passez par le gestionnaire de mots de passe du navigateur si le mot de passe y est enregistré. Sinon, utilisez la fonction « Mot de passe oublié » du site pour le réinitialiser — c’est souvent plus rapide que de chercher à contourner une protection côté serveur.
Y a-t-il un risque de sécurité à utiliser ces méthodes ?
La manipulation elle-même ne présente pas de risque intrinsèque. Le seul risque vient du contexte d’utilisation : un écran visible par d’autres personnes, ou oublier de recharger la page après consultation. Sur un poste personnel dans un environnement privé, le risque est nul.
