Les pages de phishing n’ont jamais été aussi propres. Avec l’IA, les faux sites n’ont plus besoin d’être mal fichus pour piéger : ils n’ont besoin que d’un détail — un « o » en trop, un tiret déplacé, une URL presque parfaite. 1Password répond avec une idée très simple, et redoutablement efficace : ajouter de la friction au pire moment possible… celui où l’on colle son mot de passe sur le mauvais site.
Jusqu’ici, 1Password savait déjà refuser l’autoremplissage si le domaine ne correspondait pas à l’URL enregistrée. Très bien. Sauf qu’en situation réelle, beaucoup d’utilisateurs font ensuite ce que les attaquants espèrent : ouvrir leur coffre, copier-coller identifiant et mot de passe « à la main » sur la page qui ressemble à la bonne.
C’est précisément ce « plan B » humain que la nouvelle protection vise.
1Password : un avertissement proactif au moment du copier-coller
La nouveauté, c’est un pop-up d’alerte quand vous tentez de coller des identifiants sur un site dont l’URL ne correspond pas à celle associée au login dans 1Password. En clair : 1Password ne se contente plus de « ne pas remplir », il vous prévient — et vous force à regarder la barre d’adresse avant de faire une bêtise.
1Password explique que l’IA rend les escroqueries plus crédibles et plus rapides à produire, et cite un angle très parlant : une grande partie des gens ne prend même pas le réflexe de vérifier l’URL avant de cliquer.
Déploiement : activé par défaut pour particuliers, optionnel pour entreprises
1Password indique que pour les comptes individuels et familles, la protection est activée par défaut au fur et à mesure du déploiement (qui peut prendre quelques semaines). En revanche, pour les comptes Business/Enterprise, l’activation passe par l’admin, via les politiques d’authentification/politiques d’équipe (la fonction « Phishing protection » qui impose l’avertissement).
Et si vous détestez les pop-ups : l’option peut être désactivée dans l’extension, via Notifications > « Mettre en garde contre les risques d’hameçonnage. » (1Password précise que le lancement se fait par phases à partir du 22 janvier 2026).
La « sécurité par la friction » revient en force — et ce n’est pas un hasard
Cette protection est intéressante parce qu’elle vise le vrai point de rupture : le moment où l’humain reprend le volant. Les attaquants l’ont compris depuis longtemps : si l’autoremplissage est bloqué, ils comptent sur votre impatience.
Dans un monde saturé d’onglets, de notifications et de « cliquez vite », ajouter un écran d’avertissement n’est pas qu’un détail UX : c’est une stratégie. 1Password ne prétend pas éradiquer le phishing (vous pourrez toujours entrer vos identifiants manuellement), mais il augmente drastiquement la probabilité que vous vous arrêtiez une seconde — et c’est souvent cette seconde qui sauve un compte.
La bonne habitude à garder : si 1Password vous avertit, ne « passez » pas. Vérifiez le domaine, revenez en arrière, cherchez le site via un favori ou un lien sûr. Les scams modernes ne se repèrent plus à la qualité du design, mais à la précision de l’URL.
