Pourquoi utiliser un gestionnaire de mots de passe ?

Est-ce que vous êtes du genre...

  • à stocker vos mots de passe dans un fichier Word ?
  • ou utiliser des variations du même mot de passe pour vos différents comptes (JamesBond007_amazon, JamesBond007_facebook...) ?
  • ou pire : utiliser le même mot de passe sur plusieurs comptes ?
  • ou pire que tout : un mot de passe faible sur plusieurs comptes ? (Argh! Non, pas ça ! )


Si vous vous êtes reconnu dans ces quelques pratiques de sécurité, la mauvaise nouvelle c'est que vous faites partie des personnes qui courent le plus de risque de voir leurs comptes hackés.


La bonne nouvelle, c'est qu'il existe des outils pour vous aider : les gestionnaires de mots de passe.


Et en bonus : ils vont vous simplifier la vie !

Quel est le risque ?

Si un de vos comptes est piraté, pensez à ce que le hacker peut en faire :

  • accéder à des informations confidentielles (liste de contacts, informations confidentielles de votre travail, informations médicales, informations bancaires...)
  • effectuer des achats en votre nom (Paypal, Amazon, Netflix...)
  • se faire passer pour vous (mail, réseaux sociaux...) : tentatives de phishing envers vos amis, spams et autres actions illégales
  • vous espionner (caméras de surveillance, messagerie...)
  • bloquer l'accès à vos comptes (qu'il vous proposera sans doute de libérer moyennant une généreuse donation)
  • ...

Notez que votre compte mail est particulièrement critique : en effet, la plupart des sites proposent une procédure de changement de mot de passe via votre adresse mail en cas de "mot de passe oublié". Le hacker qui accède à votre compte mail peut donc changer les mots de passe de vos autres comptes en ligne et en prendre le contrôle ! Vous perdez alors tous vos comptes...

Quelles sont les bonnes pratiques de sécurité ?

Pour faire court, pour chaque compte en ligne il vous faut un mot de passe fort et unique. Et puis utiliser la double authentification quand c'est possible, mais ça fera l'objet d'un prochain article !


Un mot de passe fort doit être difficile à deviner, même pour quelqu'un qui vous connaît bien. Voyez à ce sujet mon article sur comment choisir un bon mot de passe.


Et un mot de passe doit être unique, car si un de vos comptes est hacké, il y a fort à parier que le hacker va essayer le même login / mot de passe sur tous les sites web où vous pourriez avoir un compte. Et si vous pensez que ça n'arrive jamais, détrompez-vous : les vols de données de comptes utilisateurs sont réguliers, et ça arrive même aux gros : Facebook, Twitter, Linked In, Nintendo, Zoom....


Petit outil pratique au passage : le site Have I been pwned tient une liste de nombreux comptes affectés par des vols de données : testez si votre email fait partie des comptes volés !


Le souci avec tout ça, c'est qu'on se retrouve vite avec beaucoup de mots de passe à retenir, et si vous avez une mémoire de poisson rouge comme moi, c'est juste ingérable. C'est là que les gestionnaires de mots de passe interviennent !

Pourquoi un gestionnaire de mots de passe ? (et lequel ?)

La première fonctionnalité des gestionnaires de mots de passe en ligne est de retenir les mots de passe pour vous. Vous pouvez donc les choisir aussi longs et complexes que vous le souhaitez. Un avantage pour la sécurité !


La deuxième fonctionnalité est de vous permettre de synchroniser vos mots de passe sur plusieurs machines : ordinateur du bureau, ordinateur de la maison, téléphone, tablette... Un avantage pour la facilité d'utilisation !


Il existe de très nombreux gestionnaires de mots de passe professionnels : BitWarden, LastPass, 1Password, Dashlane, Keeper, RoboForm, KeePass...


Pour cet article, je prendrai l'exemple de BitWarden qui est celui que je connais le mieux (avec LastPass, que j'utilisais avant), mais les fonctionnalités qu'ils proposent se ressemblent fort et en pratique si vous n'avez pas de besoins spécifiques, n'importe lequel fera l'affaire.


Je vous conseille cependant BitWarden pour plusieurs raisons :

  • il est Open Source : la possibilité de vérifier comment le logiciel est réalisé est pour moi un atout majeur dans la confiance que j'accorde à un logiciel de sécurité
  • il est au top de la sécurité : il propose les meilleurs standards de sécurité, et est régulièrement audité
  • il est celui qui propose la meilleure offre gratuite. Les offres gratuites des concurrents sont généralement insuffisantes pour un usage sérieux. Notez que justement LastPass réduit son offre gratuite (mars 2021), ce qui déçoit de nombreux utilisateurs.

Comment ça marche en pratique ?

Un gestionnaire de mots de passe est un coffre-fort en ligne qui stocke tous vos mots de passe de manière sécurisée et accessible depuis votre navigateur ou vos appareils mobiles.


Commencez par exemple par installer le plugin pour votre navigateur (Chrome, Firefox, Microsoft Edge, Safari...) et créez-vous un compte. Attention : choisissez un bon mot de passe (plutôt une phrase) et retenez-le ! Si vous le perdez, vous n'aurez plus accès aux mots de passe de votre coffre-fort !

N'hésitez pas à l'écrire et à le mettre en lieu sûr au cas où (et certainement pas sur un post-it à côté de l'écran, hein ! )


Vous pouvez maintenant installer l'app mobile (iPhone ou Android), et la connecter à votre compte. Voici quelques paramètres de configuration qui vont vous simplifier la vie (dans "Paramètres") :

  • Activez le service de remplissage automatique : c'est ce qui permet à Bitwarden de vous proposer les mots de passe quand il détecte un formulaire de login, que ce soit dans le navigateur ou dans une app.
  • Activez la fonction "Déverrouiller avec un code PIN" : ça vous évitera de taper votre mot de passe à chaque fois, ce qui peut être embêtant quand on a un long mot de passe. Il vous demandera votre mot de passe maître quand vous relancez l'app, ou quand ça fait longtemps (par défaut 15 minutes) que vous ne l'avez plus utilisée

Et voilà ! Vous êtes prêts !


En pratique quand vous allez sur un site pour lequel vous avez retenu les infos de compte, vous pouvez y accéder facilement et remplir le formulaire de login automatiquement en cliquant sur l'identifiant que vous souhaitez utiliser (ici il n'y en a qu'un, mais vous pouvez avoir plusieurs comptes pour le même site).

Autres raisons d'utiliser un gestionnaire de mots de passe

Génération de mots de passe forts

Vous pouvez demander à BitWarden de vous générer un mot de passe de la longueur et de la complexité que vous souhaitez

Protection contre le phishing

Dans les tentatives de phishing, le hacker essaye régulièrement de vous tromper en utilisant un nom de domaine proche (par exemple https://www.tacebook.com). Toutefois, si le nom de domaine ne correpond pas exactement, votre gestionnaire de mots de passe ne trouvera pas d'identifiant correspondant.


Détection des mots de passe crackés (payant)

Cette option permet de passer en revue tous les mots de passe de votre coffre-fort, et de les comparer avec une base de données de mots de passe révélés sur le dark web. Je vous invite vivement à le faire, vous pourriez être surpris !! (comme je l'ai été...)


Plusieurs gestionnaires de mots de passe proposent cette fonctionnalité, mais vous ne la trouverez jamais dans l'offre gratuite. A cet égard, BitWarden est vraiment bon marché : seulement 10 €/an pour un compte premium, contre 30-60 €/an pour les concurrents.  


Note : on me signale dans l'oreillette qu'il existe des sites web qui proposent de tester vos mots de passe : ne leur envoyez jamais le moindre mot de passe, c'est clairement une arnaque ! Ne le faites qu'à partir de votre gestionnaire de mots de passe, qui peut effectuer la vérification tout en gardant vos mots de passe secrets !

Est-ce que je ne mets pas tous mes oeufs dans le même panier ?

La question mérite certainement réflexion : on sait que la sécurité absolue n'existe pas, et là on parle de mettre tous ses mots de passe sur un compte en ligne... Est-ce qu'on ne fait pas pire que mieux ? Que se passe-t-il si, malgré les sécurités mises en place par votre gestionnaire de mots de passe, un hacker parvient à voler les données de votre coffre-fort en ligne ?


En fait, il faut savoir que vos mots de passe sont toujours stockés de manière chiffrée, quel que soit l'endroit : votre coffre-fort en ligne, le plugin du navigateur, l'app mobile. Votre mot de passe maître n'est stocké nulle part. Vos mots de passe ne sont déchiffrés que dans la mémoire de l'ordinateur ou l'appareil mobile, au moment de l'utilisation. Ils ne sont jamais stockés 'en clair' dans un fichier.


Donc un hacker qui accéderait à votre coffre-fort en ligne ne pourrait télécharger que de mots de passe chiffrés suivant les meilleurs standards du moment (plus d'infos ici), et dont il ne pourrait rien faire sans votre mot de passe maître. Même les admins de BitWarden ne peuvent pas déchiffrer vos mots de passe (d'où l'importance de ne pas perdre son mot de passe maître ! ).


C'est bien sûr à nuancer : si vous avez des mots de passe faibles, un hacker peut malgré tout les trouver. Et puis les technologies évoluent et les algorithmes de hashage qu'on considérait comme sûrs il y a quelques années ne le sont plus aujourd'hui. Si le sujet vous intéresse je conseille cette vidéo.

Dans quel cas ne pas utiliser un gestionnaire de mots de passe ?

Lors de discussion au sujet des gestionnaires de mots de passe en ligne, on rencontre différentes objections :


"Mon fichier Word pour stocker les mots de passe est bien suffisant"

Alors si le fichier Word n'est pas chiffré avec un algorithme sérieux, je suppose qu'arrivé à ce stade de l'article vous réalisez par vous-même qu'on est loin d'une bonne pratique en termes de sécurité ! Donc il faut chiffrer le fichier. Mais alors parlons de l'utilisation : ce n'est quand même pas aussi pratique que d'avoir le plugin directement dans le browser ou sur votre mobile. Bref, s'il faut chiffrer manuellement le fichier, le partager avec une Dropbox ou autre et devoir recopier les mots de passe pour s'en servir, ça me paraît fort peu pratique.


"J'ai un bon système de mémorisation de mots de passe"

Pour ceux qui retiennent des mots de passe complexes pour plusieurs sites, ça repose souvent sur le principe d'un mot de passe complexe qu'on adapte en fonction du site suivant un schéma facile à reproduire. Par exemple des mots de passe comme JamesBond007_f@ceb00k, JamesBond007_1n$t@gr@m...


Je vois trois problèmes avec cette approche. Premièrement, certains sites n'acceptent pas des mots de passe complexes : pas de symboles, ou seulement des caractères, ou une limite sur le nombre de caractères. Dans ce cas, il faut faire une entorse à la règle, ce qui complique les choses pour tout retenir.


Deuxièmement : certains sites obligent à changer de mot de passe tous les quelques mois, ce qui veut dire qu'il faut trouver une règle spécifique pour le gérer.


Et troisièmement, si un des mots de passe est un jour cracké, le hacker pourrrait bien trouver le schéma utilisé et en déduire tous les autres mots de passe !  


Note : ces problèmes ne sont pas insurmontables et je sais que certains Ayatollah de la sécurité ont recours à cette technique (avec un schéma un peu plus complexe que mon exemple)... Pourquoi pas la réserver pour certains sites importants et utiliser un gestionnaire de mots de passe qui apportera le confort d'utilisation pour tous les autres comptes moins cruciaux ? A vous de voir.


"Je ne fais pas confiance à une entreprise pour gérer mes données confidentielles"

Il est clair que l'idéal est de pouvoir gérer ses données personnelles soi-même. A cet égard, des solutions existent, mais qui nécessitent de sérieuses compétences en informatique et en sécurité.


Tout d'abord, il est possible d'héberger soi-même une instance de BitWarden. L'installation via docker est très simple, mais il faut pouvoir configurer correctement l'environnement pour arriver au même niveau de sécurité que l'offre en ligne. Vous devrez aussi gérer la maintenance, les mises à jour, les backups...


Il est également possible d'opter pour un gestionnaire de mots de passe par fichier, comme KeePass (également Open Source, comme BitWarden). C'est moins confortable, et il faut gérer la synchronisation, mais ça peut se justifier quand c'est très important de naviguer sous le radar.


"Je ne suis pas une cible intéressante pour un hacker"

Tout d'abord, on est plus vite une cible qu'on ne le pense : quand on est journaliste, activiste, quand on a accès à des informations confidentielles, quand on est sys-admin, quand on a une femme ou un mari jaloux...


Et puis, on n'est pas toujours une cible : quand un site web se fait voler ses mots de passe, et que les mots de passe parviennent à être crackés, ils sont vendus ou diffusés sur le web. A partir de ce moment, on court en permanence le risque de voir son compte compromis, avec tous les effets possibles qu'on mentionnait plus haut : vol de données, rançon, achats ou actions effectuées en votre nom... 

En conclusion

Vu notre faiblesse à retenir des mots de passe complexes, et le risque d'effet domino des mots de passe à "schéma" (sauf dans certains cas), n'importe quel gestionnaire de mots de passe vaut mieux que rien du tout. Si vous utilisez déjà celui intégré dans votre browser et que ça vous convient (même si ça marche quand même moins bien pour la synchro sur mobile), tant mieux pour vous !


Et si vous souhaitez installer un gestionnaire de mots de passe dédié, BitWarden me semble le meilleur choix : il offre de très bonnes garanties sur le volet sécurité, un très bon confort d'utilisation et une offre gratuite suffisante pour la plupart des usages. Si vous êtes prêt à débourser 10€, je ne peux que vous conseiller l'offre premium qui vous permet de vérifier si vos mots de passe sont disponibles sur le dark web !


Quel que soit votre choix de gestionnaire de mots de passe, considérez l'option de l'authentification à 2 facteurs (A2F) pour vous y connecter (ce qui implique une 2e validation après le login, par sms, mail ou application dédiée).


Voilà, n'hésitez pas à me dire en commentaire si cet article vous a convaincu (ou pas ! ) à utiliser un gestionnaire de mots de passe ou si vous avez de bons tuyaux à partager sur les différentes systèmes qui existent !

1 Commentaires

Un grand merci aux quelques motivés, qui par leurs avis pertinents et leurs corrections, m'ont permis de raconter moins de bêtises dans cet article !

Répondre