Safecode

gestionnaire de mots de passe

Gestionnaire de mots de passe, un outil indispensable

, ,

/

Thibault Feugère

Que vous soyez un utilisateur occasionnel d’outils informatiques et d’internet ou geek averti, vous devez utiliser un gestionnaire de mots de passe et je vous explique pourquoi.

Gestionnaire de mots de passe : définition et rôle

Un gestionnaire de mots de passe est un outil logiciel ou SAAS (Software As A Service) qui prend alors la forme d’un service en ligne. C’est un coffre-fort virtuel qui va se charger de stocker vos mots de passe de manière sécurisée via le chiffrement par exemple.

Ces outils offrent la possibilité de sauvegarder vos mots de passe, mais aussi bien d’autres choses comme vos cartes bancaires, votre carte d’identité ou encore des textes libres où vous pouvez écrire des notes et informations qui ne correspondent à aucun type précédemment cité.

Votre coffre-fort virtuel est protégé par un mot de passe « maître ». C’est le seul que vous aurez à retenir par la suite et il doit respecter quelques règles.

Pourquoi utiliser des gestionnaires de mots de passe

Si vous ne deviez retenir qu’un avantage c’est la génération de mots de passe complexes et uniques. Il suffit de s’intéresser à quelques statistiques sur les mots de passe :

En 2023, NordPass a révélé que le mot de passe le plus utilisé reste « 123456 », exposant des millions d’utilisateurs au piratage.

Une étude réalisée en 2022 par Verizon montre que 82 % des violations de données impliquent un facteur humain, incluant des erreurs, le vol d’informations d’identification, l’utilisation abusive de privilèges d’accès ou l’ingénierie sociale. Les rapports précédents, notamment celui de 2017, mentionnaient que 81 % des violations liées au piratage exploitaient des mots de passe volés et/ou faibles.

Il y a de nombreux avantages donc je ne vais vous citer que les principaux :

  • Générer des mots de passe très compliqués à l’inscription / création d’un compte.
  • Retenir tous vos mots de passe qui sont désormais tous différents donc impossibles à retenir soi-même.
  • Stocker ces mots de passe de manière chiffrée, donc plus besoin de les laisser aux yeux de tous. Les algorithmes utilisés sont à jour.
  • Éviter les tentatives d’attaques par keylogger (enregistreur de frappes) car vous n’avez plus à taper votre mot de passe, le gestionnaire le préremplit tout seul.
  • Éviter les tentatives de phishing (hameçonnage) car celui-ci compare l’url du site avec l’url active.
  • Du fait de tous les avantages cités précédemment, un gestionnaire permet de respecter les recommandations de la CNIL (Commission nationale de l’informatique et des libertés).
  • Accessible partout : certains gestionnaires offrent la possibilité de synchroniser les mots de passe entre les différents appareils.

Il est difficile de quantifier réellement la réduction du risque lorsqu’on utilise un gestionnaire de mots de passe.

Au niveau du ressenti des utilisateurs, Bitwarden a rapporté que 62 % des répondants pensent que l’adoption des passkeys par leur entreprise augmenterait leur confiance dans la résilience de la sécurité de celle-ci.

Désavantages des gestionnaires de mots de passe

Il est important de nuancer le propos sur cet outil avec les quelques désavantages qu’il peut y avoir :

  • Difficile d’intégrer tous ses comptes rapidement (il vous faudra plusieurs heures pour ajouter vos comptes déjà créés et il m’arrive encore, après quatre ans d’utilisation, d’ajouter un compte que j’ai pu oublier). La seule solution que j’ai trouvée, c’est d’adopter le gestionnaire de mots de passe le plus tôt possible.
  • Beaucoup de fonctionnalités pratiques sont parfois payantes

Sécuriser son gestionnaire de mots de passe

Avoir un gestionnaire de mots de passe est gage de qualité à condition d’avoir mis en place un minimum de sécurité sur celui-ci.

Le mot de passe maître

Votre mot de passe maître doit respecter quelques règles comme le recommande la CNIL, un mot de passe :

  1. doit être long (supérieur ou égal à 12 caractères) et compliqué (avec plusieurs types de caractères, etc).
  2. ne doit divulguer aucune information sur vous.
  3. doit être unique pour chaque compte.
  4. ne doit jamais être écrit quelque part.
astuces mots de passe CNIL
source CNIL

Respecter ces règles pour un ou deux comptes, c’est possible, mais pour 50 ou 200 comptes, c’est impossible. L’idée est donc de faire l’effort pour un seul de ses mots de passe, le mot de passe maître.

Beaucoup de personnes me disent : Pourquoi un mot de passe devrait être unique si le mien est déjà très compliqué et pourquoi ne devrait-il rien dire sur moi ?

Ce que vous devez comprendre si vous vous posez ce genre de question c’est que parfois, les pirates ne s’en prennent pas à vous, mais aux entreprises et il arrive que des bases de données fuitent… Alors, si votre mot de passe en fait parti, tous vos comptes sont compromis sans que cela soit votre faute.

Ensuite, tous les autres mots de passe respecteront ces règles, car ils seront générés et enregistrés par le gestionnaire de mots de passe.

La double authentification

La double authentification permet de s’assurer que vous êtes l’utilisateur du compte via un facteur supplémentaire comme un code envoyé sur votre téléphone.

En effet, si un pirate tente de se connecter à 4.000 kilomètres de chez vous, bien qu’il ait votre mot de passe, il sera difficilement en mesure d’obtenir le code envoyé sur votre téléphone par exemple.

Il me paraît donc primordial de l’ajouter au minimum sur son gestionnaire de mots de passe. De ce fait, si un jour quelqu’un dérobe votre mot de passe maître, la double authentification l’empêchera d’obtenir l’intégralité de ceux-ci.

Dans l’idéal, je vous recommande d’ajouter la double authentification sur tous vos comptes, quand c’est possible.

Les comptes de messagerie

email double authentification 2FA

Lorsque vous installez un gestionnaire de mots de passe, il est souvent nécessaire de créer un compte, ce qui nécessite un email et un mot de passe maître.

C’est la raison pour laquelle il est aussi recommandé de ne pas sauvegarder son/ses mot(s) de passe de compte(s) de messagerie dans son gestionnaire de mots de passe.

Si vous perdez un jour votre mot de passe maître, alors vous pourrez le réinitialiser grâce à votre email. Or, si vous avez généré un mot de passe compliqué enregistré dans le gestionnaire pour ledit email, vous n’aurez aucun moyen de récupérer votre compte ainsi que tous les mots de passe.

Quel gestionnaire de mots de passe choisir ?

Cet article n’a pas pour but de vous dire quel gestionnaire de mots de passe est meilleur ou moins bien qu’un autre, mais plutôt de vous faire prendre conscience à quel point il est important d’en utiliser un.

Cependant, pour vous aider dans vos recherches voici une liste non exhaustive d’outils :

  • Bitwarden : open-source, ce qui est gage de confiance. La version est gratuite pour les particuliers et payant pour les entreprises avec l’ajout de fonctionnalités supplémentaires bien entendu. Possibilité d’ajouter des notes sécurisées. Disponible en extension, logiciel et site web. Possibilité d’auto-héberger la solution.
  • KeePass : open-source avec un peu moins de fonctionnalités natives que Bitwarden mais de nombreux outils sont compatibles avec lui pour l’améliorer. KeePass peut fonctionner avec différents plugins qui peuvent le rendre très puissant. Attention à vérifier qu’ils soient de confiance.
  • Dashlane : payant donc pas open-source, mais très agréable à utiliser. Il y a une version gratuite, mais extrêmement limitée. Il est très efficace dans le remplissage automatique des formulaires.
  • 1Password : payant, dans le même genre que Dashlane. Il est extrêmement bien intégré à MacOS grâce à 1Password CLI qui permet de pousser son utilisation encore plus.

Exemples pratiques

Phishing

« Alice reçoit un e-mail frauduleux qui ressemble au site de sa banque. Le gestionnaire de mots de passe refuse de remplir les champs, car l’URL ne correspond pas à celle enregistrée. Elle réalise alors que c’est une tentative de phishing. »

Synchronisation

« Marc perd son téléphone en voyage. Grâce à son gestionnaire de mots de passe synchronisé sur son ordinateur, il peut rapidement accéder à ses comptes critiques et désactiver le téléphone volé. »

Faille de sécurité

« Lors d’une fuite de données d’une plateforme e-commerce, Paul est rassuré : son gestionnaire avait généré un mot de passe unique pour ce site. Aucune autre de ses informations personnelles n’est compromise. »

Conclusion

Tout le monde a des comptes sur internet. On ne peut plus y échapper et même les administrations françaises s’y mettent avec la déclaration d’impots sur internet par exemple.
Là où à l’époque se faire pirater son compte Minecraft n’était pas souhaité, ça n’était pas catastrophique non plus.

Désormais, vous avez un compte pour l’électricité, un compte pour le gaz, un compte vers votre banque, un compte vers La Poste, un compte à l’URSSAF si vous êtes micro-entrepreneur… Tant de comptes importants qui ne peuvent pas respecter les recommandations de la CNIL sur les mots de passe sans un gestionnaire…

Il vous suffit de retenir deux mots de passe : un pour votre gestionnaire de mots de passe et un pour votre compte de messagerie et d’ajouter la double authentification sur ces deux comptes.
Alors, vous serez prêt à affronter la transition numérique des différents services, processus qui ne fait que commencer !

Nota Bene : une fois que vous avez adopté un gestionnaire de mots de passe, prenez du temps pour former votre famille, vos amis et vos collègues.

FAQ : gestionnaire de mots de passe

Est-ce que les gestionnaires de mots de passe sont sécurisés ?

Oui, à condition de choisir un outil reconnu et de suivre les bonnes pratiques : mot de passe maître robuste, double authentification, etc.

Que faire si je perds mon mot de passe maître ?

La majorité des gestionnaires proposent des options de récupération sécurisées. Cependant, il est recommandé de sauvegarder ce mot de passe maître dans un endroit sûr (par exemple, un gestionnaire tiers ou un papier confidentiel).

Puis-je vraiment faire confiance à un gestionnaire de mots de passe en ligne ?

Les gestionnaires de mots de passe open-source comme Bitwarden garantissent une transparence totale. Les services cloud utilisent des protocoles de chiffrement de bout en bout.

Quels sont les risques d’un gestionnaire de mots de passe compromis ?

Un gestionnaire compromis peut exposer vos données. C’est pourquoi il faut choisir une solution reconnue, d’activer la double authentification et de surveiller les fuites de données.

Est-ce obligatoire de payer pour un gestionnaire de mots de passe ?

Non, des outils gratuits comme Bitwarden offrent déjà de nombreuses fonctionnalités. Les versions payantes ajoutent des options avancées (partage de mots de passe, stockage sécurisé étendu).

Étiquettes :

, , ,

Thibault Feugère

Passionné par la sécurité informatique avec des expériences dans le secteur médical (logiciels de santé et dispositifs médicaux) ainsi que le secteur bancaire. J’occupe différents rôles : consultant en cybersécurité, formateur cyber, et rédacteur pour Safecode.fr, où je partage des connaissances et découvertes en matière de sécurité des systèmes d’information (SSI). J’adore partager mes connaissances, c’est la raison pour laquelle, depuis 2020, j’écris des articles sur Safecode pour partager mes trouvailles ou conseils avec vous.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *