Nous avons analysé de nombreux gestionnaires de mots de passe, mais sans forcément répondre à la question de leur intérêt ? Nous allons donc nous pencher sur cette interrogation légitime, tout en abordant les points clés qui vous guideront dans le choix d’une solution. Car, en fonction des sensibilités de chacun, toutes ne se valent pas.
Les mots de passe, pas un moyen efficace de protéger des informations ? C'est un euphémisme. Les recommandations pour les créer correctement sont complexes, il ne faut surtout pas les réutiliser et il faut donc en avoir un unique pour chaque site.
À la vitesse à laquelle les services se multiplient, respecter ces règles est particulièrement difficile quand on possède des dizaines de comptes.
Les règles en question sont toujours les mêmes :
- Utiliser les quatre types de caractères : majuscules, minuscules, chiffres et caractères spéciaux
- Ne pas utiliser de mots du dictionnaire
- Ne pas utiliser d’informations évidentes comme le nom du conjoint, de l’animal de compagnie, la date d’anniversaire, etc.
- Ne pas réutiliser les mots de passe
Si l’on table sur les performances de sa propre mémoire, on se retrouve vite à devoir trouver des « trucs » pour créer un mot de passe unique sans y passer trop de temps (on le sait, c'est rébarbatif). Mais ces moyens pour se simplifier la vie sont autant de dangers puisqu’ils rendent justement la création des mots de passe prévisible.
La phrase de passe peut être un moyen plus simple, d'autant qu'elle a été adoubée en France par l'ANSSI et la CNIL. Cependant, cette protection ne change rien à la problématique de l'unicité : il en faudra toujours une différente par service.
- Phrases de passe : l'ANSSI passe en mode 2.0
- Phrases de passe : la CNIL passe elle aussi en mode 2.0
L’intérêt et les missions d’un gestionnaire
La mission première d’un gestionnaire est d’enregistrer les mots de passe. Les règles de création existant depuis longtemps, la faculté de pouvoir les stocker est vite devenue un enjeu : avec l’effacement du besoin de retenir les mots passe disparaît aussi celui des moyens mnémotechniques pour les créer.
Il y a eu rapidement deux écoles : les gestionnaires intégrés aux navigateurs et les produits séparés. Chacun a ses avantages et inconvénients, car la problématique existe toujours et n’a que peu changé. D’un côté, une meilleure intégration, le navigateur faisant son possible pour rendre l’ensemble transparent, au risque de ne pas pouvoir exploiter ses informations partout. De l’autre, des contours parfois rugueux, mais la liberté d’accéder à ses données depuis n’importe quel navigateur ou appareil.
L’autre grande mission du gestionnaire est de pouvoir générer des mots de passe. Par défaut, la plupart créent des séquences aléatoires de 12 caractères puisant dans les majuscules, minuscules et chiffres. Un réglage que l’on peut changer si l’on souhaite une plus grande sécurité, car les gestionnaires font ce choix pour préserver la facilité d’utilisation avec certains sites. Si vous souhaitez générer des chaines de 30, 50 ou même 80 caractères, c’est possible, tout en ajoutant les caractères spéciaux.
Ces deux missions font tout l’intérêt des gestionnaires. Une fois installé, on lui fait créer de grandes séquences aléatoires pour créer des comptes ou changer ses anciens mots de passe, puis il les sauvegarde. La plupart des gestionnaires, intégrés ou non, sont alors capables de remplir automatiquement les champs d’identification d’un site. Ils créent, enregistrent et régurgitent les identifiants, avec un gain de temps significatif, sans parler de la tranquillité d’esprit.
Avec le temps, les missions des gestionnaires ont en outre évolué. Il n’est pas rare de trouver dans les solutions dédiées la création de notes sécurisées, un espace de stockage, des fonctions dévolues au partage, voire un service spécifique de transfert sécurisé de fichiers. Mais elles sont surtout là pour gonfler les offres, car les fonctions de base étant maîtrisées depuis longtemps, il faut bien que les concurrents proposent du neuf de temps à autre.
Devant la promesse du temps gagné, il y a de quoi se laisser tenter. Il n’y a même pas de contre-indication : télécharger un gestionnaire, remplacer ses anciens de mots de passe et s’en servir pour les créations de comptes ne peut qu’améliorer la sécurité générale de vos informations.
Il faudra y consacrer un peu de temps au début, mais il sera largement compensé par la suite. Au bout d’un moment, on se posera la question : « Comment ai-je pu vivre sans ? ».
Les gestionnaires intégrés aux navigateurs
Défrichons d’abord le terrain, car l’offre est touffue. Il existe trois grands types de gestionnaires :
- Les gestionnaires intégrés aux navigateurs
- Les gestionnaires hébergés
- Les gestionnaires locaux
Comme dit, tous ont leurs forces et leurs faiblesses. Chrome, Edge, Firefox, Opera, Safari ou encore Vivaldi proposent tous d’enregistrer les mots de passe, une fonction qui existe depuis bien longtemps. Il est plus rare d’y trouver un générateur aléatoire de mots de passe. Chrome et Edge ne le proposent par exemple que depuis 2020.
La particularité de cette catégorie est que les données resteront cantonnées au navigateur. Pour beaucoup, ce ne sera pas un problème : les personnes habituées le sont probablement parce que cette solution répond à leurs besoins, ou qu’elles s’en contentent. Le navigateur est souvent moins pratique en environnement mobile, car l’accès aux mots de passe y est moins direct.
Création et stockage d'un mot de passe dans Firefox
Certains compensent en rendant ces données accessibles autrement. Microsoft se sert par exemple de son Authenticator pour mettre les identifiants à disposition. Dans Android et iOS, l’application apparaît alors comme source de mots de passe. Au vu de l’importance de ce type d’application, la solution est viable.
Les données stockées par le navigateur sont synchronisées par le compte associé. Chrome se sert ainsi du compte Google pour les synchroniser entre les appareils ou les restaurer en cas de nouvelle installation. Le compte Mozilla fait de même dans Firefox, le compte Microsoft dans Edge, etc. Tous les navigateurs les plus populaires aujourd'hui ont un mécanisme semblable.
Ils ont cependant un grand défaut, du moins aux yeux d’une partie des utilisateurs : les données sont presque toujours hébergées aux États-Unis. Le pays étant soumis à un carcan juridique très lourd sur l’accès aux données par les forces de l’ordre (dont le Cloud Act), cette solution n’a pas la préférence des personnes sensibles à la question, la plupart des navigateurs étant américains.
En outre, ce lien au compte principal ajoute une pression spécifique sur son mot de passe. Si vous utilisez Firefox par exemple, la sécurité des mots de passe stockés ne peut aller plus loin que celle protégeant le compte. Créer des chaines aléatoires de 30 caractères ne sera guère utile si le mot de passe du compte Mozilla est « toto0123 ».
Certains rétorqueront : « Oui, mais la problématique est la même avec un gestionnaire dédié ». Et ils auront raison ! Mais il faut se rappeler le contexte dans lequel on crée un compte. Les comptes Google et Microsoft ont souvent derrière eux des années de bons et loyaux services. Les mots de passe n'ont peut-être pas été créés avec beaucoup de rigueur à l'époque. L'occasion donc de vérifier que la clé du coffre est robuste.
Les gestionnaires dédiés
La deuxième catégorie compose l’essentiel de l’offre. Il s’agit des gestionnaires « dans le cloud », même si certains proposent des formules autohébergées, à l’instar de BitWarden. Ce sont les services les plus populaires. Plusieurs raisons, mais la plus évidente : leur simplicité d’utilisation.
Ils ont au moins autant d’avantages que ceux intégrés aux navigateurs – dont la synchronisation transparente entre les appareils – mais avec l’avantage d’être indépendants. Si vous mettez par exemple vos identifiants dans BitWarden, Dashlane ou LastPass, vous en disposerez dans n’importe quel navigateur (via des extensions) et sur l’ensemble des plateformes prises en charge par ces services ; en l’occurrence toutes les principales, sans parler d’une éventuelle mouture web.
Le coffre-fort dans BitWarden
L’utilisation dans les navigateurs se fait au travers d’une extension que l’on retrouve toujours pour Chrome (et ses dérivés) et Firefox. Ils sont particulièrement adaptés en environnement hétérogène. Par exemple, si vous avez un PC sous Windows 10 et utilisez Firefox fréquemment, ainsi qu’un MacBook pour les déplacements tout en préférant Safari sur cette plateforme, ces gestionnaires feront le lien en ne vous obligeant pas à choisir un navigateur spécifique. Les services n’étant pour la plupart pas liés à une application spécifique, ils sont également disponibles sous Linux, avec une utilisation identique.
Cette catégorie a cependant le même grand défaut que celui des navigateurs : l’absence de contrôle sur le stockage des données. Certains diront même que le danger est encore plus grand, car n’est pas Google ou Microsoft qui veut : s’agissant de plus petites entreprises, avec des moyens moins importants, n’y a-t-il pas plus de risques ? Pas nécessairement, et certains points seront justement à contrôler.
La troisième et dernière catégorie concerne les gestionnaires locaux. L’un des plus connus est KeePass, que nous avions analysé. Ils sont dits « locaux », car ils ne proposent en eux-mêmes aucune synchronisation des données. C’est un choix plus technique et par conséquent plus complexe que les services hébergés pour le grand public, mais qui aura la préférence de ceux qui souhaitent contrôler où et comment sont stockées leurs données.
Ces logiciels sont très poussés dans la génération des mots de passe. KeePass, notamment, crée une base de données locale et la chiffre via AES 256 avant de la saler en SHA-256. Les outils proposés sont puissants et on peut même ajouter de l’entropie lors de la génération des mots de passe pour augmenter le caractère aléatoire de la séquence.
KeePass, austère mais très puissant
Si l’on veut toutefois pouvoir réutiliser ces mots de passe sur d’autres appareils, notamment les appareils mobiles, il faudra trouver soi-même une manière d’y accéder. Pas question d’utiliser un Dropbox, un Google Drive ou un OneDrive, puisque l’idée est justement d’éviter les grands clouds américains (même si l’opération est simple). Ce sera à chacun de trouver une solution, qui passera souvent par un auto-hébergement. Si bien sûr vous vous sentez à l'aise avec une solution française comme Cozy Cloud (qui propose d'ailleurs lui aussi un gestionnaire de mots de passe), le choix vous appartient.
Avant d’aller plus loin, il va donc falloir choisir entre ces trois grandes catégories. Nous allons ensuite plonger dans les points de contrôle et quelques recommandations. Si vous avez déjà un gestionnaire, mais que vous vous posez des questions, c’est aussi le moment de vérifier qu’il vous convient.
Nous n’interviendrons pas davantage sur les gestionnaires intégrés aux navigateurs. Ils sont simples à prendre en main, mais, dans l’optique qui nous intéresse aujourd’hui, nous irons plus loin avec des produits dédiés, ne serait-ce que parce qu’ils intègrent presque tous du chiffrement de bout en bout.
Les premières questions à se poser : le type de synchronisation et les fonctions
Concentrons-nous donc sur les gestionnaires dédiés, même si beaucoup de points abordés concernent toutes les catégories.
Du fait de leur fonctionnement, c’est ici que se concentrent la plupart des questions : si l’idée est de confier les rênes à un seul service, autant que ses aspects aient été inspectés, car ils vont désormais bien au-delà de leurs attributions basiques, la création et le stockage des mots de passe.
Le premier point à contrôler est l’étendue des fonctionnalités, en particulier la répartition selon les formules. Ils en proposent presque tous une gratuite, aux fonctions forcément limitées, et une ou plusieurs payantes avec à chaque fois le même modèle : plus on paye, plus il y a de fonctions. Il est rare que l’on ait besoin des offres les plus onéreuses, car elles sont davantage tournées vers les entreprises pour répondre à des besoins spécifiques.
Dans ce domaine, la question cruciale à se poser est : avez-vous besoin de la synchronisation entre ordinateurs et appareils mobiles ? Si oui, une autre question suit immédiatement : les formules gratuites intègrent-elles cette capacité ? En tablant uniquement sur les services principaux – ceux que nous avons testés – la réponse est simple : seul BitWarden la propose encore. LastPass l’a fait longtemps, jusqu’à ce que l’éditeur annonce en février dernier que cette faculté serait réservée à l’offre Premium. Désormais, la formule gratuite demande de choisir entre synchroniser tous les ordinateurs ou tous les appareils mobiles.
Si vous vous demandez en quoi cette synchronisation est cruciale, imaginez le scénario d’utilisation le plus courant. Vous créez de nombreux mots de passe sécurisés, que le gestionnaire enregistre. Seulement voilà, si vous avez créé une chaine de 40 caractères aléatoires pour protéger votre compte Facebook, vous n’avez sans doute pas envie de l’écrire manuellement sur votre smartphone en le lisant depuis votre ordinateur. On évitera également de copier/coller le mot dans un email ou une solution de messagerie, pour des raisons évidentes de sécurité. La synchronisation avec l'application mobile du gestionnaire est donc un élément vital pour l’utilisation au quotidien dans la plupart des cas.
Inspecter les formules et chercher l’authentification à deux facteurs
Étendons maintenant la question aux autres fonctions. Il vous faudra commencer par analyser le contenu de l’offre gratuite et déterminer si les capacités proposées correspondent à vos attentes. Ensuite, plongez dans les offres payantes et considérez leurs apports.
Qu’il s’agisse de formules gratuites ou payantes, nous vous conseillons de faire attention à deux fonctions en particulier :
- Le support de l’authentification à deux facteurs (2FA)
- Les rapports de sécurité
Ce sont aujourd’hui deux grands classiques des gestionnaires, mais leur présence est rarement garantie pour les comptes gratuits, surtout les rapports de sécurité. Ces derniers recouvrent plusieurs capacités, les deux principales étant :
- Une analyse des mots de passe pour vous avertir d’éventuels doublons ou mots de passe faibles
- Une alerte en cas de fuite de données qui impliquerait un ou plusieurs identifiants. Auquel cas, il faudrait modifier le mot de passe le plus rapidement possible.
Notez que ces deux fonctions ont intégré certains navigateurs au cours des deux dernières années, dont Chrome et Firefox. Dans les gestionnaires dédiées, elles peuvent faire partie d'une offre Premium.
Analyse de la sécurité globale des mots de passe dans Dashlane
Le support de l’authentification à deux facteurs (2FA) est une fonction cruciale pour la protection du compte. La faiblesse des gestionnaires tient au fait que pour protéger la base des mots de passe, il faut justement créer un mot de passe. Si l’on n’est pas assez prudent sur cette étape, le compte pourrait devenir accessible, avec les dangers que l’on imagine.
La 2FA permet de déclarer une application de type Authenticator, qui délivrera un code à six chiffres. Ce dernier sera réclamé pour toute nouvelle connexion au compte : il s’agit du deuxième facteur. L’application étant liée à un smartphone, on ne pourra ainsi pas se servir du compte sans le précieux appareil.
Les services sont en outre pour la plupart compatibles avec les clés USB de sécurité de type Yubico, Google Titan et autres. La sécurité monte encore d’un cran, mais cette fonction est presque toujours réservée aux abonnements payants.
Côté fonctionnalités, assurez-vous également que le gestionnaire dispose d’un export des données. Il aura nécessairement un import, ne serait-ce que pour récupérer les mots de passe de votre navigateur. Mais l’export est un point vital, car vous devez pouvoir récupérer vos mots de passe si vous souhaitez un jour changer de crémerie.
Open source, audit et chiffrement de bout en bout
Voici plusieurs autres considérations techniques, toutes aussi importantes que les précédentes.
Le chiffrement de bout en bout est crucial. Il garantit que vos données sont chiffrées avant même de quitter votre machine, le prestataire de service ne disposant pas de votre clé privée et ne pouvant donc les lire. Tous les gestionnaires en ligne connus se servent de ce chiffrement, pour des questions de sécurité et… commerciales. Car dans ce domaine d’activité très concurrentiel, il suffirait d’un incident pour mettre à bas une réputation. La méfiance reste de mise quand on croise la route d’un produit inconnu.
Mais attention ! Ce chiffrement, quoiqu’essentiel, comporte un danger inhérent à son fonctionnement : si vous perdez le mot de passe maître, vous perdrez du même coup toutes vos données. Des prestataires comme 1Password, BitWarden, Dashlane ou encore LastPass appliquent tous ce modèle. Ils proposent souvent de créer des indices pour arriver à s’en souvenir, mais pas plus. Il n’y a aucun processus de restauration possible, puisque votre mot de passe conditionne l’utilisation de votre clé privée.
Bien qu’il ne s’agisse pas d’une panacée, l’aspect open source d’un produit a également son importance. Il garantit un accès au code, que tout le monde pourra lire. Ce n’est pas une garantie que le code en question a bien été lu par d’autres, car peu auront les compétences techniques pour comprendre ce qui a été fait. Techniquement, rien ne garantit non plus que le code présent sur un dépôt est bien celui utilisé par l’éditeur concerné dans son produit.
On en vient naturellement aux audits de sécurité. Que le code soit open source ou non, ces examens minutieux sont réalisés, dans l’idéal, par des sociétés indépendantes et des agences gouvernementales. La disponibilité des rapports n’est guère complexe à trouver : il suffit de taper le nom du produit qui vous intéresse et « audit » dans un moteur de recherche.
On se rend vite compte que les gestionnaires les plus utilisés ne sont pas toujours les plus éprouvés par les audits. Il est important également que les résultats des audits soient publics. Chez LastPass par exemple, on explique que des audits ont lieu régulièrement, mais les résultats ne sont jamais publiés. L‘audit ne concernent en outre que la version sur laquelle il est réalisé et n’est donc valable qu’à un instant « T ».
Enfin, en matière de sécurité, mieux vaut contrôler si l’entreprise a déjà été attaquée avec succès. C’est par exemple arrivé plusieurs fois à LastPass, dont la plus grave en 2015 quand les adresses email, les empreintes (hash) et quelques autres informations avaient pu être dérobées pour une partie des utilisateurs. Les mots de passe, eux, n’ont jamais été atteints.
La délicate question de l’hébergement des données
S’il existe des domaines de la sécurité quasi mathématiques par leur précision, l’hébergement des données dépend beaucoup des sensibilités de chaque personne.
Si vous ne vous êtes jamais penché(e) sur la question, sachez que la manière dont on peut accéder à vos données dépend directement du pays dans lequel sont entreposés les serveurs et, plus récemment, du pays d’origine de l’entreprise vous fournissant ce service.
Quand on parle par exemple de 1Password, BitWarden et LastPass, il s’agit à chaque fois d’entreprises américaines. Les données sont stockées parfois dans le pays d’origine, parfois plus localement, en fonction de l’infrastructure retenue et de leur prestataire de service pour le cloud (on retrouve régulièrement Amazon Web Services).
Il faut savoir que si nombre de sociétés de sécurité viennent des États-Unis, le pays n’est plus considéré comme sûr depuis longtemps pour les données. Dans le sillage des attentats du 11 septembre, nombre de lois ont été votées pour faciliter l’accès aux données. En 2013, les premières révélations d’Edward Snowden montraient la puissante machinerie de la NSA avec notamment son programme PRISM.
Mais c’est surtout le Cloud Act qui concentre les attentions. Le cloud, en tant qu’infrastructure, pose de nombreuses questions juridiques, dont la principale est : doit-on appliquer la législation du pays où est entreposé le serveur ou celle de l’entreprise qui y stocke des informations ? Ces problèmes de périmètre juridique avaient notamment été explorés – puis combattus – par Microsoft, qui refusait l’accès à des données stockées dans un centre en Irlande. La firme avait fini par perdre.
Le Cloud Act est justement la réponse du législateur américain : toute entreprise américaine doit collaborer avec les forces de l’ordre, où que soient entreposées les données. L’historique du pays en matière de vie privée le rend impropre pour une partie des utilisateurs au stockage d’informations aussi sensibles que les mots de passe. Même Dashlane, pourtant français, ne peut pas empêcher qu’une partie de ses données soit traitée aux États-Unis.
Un gestionnaire n’est pas une protection ultime
Ces logiciels et services permettent clairement d’augmenter la sécurité générale en soulageant les utilisateurs d’une tâche pénible et rébarbative. Si le mot de passe maître est créé avec soin et que vous ne l’écrivez pas sur un bout de papier ou dans un fichier texte synchronisé avec OneDrive ou autre, il n’y a aucune raison que vos données soient dérobées. À moins que le prestataire choisi tombe sous les coups de pirates. Des fuites se sont déjà produites et se reproduiront.
Ne considérez cependant pas le gestionnaire comme une barrière absolue. La sécurité informatique est un jeu perpétuel du chat et de la souris entre attaquants et défenseurs. C’est pourquoi l’activation d’un deuxième facteur est importante, même si elle ajoute des manipulations supplémentaires. Il faut s’assurer que personne d’autre que vous n’accèdera à ces données plus que sensibles.
Les mots de passe, en tant que moyen de défense, sont d’ailleurs condamnés. À plus ou moins long terme, ils seront remplacés par des moyens plus efficaces comme la biométrie et les supports physiques (clés, cartes...). Bien sûr, ces autres moyens ont leurs propres avantages et inconvénients. Dans le cas de la biométrie, on s’inquiètera par exemple du stockage de ces informations et de la manière dont elles sont traitées.
Mais en attendant que ces autres méthodes soient partout, le mot de passe reste incontournable. Et tant qu’ils continueront à être utilisés, il faudra les créer et les stocker avec soin.
Pour simplifier, et sauf à avoir une mémoire eidétique, on ne peut que vous conseiller d’avoir recours à un gestionnaire de mot de passe. Ceux intégrés aux navigateurs sont gratuits et proposent des fonctionnalités basiques afin de renforcer la sécurité globale. Ils ont le mérite d'être simples d'accès et leurs attributs se renforcent avec le temps. Les gestionnaires dédiés sont plus complets et beaucoup plus souples dans les règles de création, mais souvent payants pour en profiter pleinement ; certaines personnes les trouveront plus complexes.