Dans le vaste écosystème des gestionnaires de mots de passe, choisir le bon outil peut être délicat. Cet article vous guide à travers un comparatif détaillé des meilleurs gestionnaires de mots de passe du marché, pour vous permettre de prendre une décision éclairée et sécurisée.
- Dashlane : le juste équilibre pour la majorité des utilisateurs
- 1Password : des fonctions sécurité encore plus avancées
- Bitwarden : l’alternative open-source et peu chère
- KeePassXC : open-source et offline pour ceux qui ont les besoins sécurité les plus exigeants, au détriment de l’ergonomie
- LastPass : à déconseiller désormais compte-tenu des incidents majeurs de sécurité rencontrés
Les critères de sélection à prendre en compte
Utiliser un gestionnaire de mots de passe est vital pour sécuriser sa vie numérique. Il y a en effet de nombreux avantages à utiliser un bon gestionnaire de mots de passe.
Il est cependant difficile de choisir son gestionnaire de mots de passe. Différents critères entrent en compte dans la décision, parmi lesquels :
- la sécurité : elle est notamment appréciée au travers de la notoriété et la fiabilité du service, mais aussi des précédents incidents rencontrés ainsi que l’approche sécurité de l’éditeur (livre blanc, etc.)
- la présence des fonctionnalités de base : saisie automatique, enregistrement automatique, générations de mots de passe aléatoires et forts, synchronisation entre périphériques et accès web
- la présence de fonctionnalités avancées en fonction de vos besoins : il peut s’agir par exemple de la surveillance des bases de données sur le dark web, de mode spécifique au voyage, etc.
- l’ergonomie et la convivialité de l’outil
- la compatibilité entre différentes plateformes, en particulier si vous utilisez des plateformes qui sortent des principales plateformes de type Windows, Android, iOS.
- le prix : toutefois, il n’est pas certain que ce soit sur ce poste de dépense qu’il faille chercher impérativement à aller au moins cher, compte-tenu de l’importance des données stockées.
Dashlane : le juste équilibre
Avantages
- Simple et intuitif
- Saisie automatique sur les sites web
- Fonction de modification de mots de passe en masse sur les sites les plus fréquents
- Pas d’incident de sécurité connu en 13 ans d’existence
Inconvénients
- Audits de sécurité réalisés mais rapports non accessibles pour le public
- Pas d’application pour bureau (uniquement extension de navigateur et application smartphone)
- Non open-source
Dashlane est probablement le service le plus complet. Son interface est claire, et agréable à utiliser. Il propose notamment des fonctionnalités complémentaires intéressantes :
- la possibilité de stocker des notes ou pièces jointes de manière sécurisées (jusque 1 Go)
- les alertes lorsqu’un mot de passe peut être compromis, lorsqu’un site communique sur une fuite de données ou une attaque constatée
- la surveillance du dark web. Dashlane analyse les données publiées sur le dark web, et vérifie que vos comptes et mots de passe n’en font pas partie
- la possibilité de changer de mot de passe en 1 clic, pour les principaux sites web
- un VPN, pour sécuriser sa connexion, par exemple sur les wifi publics
- le partage de mots de passe avec d’autres personnes, et la possibilité d’ajouter des contacts de confiance à son compte
Dashlane est aussi l’un des services les plus chers (environ 50€ par an). On regrette que Dashlane n’ait pas mis certaines fonctionnalités sous forme d’option (surveillance du dark web, VPN notamment).
Dashlane est disponible sur Windows et Mac. Les navigateurs gérés officiellement sont Chrome, Firefox, Edge, et Safari. Il est aussi possible d’installer le plugin sur Opera, et autres navigateurs basés sur Chromium (Brave par exemple).
Dashlane propose aussi une extension compatible pour Linux et Chromebook, sur navigateur Chrome, Firefox, et Edge.
L’appli mobile est disponible bien entendu sur iOS et Android.
Voir le site officiel de Dashlane :
1Password : des fonctions sécurité encore plus poussées
Avantages
- Synchronisation en réseau local possible pour les utilisateurs de Mac et iPhone sans passer par le cloud
- Mode voyage (efface temporairement les données stockées en local sur le périphérique)
- Aucune fuite de données connue, une faille de sécurité par le passé rapidement corrigée
- Les rapports des audits de sécurité sont accessibles
- Pas de tracker dans l’application mobile Android
Inconvénients
- Moins de fonctionnalités avancées que Dashlane
- Non open-source
L’un des grands avantages de 1Password à mon sens, c’est une fonctionnalité qui s’adresse aux utilisateurs de Mac et iPhone.
Il est possible de synchroniser ses mots de passe entre son Mac et son iPhone via son réseau wifi. La synchronisation se fait alors sur le réseau local, et non via internet. Pour les utilisateurs d’Apple, ça peut être un bon compromis entre un KeePassXC par exemple, et un service offrant les avantages du cloud dans sa solution de base. Cela permet en effet de garder le contrôle sur le lieu de stockage des données.
Pour le reste, 1Password ressemble à Dashlane. Avec quelques fonctionnalités en moins (pas de VPN).
Une autre fonctionnalité intéressante est le fonctionnement par « coffre-fort ». Vous pouvez gérer différents coffres-forts (vaults en anglais). Un coffre-fort regroupe plusieurs mots de passe. Vous pouvez ainsi gérer par exemple 1 vault « perso » et 1 vault « famille », et décider de partager ce dernier avec vos proches.
Si vous voyagez beaucoup, 1Password propose également une fonctionnalité d’itinérance. Vous supprimez vos données sensibles de votre appareil pendant que vous voyagez. Et vous les restaurez une fois arrivé.
1Password est disponible sur Windows, Mac, Linux, et même ChromeOS pour les possesseurs d’un Chromebook.
Les navigateurs suivants sont supportés : Chrome, Firefox, Opera, Edge, Brave. Côté mobile, on retrouve bien évidemment une application sur iPhone et Android.
Voir le site officiel de 1Password :
Bitwarden : l’alternative open-source
Avantages
- Open source et gratuit
- Un abonnement premium vraiment peu cher (recommandé pour bénéficier de la double authentification par clé physique)
- Toutes les fonctionnalités de base d’un bon gestionnaire de mots de passe, avec la facilité d’utilisation (synchronisation entre périphériques, etc.)
- Possibilité d’auto-héberger la solution pour les utilisateurs les plus avancés
- Rapports d’audits de sécurité accessibles
Inconvénients
- Produit plus jeune que d’autres solutions
- Site internet en anglais (mais application bien traduite en français)
BitWarden intègre de base la synchronisation entre périphériques, et est compatible avec une multitude de navigateurs. Y compris certains navigateurs moins répandus comme Vivaldi, Brave, ou Tor Browser. Pour les OS d’ordinateurs, et smartphones, Bitwarden s’adapte également à tous les usages (Windows, Mac, Linux, iOS, Android).
Ce gestionnaire de mot de passe a de nombreux commentaires positifs.
L’autre grande force de Bitwarden est clairement son prix : gratuit. Pas de frais cachés. Pas de période d’essai limitée dans le temps.
Si vous souhaitez soutenir cette solution, sachez que vous pourrez passer sur la version « premium » pour 10 dollars par an. Cela vous permettra par ailleurs de débloquer quelques fonctionnalités annexes (1Go pour y stocker des pièces jointes, double authentification compatible Yubikey, etc.)
Notez que open source ne veut pas forcément dire « sécurité absolue ». A ce propos, une faille détectée par le passé sur BitWarden avait provoqué de nombreux échanges sur internet sur la façon dont l’équipe de développement avait réagi, alors que Bitwarden était encore très jeune. Depuis, le gestionnaire de mots de passe a fait l’objet de plusieurs audit de sécurité par une entreprise spécialisée, et qui sont rendus publics.
Voir le site officiel de Bitwarden (anglais) :
KeePassXC : open-source et offline
Avantages
- Gratuit et open-source
- Stockage des données en local
- Synchronisation possible par le cloud de son choix (Dropbox et Nextcloud notamment)
- Souvent recommandé par les plus exigeants en termes de sécurité et confidentialité
Inconvénients
- Pas d’audit de sécurité réalisé
- Plus compliqué à l’usage (pas de synchronisation de base)
- Pas d’application sur smartphone, il faudra utiliser une autre application compatible avec KeePassXC (Android : KeePassDX, KeePass2Android ; iOS : Strongbox, KeePassium)
KeePassXC est un fork du gestionnaire de mots de passe KeePassX, lui même dérivé de KeePass (qui date un peu et dont l’interface est vraiment devenue d’un autre temps)
Avec KeePassXC, vous faites le choix d’un gestionnaire de mots de passe offline : les données sont stockées en local, ce qui rajoute une couche supplémentaire de sécurité.
En revanche, un gestionnaire de mots de passe offline est forcément plus compliqué à l’usage. En effet, il n’y aura pas de synchronisation automatique entre vos périphériques, ni de système de sauvegarde. Ce sera à l’utilisateur de mettre tout ceci en place si besoin.
KeePassXC permet par exemple de synchroniser ses données au travers d’un cloud comme Dropbox ou Nextcloud. Mais l’utilisation est plus compliquée que les précédents gestionnaires de mots de passe évoqués dans l’article.
KeePassXC s’adresse donc plutôt à des utilisateurs qui ont des besoins très exigeants en termes de sécurité (par exemple compte-tenu de leurs métiers).
KeePassXC propose des extensions pour les principaux navigateurs : Chrome, Edgge, Firefox, Brave.
Voir le site officiel de KeePassXC :
LastPass : trop d’incidents sécurité désormais ?
Attention : il n’est désormais plus possible de recommander LastPass comme gestionnaire de mots de passe, pour des raisons de sécurité suite aux incidents de 2022
LastPass était une solution de gestionnaire de mot de passe très répandue.
Et pour cause : la version gratuite a pendant longtemps permis la synchronisation entre ordinateur et smartphone. Ce n’est qu’à partir du 16 mars 2021, que la synchronisation nécessitait de prendre l’abonnement payant. Et encore, LastPass restait l’une des solutions les moins chères du marché (autour de 35€/an).
LastPass a fait l’objet de plusieurs failles de sécurité par le passé :
- En 2011, Lastpass a détecté sur ses serveurs une activité anormale. LastPass a alors demandé à ses utilisateurs de modifier leur mot de passe maître.
- En 2015, LastPass a également communiqué sur une activité anormale sur ses serveurs, avec une fuite de données (les adresses mails des comptes notamment, mais pas les données chiffrées)
- En 2016 une faille de sécurité a été découverte lors d’un audit de sécurité. Elle permettait de lire en clair un mot de passe, à partir d’un site infecté. La faille a été communiquée au public après correction de l’application.
- En 2017, un chercheur de Google a également mis au jour une vulnérabilité dans l’extension LastPass, qui permettait d’accéder aux mots de passe. L’application a été corrigée avant publication de la faille.
- En août 2022, LastPass a été piraté : le service annonce avoir identifié une intrusion sur l’un de ses environnements de développement. Le service indique cependant que les mots de passe maîtres, ainsi que les mots de passe des clients, n’ont pas été atteints.
- Mais fin 2022, LastPass communique sur le fait que des données sensibles ont été dérobées, dont notamment les coffres forts.
Edit de janvier 2023 :
Plusieurs experts en sécurité (et certains de ses concurrents notamment 1Password) ont ouvertement critiqué l’attitude de LastPass et la gestion de l’incident de 2022, notamment sur les points suivants :
- Le fait d’avoir attendu la période des fêtes pour communiquer (période qui est plutôt calme d’un point de vue média)
- Le fait de minimiser le risque sur les données fuitées (notamment : risque pour des utilisateurs qui auraient pris un mot de passe maître peu robuste ; les URL des sites stockées dans le coffre-fort ne sont pas chiffrées, ce qui pose un problème de confidentialité et un risque accru d’attaques ciblées par les pirates sur les données des coffres volées (concentration des efforts sur les utilisateurs dont les coffres comprennent des sites financiers, de cryptomonnaies, etc.), + risque d’attaque ciblée par phishing)
Pour les utilisateurs de LastPass, il est probablement recommandé de choisir un nouveau service de gestionnaire de mots de passe, et de changer ses mots de passe sur l’ensemble des sites (ou au moins les plus sensibles : banques et financiers, administratif, mails, etc.) à partir de ce nouveau gestionnaire de mots de passe.
Conclusion
Utiliser un gestionnaire de mots de passe est vital pour sécuriser sa vie numérique.
Les services comme Dashlane, 1Password, ou Bitwarden sont faciles d’utilisation et suffisent pour la très grande majorité des utilisateurs. Ils offrent notamment la synchronisation entre périphériques et les sauvegardes grâce à leur cloud intégré. Bitwarden est le moins cher et open source. Dashlane et 1Password sont un peu plus chers, et proposent des fonctionnalités plus avancées. Ces services sont sérieux et font périodiquement des audits de sécurité. L’approche zero knowledge (connaissance nulle) permet d’assurer une sécurité satisfaisante compte-tenu de l’utilisation du cloud pour la synchronisation.
Pour les utilisateurs les plus exigeants en termes de sécurité et de vie privée, KeePassXC permet de garder le contrôle sur le lieu de stockage des données. Cela engendre en revanche une complexité d’utilisation bien plus importante. Ce type de gestionnaire de mots est probablement à réserver pour des personnes avec des besoins très spécifiques en termes de risque (journalistes, politiques, etc.).
LastPass n’est plus à recommander depuis fin 2022.
Les incidents de sécurité de LastPass ne doivent pas pour autant dissuader d’utiliser un gestionnaire de mots de passe aujourd’hui. Les risques inhérents à de ne pas utiliser un gestionnaire de mots de passe restent très probablement plus dangereux que l’incident rencontré autour de LastPass.
Dernière mise à jour : janvier 2023 (article publié initialement en mars 2019)