Les solutions de gestionnaire de mots de passe sont nombreuses, et choisir le bon outil peut être difficile. Cet article vous guide à travers un comparatif détaillé des meilleurs gestionnaires de mots de passe actuels.
Les meilleurs gestionnaires de mots de passe
J’utilise un gestionnaire de mots de passe depuis de nombreuses années. Et j’ai périodiquement l’occasion de recommander à des personnes de mon entourage d’en faire de même, en leur expliquant pourquoi utiliser un gestionnaire de mots de passe est devenu un impératif.
Aujourd’hui, le marché propose de nombreuses solutions. C’est une bonne nouvelle car cela signifie qu’il existe de très bons gestionnaires de mots de passe. En revanche, il peut parfois être difficile de sélectionner le bon service quand on commence à utiliser un gestionnaire de mots de passe.
J’ai listé ci-dessous les gestionnaires de mots de passe qui me semblent les plus intéressants aujourd’hui. Je remets à jour cet article périodiquement au fur et à mesure des nouveautés (notamment dernièrement : l’arrivée de Proton Pass, et la gestion des passkeys).
1. Dashlane : le juste équilibre
Avantages
- Simple et intuitif
- Saisie automatique sur les sites web
- Fonction de modification de mots de passe en masse sur les sites les plus fréquents
- Pas d’incident de sécurité connu en 13 ans d’existence
- Gestion des passkeys
Inconvénients
- Audits de sécurité réalisés mais rapports non accessibles pour le public
- Pas d’application pour bureau (uniquement extension de navigateur et application smartphone)
- Non open-source
Dashlane est probablement le service le plus complet. Son interface est claire, et agréable à utiliser. Il propose notamment des fonctionnalités complémentaires intéressantes :
- la possibilité de stocker des notes ou pièces jointes de manière sécurisées (jusque 1 Go)
- les alertes lorsqu’un mot de passe peut être compromis, lorsqu’un site communique sur une fuite de données ou une attaque constatée
- la surveillance du dark web. Dashlane analyse les données publiées sur le dark web, et vérifie que vos comptes et mots de passe n’en font pas partie
- la possibilité de changer de mot de passe en 1 clic, pour les principaux sites web
- un VPN, pour sécuriser sa connexion, par exemple sur les wifi publics
- le partage de mots de passe avec d’autres personnes, et la possibilité d’ajouter des contacts de confiance à son compte
Dashlane est aussi l’un des services les plus chers (environ 50€ par an). On regrette que Dashlane n’ait pas mis certaines fonctionnalités sous forme d’option (surveillance du dark web, VPN notamment).
Dashlane est disponible sur Windows et Mac. Les navigateurs gérés officiellement sont Chrome, Firefox, Edge, et Safari. Il est aussi possible d’installer le plugin sur Opera, et autres navigateurs basés sur Chromium (Brave par exemple).
Dashlane propose aussi une extension compatible pour Linux et Chromebook, sur navigateur Chrome, Firefox, et Edge.
L’appli mobile est disponible bien entendu sur iOS et Android.
2. 1Password : des fonctions sécurité encore plus poussées
Avantages
- Synchronisation en réseau local possible pour les utilisateurs de Mac et iPhone sans passer par le cloud
- Mode voyage (efface temporairement les données stockées en local sur le périphérique)
- Aucune fuite de données connue, une faille de sécurité par le passé rapidement corrigée
- Les rapports des audits de sécurité sont accessibles
- Pas de tracker dans l’application mobile Android
- Gestion des passkeys
Inconvénients
- Moins de fonctionnalités avancées que Dashlane
- Non open-source
L’un des grands avantages de 1Password à mon sens, c’est une fonctionnalité qui s’adresse aux utilisateurs de Mac et iPhone.
Il est possible de synchroniser ses mots de passe entre son Mac et son iPhone via son réseau wifi. La synchronisation se fait alors sur le réseau local, et non via internet. Pour les utilisateurs d’Apple, ça peut être un bon compromis entre un KeePassXC par exemple, et un service offrant les avantages du cloud dans sa solution de base. Cela permet en effet de garder le contrôle sur le lieu de stockage des données.
Pour le reste, 1Password ressemble à Dashlane. Avec quelques fonctionnalités en moins (pas de VPN).
Une autre fonctionnalité intéressante est le fonctionnement par « coffre-fort ». Vous pouvez gérer différents coffres-forts (vaults en anglais). Un coffre-fort regroupe plusieurs mots de passe. Vous pouvez ainsi gérer par exemple 1 vault « perso » et 1 vault « famille », et décider de partager ce dernier avec vos proches.
Si vous voyagez beaucoup, 1Password propose également une fonctionnalité d’itinérance. Vous supprimez vos données sensibles de votre appareil pendant que vous voyagez. Et vous les restaurez une fois arrivé.
1Password est disponible sur Windows, Mac, Linux, et même ChromeOS pour les possesseurs d’un Chromebook.
Les navigateurs suivants sont supportés : Chrome, Firefox, Opera, Edge, Brave. Côté mobile, on retrouve bien évidemment une application sur iPhone et Android.
3. Bitwarden : l’alternative open-source
Avantages
- Open source et gratuit
- Un abonnement premium vraiment peu cher (recommandé pour bénéficier de la double authentification par clé physique)
- Toutes les fonctionnalités de base d’un bon gestionnaire de mots de passe, avec la facilité d’utilisation (synchronisation entre périphériques, etc.)
- Possibilité d’auto-héberger la solution pour les utilisateurs les plus avancés
- Rapports d’audits de sécurité accessibles
- Gestion des passkeys
Inconvénients
- Produit plus jeune que d’autres solutions
- Site internet en anglais (mais application bien traduite en français)
BitWarden intègre de base la synchronisation entre périphériques, et est compatible avec une multitude de navigateurs. Y compris certains navigateurs moins répandus comme Vivaldi, Brave, ou Tor Browser. Pour les OS d’ordinateurs, et smartphones, Bitwarden s’adapte également à tous les usages (Windows, Mac, Linux, iOS, Android).
Ce gestionnaire de mot de passe a de nombreux commentaires positifs.
L’autre grande force de Bitwarden est clairement son prix : gratuit. Pas de frais cachés. Pas de période d’essai limitée dans le temps.
Si vous souhaitez soutenir cette solution, sachez que vous pourrez passer sur la version « premium » pour 10 dollars par an. Cela vous permettra par ailleurs de débloquer quelques fonctionnalités annexes (1Go pour y stocker des pièces jointes, double authentification compatible Yubikey, etc.)
Notez que open source ne veut pas forcément dire « sécurité absolue ». A ce propos, une faille détectée par le passé sur BitWarden avait provoqué de nombreux échanges sur internet sur la façon dont l’équipe de développement avait réagi, alors que Bitwarden était encore très jeune. Depuis, le gestionnaire de mots de passe a fait l’objet de plusieurs audit de sécurité par une entreprise spécialisée, et qui sont rendus publics.
4. Proton Pass : le gestionnaire de mots de passe prometteur
- Très complet dans sa version gratuite (nombre illimité d’appareils, et de mots de passe)
- Open-source
- Audit de sécurité réalisé
- Générateur d’alias email à un prix très compétitif dans sa version payante
- Gestion des passkeys (récent)
- Encore très récent
- Moins de fonctionnalités avancées que les leaders (remplissage des CB, etc.)
Difficile de ne pas connaître Proton, l’entreprise à l’origine de l’une des messageries mail axées sur la sécurité et la vie privée. Protonmail s’est fait une vraie réputation dans ce domaine, à tel point qu’elle était par exemple mise en avant dans la série tv M. Robot.
Protonmail est depuis devenu Proton, et l’entreprise s’est diversifiée, en particulier en proposant un VPN, et un service de cloud.
Alors forcément, quand Proton sort un nouveau service, on y prête une attention particulière. Et le dernier en date est Proton Pass, le gestionnaire de mots de passe « made in Proton ».
Et sur le papier, force est de reconnaître que Proton Pass a de nombreux arguments pour lui : il est open-source, la version gratuite est suffisante pour une très grande partie des utilisateurs (nombre illimité d’appareils notamment), et le gestionnaire de mots de passe profite de la réputation de l’entreprise Proton (et des règles suisses de protection des données).
Dans la version payante, vous pourrez profiter des fonctionnalités supplémentaires, parmi lesquelles le générateur d’alias mail. En effet, Proton avait racheté il y a peu l’excellent service de générateur d’alias mail SimpleLogin. Il est donc logique que Proton commence à intégrer ces fonctionnalités dans ses propres services.
Pour rappel, un générateur d’alias permet de générer des adresses mails uniques, ces adresses renvoyant les mails reçus sur votre propre adresse mail. L’avantage est ainsi de ne pas « exposer » votre adresse mail principale. Vous utilisez une adresse mail unique par site ou compte internet :
- en cas de fuite de données du site en question, seul l’email alias est donc compromise. Cela vous aidera à détecter d’éventuelles attaques par phishing (ex: vous recevez un mail qui vous parle d’un sujet important, alors que l’adresse mail utilisée comme destinataire est un alias que vous avez donné sur un seul compte et qui n’a aucun rapport avec ce sujet=> phishing car personne d’autre que ce compte ne connaît cette adresse mail)
- de la même façon, si vous recevez du spam parce que l’un des comptes sur lesquels vous êtes inscrits a revendu vos données : grâce à l’alias, vous savez qui a communiqué votre adresse mail, et vous pouvez décider d’arrêter de recevoir des mails depuis cet alias
Proposé au prix de 4€/mois, Proton Pass s’affiche ainsi comme l’un des meilleurs rapports qualité-prix, en proposant une offre regroupant à la fois un gestionnaire de mots de passe et un générateur d’alias mails.
5. KeePassXC : open-source et offline
Avantages
- Gratuit et open-source
- Stockage des données en local
- Synchronisation possible par le cloud de son choix (Dropbox et Nextcloud notamment)
- Souvent recommandé par les plus exigeants en termes de sécurité et confidentialité
- Gestion des passkeys
Inconvénients
- Pas d’audit de sécurité réalisé
- Plus compliqué à l’usage (pas de synchronisation de base)
- Pas d’application sur smartphone, il faudra utiliser une autre application compatible avec KeePassXC (Android : KeePassDX, KeePass2Android ; iOS : Strongbox, KeePassium)
KeePassXC est un fork du gestionnaire de mots de passe KeePassX, lui même dérivé de KeePass (qui date un peu et dont l’interface est vraiment devenue d’un autre temps)
Avec KeePassXC, vous faites le choix d’un gestionnaire de mots de passe offline : les données sont stockées en local, ce qui rajoute une couche supplémentaire de sécurité.
En revanche, un gestionnaire de mots de passe offline est forcément plus compliqué à l’usage. En effet, il n’y aura pas de synchronisation automatique entre vos périphériques, ni de système de sauvegarde. Ce sera à l’utilisateur de mettre tout ceci en place si besoin.
KeePassXC permet par exemple de synchroniser ses données au travers d’un cloud comme Dropbox ou Nextcloud. Mais l’utilisation est plus compliquée que les précédents gestionnaires de mots de passe évoqués dans l’article.
KeePassXC s’adresse donc plutôt à des utilisateurs qui ont des besoins très exigeants en termes de sécurité (par exemple compte-tenu de leurs métiers).
KeePassXC propose des extensions pour les principaux navigateurs : Chrome, Edgge, Firefox, Brave.
LastPass : à éviter car trop d’incidents sécurité désormais
Attention : il n’est désormais plus possible de recommander LastPass comme gestionnaire de mots de passe, pour des raisons de sécurité suite aux incidents de 2022
LastPass était une solution de gestionnaire de mot de passe très répandue.
Et pour cause : la version gratuite a pendant longtemps permis la synchronisation entre ordinateur et smartphone. Ce n’est qu’à partir du 16 mars 2021, que la synchronisation nécessitait de prendre l’abonnement payant. Et encore, LastPass restait l’une des solutions les moins chères du marché (autour de 35€/an).
LastPass a fait l’objet de plusieurs failles de sécurité par le passé :
- En 2011, Lastpass a détecté sur ses serveurs une activité anormale. LastPass a alors demandé à ses utilisateurs de modifier leur mot de passe maître.
- En 2015, LastPass a également communiqué sur une activité anormale sur ses serveurs, avec une fuite de données (les adresses mails des comptes notamment, mais pas les données chiffrées)
- En 2016 une faille de sécurité a été découverte lors d’un audit de sécurité. Elle permettait de lire en clair un mot de passe, à partir d’un site infecté. La faille a été communiquée au public après correction de l’application.
- En 2017, un chercheur de Google a également mis au jour une vulnérabilité dans l’extension LastPass, qui permettait d’accéder aux mots de passe. L’application a été corrigée avant publication de la faille.
- En août 2022, LastPass a été piraté : le service annonce avoir identifié une intrusion sur l’un de ses environnements de développement. Le service indique cependant que les mots de passe maîtres, ainsi que les mots de passe des clients, n’ont pas été atteints.
- Mais fin 2022, LastPass communique sur le fait que des données sensibles ont été dérobées, dont notamment les coffres forts.
Edit de janvier et octobre 2023 :
Plusieurs experts en sécurité (et certains de ses concurrents notamment 1Password) ont ouvertement critiqué l’attitude de LastPass et la gestion de l’incident de 2022, notamment sur les points suivants :
- Le fait d’avoir attendu la période des fêtes pour communiquer (période qui est plutôt calme d’un point de vue média)
- Le fait de minimiser le risque sur les données fuitées (notamment : risque pour des utilisateurs qui auraient pris un mot de passe maître peu robuste ; les URL des sites stockées dans le coffre-fort ne sont pas chiffrées, ce qui pose un problème de confidentialité et un risque accru d’attaques ciblées par les pirates sur les données des coffres volées (concentration des efforts sur les utilisateurs dont les coffres comprennent des sites financiers, de cryptomonnaies, etc.), + risque d’attaque ciblée par phishing)
Pour les utilisateurs de LastPass, il est probablement recommandé de choisir un nouveau service de gestionnaire de mots de passe, et de changer ses mots de passe sur l’ensemble des sites (ou au moins les plus sensibles : banques et financiers, administratif, mails, etc.) à partir de ce nouveau gestionnaire de mots de passe.
En septembre 2023, une étude dans le domaine des cryptomonnaies a montré que plusieurs utilisateurs qui se sont fait pirater leurs portefeuilles de crypto sur les derniers mois, avaient comme points communs d’avoir stocké leurs clés de portefeuille crypto dans LastPass.
Tout savoir sur les gestionnaires de mots de passe
Quels sont les critères de sélection à prendre en compte pour un bon gestionnaire de mots de passe ?
Il peut être difficile de choisir son gestionnaire de mots de passe. Selon moi, les principaux critères qui entrent en compte dans cette décision sont :
- la sécurité : elle est notamment appréciée au travers de la notoriété et la fiabilité du service, mais aussi des précédents incidents rencontrés ainsi que l’approche sécurité de l’éditeur (livre blanc, etc.)
- la présence des fonctionnalités de base : saisie automatique, enregistrement automatique, générations de mots de passe aléatoires et forts, synchronisation entre périphériques et accès web
- la présence de fonctionnalités avancées en fonction de vos besoins : il peut s’agir par exemple de la surveillance des bases de données sur le dark web, de mode spécifique au voyage, etc.
- l’ergonomie et la convivialité de l’outil
- la compatibilité entre différentes plateformes, en particulier si vous utilisez des plateformes qui sortent des principales plateformes de type Windows, Android, iOS.
- le prix : toutefois, il n’est pas certain que ce soit sur ce poste de dépense qu’il faille chercher impérativement à aller au moins cher, compte-tenu de l’importance des données stockées. L’abonnement annuel d’un gestionnaire de mots reste généralement contenu. D’ailleurs, de plus en plus de solutions délaissent désormais leur formule gratuite, en limitant grandement le nombre de mots de passe pouvant y être stocké dans ce type d’offre gratuite.
Quel est le gestionnaires de mots de passe le plus fiable ?
Je ne pense pas qu’il soit possible de répondre à cette question. En revanche, il me semble primordial de s’intéresser au sérieux et à la sécurité du gestionnaire de mots de passe, avant de faire son choix.
Dans le comparatif ci-dessus des meilleurs gestionnaires de mots, j’ai essayé de prendre les services qui apparaissent comme les plus sérieux et qui portent une attention particulière à ce sujet : au travers de leurs explications sur la conception de leur outil (zero knwowledge, etc.), leurs audits sécurité, leur réputation.
Tout service qui souhaite perdurer financièrement dans ce domaine doit nécessairement porter une attention importante sur la sécurité. Car le jour où un incident sérieux a lieu, le gestionnaire de mots de passe perdra la confiance de ses clients, qui iront voir des concurrents. L’exemple typique est LastPass, qui ne figure plus dans ce comparatif des meilleurs gestionnaires de mots de passe.
Quel est le meilleur gestionnaire de mots de passe gratuit ?
Aujourd’hui, j’ai tendance à recommander l’excellent Proton Pass pour une utilisation gratuite d’un gestionnaire de mots de passe.
Proton Pass propose l’essentiel des fonctionnalités de base pour une utilisation gratuite, et ceci sans limite de nombre de mots de passe ou de périphériques. Le tout avec une interface au goût du jour. En plus, Proton Pass est proposé par l’entreprise Proton dont la notoriété et le sérieux en termes de sécurité n’est plus à démontrer, ce qui est vraiment un atout selon moi. Et en plus, il est open-source.
Gardez néanmoins en tête qu’avec une utilisation gratuite d’un gestionnaire de mots de passe, vous êtes dépendants par la suite des éventuelles évolutions futures des conditions d’utilisation du service (ceci est valable pour tout gestionnaire de mots de passe gratuit, à moins de partir sur un gestionnaire « autonome » type Keepass mais dont l’interface est largement dépassée aujourd’hui).
Comment renforcer la sécurité d’un gestionnaire de mots de passe ?
Pour garantir la sécurité de son gestionnaire de mots de passe, il est primordial d’utiliser un mot de passe maître unique, et suffisamment long et robuste. Evidemment, ce mot de passe ne doit pas avoir été compromis par le passé, donc il vaut mieux créer un nouveau mot de passe pour en être certain.
Enfin, il est recommandé d’activer la double authentification (encore appelé authentification multifacteurs ou authentification forte), sur son gestionnaire de mots de passe évidemment, ainsi que sur tous les comptes le proposant de manière générale.
Conclusion
Utiliser un gestionnaire de mots de passe est vital pour sécuriser sa vie numérique. J’explique dans un autre article pourquoi utiliser un gestionnaire de mots de passe est devenu indispensable aujourd’hui.
Les services comme Dashlane, 1Password, Bitwarden et Proton Pass sont faciles d’utilisation et suffisent pour la très grande majorité des utilisateurs. Ils offrent notamment la synchronisation entre périphériques et les sauvegardes grâce à leur cloud intégré.
Bitwarden est le moins cher et open source. Dashlane et 1Password sont un peu plus chers, et proposent des fonctionnalités plus avancées. Proton Pass est le dernier arrivé, et semble très prometteur pour la suite, d’autant que la version gratuite peut suffire à de nombreux utilisateurs.
Pour les utilisateurs les plus exigeants en termes de sécurité et de vie privée, KeePassXC permet de garder le contrôle sur le lieu de stockage des données. Cela engendre en revanche une complexité d’utilisation bien plus importante. Ce type de gestionnaire de mots est probablement à réserver pour des personnes avec des besoins très spécifiques en termes de risque (journalistes, politiques, etc.).
LastPass n’est plus à recommander depuis fin 2022. Les incidents de sécurité de LastPass ne doivent pas pour autant dissuader d’utiliser un gestionnaire de mots de passe aujourd’hui. Les risques inhérents à ne pas utiliser un gestionnaire de mots de passe restent très probablement plus dangereux que l’incident rencontré autour de LastPass.
Et n’oubliez pas d’utiliser un mot de passe maître fort et unique.
Dernière mise à jour : avril 2024 (article publié initialement en mars 2019)
Photo à la une : image générée par IA