Découvrez les avantages d’utiliser un gestionnaire de mots de passe pour protéger vos informations en ligne et améliorer votre sécurité en ligne.
Pourquoi utiliser un gestionnaire de mots de passe pour sécuriser ses données en ligne ?
Un bon gestionnaire de mots de passe est devenu indispensable aujourd’hui pour sécuriser sa vie numérique.
Il permet en effet de répondre aux 2 bonnes pratiques de sécurité numérique :
- utiliser un mot de passe unique pour chaque compte
- utiliser un mot de passe aléatoire et comportant un nombre élevé de caractères
Au fil des années, vous accumulez des dizaines voire des centaines de comptes différents. Il est impossible de respecter ces bonnes pratiques sans un gestionnaire de mots de passe.
Avec un gestionnaire de mots de passe, l’ensemble de vos mots de passe sont protégés par un unique mot de passe, appelé mot de passe maître. Vous concentrez tous vos efforts de mémorisation sur ce mot de passe principal, le plus robuste possible et utilisé uniquement pour votre gestionnaire de mots de passe.
Pourquoi utiliser un mot de passe unique sur chaque compte?
Parce que de nombreux sites se font pirater chaque année avec des fuites de données. Dès lors, votre login associé à votre mot de passe pour ce site se retrouvent dans la nature. Ils sont intégrés dans des bases de données de login/mots de passe mises à disposition des pirates.
Si vous utilisez le même mot de passe sur d’autres sites, alors l’ensemble de vos comptes se retrouvent compromis. Parfois sans même que vous ne le sachiez, dans le cas où le site piraté ne communique pas sur la fuite de données.
Pourquoi utiliser un mot de passe aléatoire avec un nombre important de caractères?
Pour résister aux attaques par force brute. Dans une attaque par bruteforce (terme en anglais), le pirate tente de trouver le mot de passe en essayant toutes les combinaisons possibles de caractères.
La table ci-dessous, réalisée par la société Hive Systems, donne le temps qu’il faut pour trouver un mot de passe par force brute en fonction du nombre de caractères et des types de caractères (nombre, lettres, majuscules/minuscules, caractères spéciaux)
Un mot de passe de 10 caractères comportant des nombres et des lettres majuscules et minuscules, peut être trouvé en seulement 3 semaines par une attaque par brute force, compte-tenu des capacités de calcul informatiques disponibles en 2022.
Comparatif : les meilleurs gestionnaires de mots de passe pour vous aider à choisir
Dashlane
Avantages
- Simple et intuitif
- Saisie automatique sur les sites web
- Fonction de modification de mots de passe en masse sur les sites les plus fréquents
- Pas d’incident de sécurité connu en 13 ans d’existence
Inconvénients
- Audits de sécurité réalisés mais rapports non accessibles pour le public
- Pas d’application pour bureau (uniquement extension de navigateur et application smartphone)
- Non open-source
Dashlane est probablement le service le plus complet. Son interface est claire, et agréable à utiliser. Il propose notamment des fonctionnalités complémentaires intéressantes :
- la possibilité de stocker des notes ou pièces jointes de manière sécurisées (jusque 1 Go)
- les alertes lorsqu’un mot de passe peut être compromis, lorsqu’un site communique sur une fuite de données ou une attaque constatée
- la surveillance du dark web. Dashlane analyse les données publiées sur le dark web, et vérifie que vos comptes et mots de passe n’en font pas partie
- la possibilité de changer de mot de passe en 1 clic, pour les principaux sites web
- un VPN, pour sécuriser sa connexion, par exemple sur les wifi publics
- le partage de mots de passe avec d’autres personnes, et la possibilité d’ajouter des contacts de confiance à son compte
Dashlane est aussi l’un des services les plus chers (environ 50€ par an). On regrette que Dashlane n’ait pas mis certaines fonctionnalités sous forme d’option (surveillance du dark web, VPN notamment).
Dashlane est disponible sur Windows et Mac. Les navigateurs gérés officiellement sont Chrome, Firefox, Edge, et Safari. Il est aussi possible d’installer le plugin sur Opera, et autres navigateurs basés sur Chromium (Brave par exemple).
Dashlane propose aussi une extension compatible pour Linux et Chromebook, sur navigateur Chrome, Firefox, et Edge.
L’appli mobile est disponible bien entendu sur iOS et Android.
Voir le site officiel de Dashlane :
1Password
Avantages
- Synchronisation en réseau local possible pour les utilisateurs de Mac et iPhone sans passer par le cloud
- Mode voyage (efface temporairement les données stockées en local sur le périphérique)
- Aucune fuite de données connue, une faille de sécurité par le passé rapidement corrigée
- Les rapports des audits de sécurité sont accessibles
- Pas de tracker dans l’application mobile Android
Inconvénients
- Moins de fonctionnalités avancées que Dashlane
- Non open-source
L’un des grands avantages de 1Password à mon sens, c’est une fonctionnalité qui s’adresse aux utilisateurs de Mac et iPhone.
Il est possible de synchroniser ses mots de passe entre son Mac et son iPhone via son réseau wifi. La synchronisation se fait alors sur le réseau local, et non via internet. Pour les utilisateurs d’Apple, ça peut être un bon compromis entre un KeePassXC par exemple, et un service offrant les avantages du cloud dans sa solution de base. Cela permet en effet de garder le contrôle sur le lieu de stockage des données.
Pour le reste, 1Password ressemble à Dashlane. Avec quelques fonctionnalités en moins (pas de VPN).
Une autre fonctionnalité intéressante est le fonctionnement par « coffre-fort ». Vous pouvez gérer différents coffres-forts (vaults en anglais). Un coffre-fort regroupe plusieurs mots de passe. Vous pouvez ainsi gérer par exemple 1 vault « perso » et 1 vault « famille », et décider de partager ce dernier avec vos proches.
Si vous voyagez beaucoup, 1Password propose également une fonctionnalité d’itinérance. Vous supprimez vos données sensibles de votre appareil pendant que vous voyagez. Et vous les restaurez une fois arrivé.
1Password est disponible sur Windows, Mac, Linux, et même ChromeOS pour les possesseurs d’un Chromebook.
Les navigateurs suivants sont supportés : Chrome, Firefox, Opera, Edge, Brave. Côté mobile, on retrouve bien évidemment une application sur iPhone et Android.
Voir le site officiel de 1Password :
Bitwarden
Avantages
- Open source et gratuit
- Un abonnement premium vraiment peu cher (recommandé pour bénéficier de la double authentification par clé physique)
- Toutes les fonctionnalités de base d’un bon gestionnaire de mots de passe, avec la facilité d’utilisation (synchronisation entre périphériques, etc.)
- Possibilité d’auto-héberger la solution pour les utilisateurs les plus avancés
- Rapports d’audits de sécurité accessibles
Inconvénients
- Produit plus jeune que d’autres solutions
- Site internet en anglais (mais application bien traduite en français)
BitWarden intègre de base la synchronisation entre périphériques, et est compatible avec une multitude de navigateurs. Y compris certains navigateurs moins répandus comme Vivaldi, Brave, ou Tor Browser. Pour les OS d’ordinateurs, et smartphones, Bitwarden s’adapte également à tous les usages (Windows, Mac, Linux, iOS, Android).
Ce gestionnaire de mot de passe a de nombreux commentaires positifs.
L’autre grande force de Bitwarden est clairement son prix : gratuit. Pas de frais cachés. Pas de période d’essai limitée dans le temps.
Si vous souhaitez soutenir cette solution, sachez que vous pourrez passer sur la version « premium » pour 10 dollars par an. Cela vous permettra par ailleurs de débloquer quelques fonctionnalités annexes (1Go pour y stocker des pièces jointes, double authentification compatible Yubikey, etc.)
Notez que open source ne veut pas forcément dire « sécurité absolue ». A ce propos, une faille détectée par le passé sur BitWarden avait provoqué de nombreux échanges sur internet sur la façon dont l’équipe de développement avait réagi, alors que Bitwarden était encore très jeune. Depuis, le gestionnaire de mots de passe a fait l’objet de plusieurs audit de sécurité par une entreprise spécialisée, et qui sont rendus publics.
Voir le site officiel de Bitwarden (anglais) :
KeePassXC
Avantages
- Gratuit et open-source
- Stockage des données en local
- Synchronisation possible par le cloud de son choix (Dropbox et Nextcloud notamment)
- Souvent recommandé par les plus exigeants en termes de sécurité et confidentialité
Inconvénients
- Pas d’audit de sécurité réalisé
- Plus compliqué à l’usage (pas de synchronisation de base)
- Pas d’application sur smartphone, il faudra utiliser une autre application compatible avec KeePassXC (Android : KeePassDX, KeePass2Android ; iOS : Strongbox, KeePassium)
KeePassXC est un fork du gestionnaire de mots de passe KeePassX, lui même dérivé de KeePass (qui date un peu et dont l’interface est vraiment devenue d’un autre temps)
Avec KeePassXC, vous faites le choix d’un gestionnaire de mots de passe offline : les données sont stockées en local, ce qui rajoute une couche supplémentaire de sécurité.
En revanche, un gestionnaire de mots de passe offline est forcément plus compliqué à l’usage. En effet, il n’y aura pas de synchronisation automatique entre vos périphériques, ni de système de sauvegarde. Ce sera à l’utilisateur de mettre tout ceci en place si besoin.
KeePassXC permet par exemple de synchroniser ses données au travers d’un cloud comme Dropbox ou Nextcloud. Mais l’utilisation est plus compliquée que les précédents gestionnaires de mots de passe évoqués dans l’article.
KeePassXC s’adresse donc plutôt à des utilisateurs qui ont des besoins très exigeants en termes de sécurité (par exemple compte-tenu de leurs métiers).
KeePassXC propose des extensions pour les principaux navigateurs : Chrome, Edgge, Firefox, Brave.
Voir le site officiel de KeePassXC :
LastPass
Attention : il n’est désormais plus possible de recommander LastPass comme gestionnaire de mots de passe, pour des raisons de sécurité suite aux incidents de 2022
LastPass était une solution de gestionnaire de mot de passe très répandue.
Et pour cause : la version gratuite a pendant longtemps permis la synchronisation entre ordinateur et smartphone. Ce n’est qu’à partir du 16 mars 2021, que la synchronisation nécessitait de prendre l’abonnement payant. Et encore, LastPass restait l’une des solutions les moins chères du marché (autour de 35€/an).
LastPass a fait l’objet de plusieurs failles de sécurité par le passé :
- En 2011, Lastpass a détecté sur ses serveurs une activité anormale. LastPass a alors demandé à ses utilisateurs de modifier leur mot de passe maître.
- En 2015, LastPass a également communiqué sur une activité anormale sur ses serveurs, avec une fuite de données (les adresses mails des comptes notamment, mais pas les données chiffrées)
- En 2016 une faille de sécurité a été découverte lors d’un audit de sécurité. Elle permettait de lire en clair un mot de passe, à partir d’un site infecté. La faille a été communiquée au public après correction de l’application.
- En 2017, un chercheur de Google a également mis au jour une vulnérabilité dans l’extension LastPass, qui permettait d’accéder aux mots de passe. L’application a été corrigée avant publication de la faille.
- En août 2022, LastPass a été piraté : le service annonce avoir identifié une intrusion sur l’un de ses environnements de développement. Le service indique cependant que les mots de passe maîtres, ainsi que les mots de passe des clients, n’ont pas été atteints.
- Mais fin 2022, LastPass communique sur le fait que des données sensibles ont été dérobées, dont notamment les coffres forts.
Edit de janvier 2023 :
Plusieurs experts en sécurité (et certains de ses concurrents notamment 1Password) ont ouvertement critiqué l’attitude de LastPass et la gestion de l’incident de 2022, notamment sur les points suivants :
- Le fait d’avoir attendu la période des fêtes pour communiquer (période qui est plutôt calme d’un point de vue média)
- Le fait de minimiser le risque sur les données fuitées (notamment : risque pour des utilisateurs qui auraient pris un mot de passe maître peu robuste ; les URL des sites stockées dans le coffre-fort ne sont pas chiffrées, ce qui pose un problème de confidentialité et un risque accru d’attaques ciblées par les pirates sur les données des coffres volées (concentration des efforts sur les utilisateurs dont les coffres comprennent des sites financiers, de cryptomonnaies, etc.), + risque d’attaque ciblée par phishing)
Pour les utilisateurs de LastPass, il est probablement recommandé de choisir un nouveau service de gestionnaire de mots de passe, et de changer ses mots de passe sur l’ensemble des sites (ou au moins les plus sensibles : banques et financiers, administratif, mails, etc.) à partir de ce nouveau gestionnaire de mots de passe.
Comment sécuriser au mieux son gestionnaire de mots de passe
Votre gestionnaire de mots de passe comporte l’ensemble de votre vie numérique. Il est donc primordial de bien le sécuriser.
Le mot de passe maître
Vous l’aurez compris, le mot de passe maître est la pièce maîtresse de la sécurité de votre gestionnaire de mots de passe.
Vous devez donc être particulièrement vigilant sur le choix de ce mot de passe maître. Un bon mot de passe est :
- long (souvenez-vous de l’infographie en début d’article)
- unique
- aléatoire
L’une des méthodes possibles pour définir un mot de passe robuste est de mémoriser une phrase et de construire votre mot de passe sur cette phrase en en prenant des fragments, des débuts de mots, en jouant sur les minuscules, majuscules, caractères spéciaux et chiffres.
Et n’oubliez jamais ce mot de passe principal! Un bon gestionnaire de mot de passe ne propose pas d’option de récupération : en cas d’oubli de votre mot de passe principal, vous ne pourrez plus accéder à l’ensemble de vos mots de passe.
La double authentification
Vous pourrez activer sur la majorité des gestionnaires de mots de passe, la fonction de double authentification. En complément du mot de passe maître, si vous vous connectez depuis un nouveau périphérique, le service vous demandera un 2ème moyen de connexion, par exemple :
- cliquer sur un lien envoyé sur votre adresse mail
- taper un code envoyé par SMS
- saisir un code temporaire généré par une application mobile (Google Authenticator, Authy, etc.)
- insérer une clé USB de double authentification (telle que la Yubikey)
La double authentification est de manière générale recommandée pour tous les comptes (mails, réseaux sociaux, cloud, etc.) dès lors qu’elle est proposée par le service. Mais gardez toujours en tête qu’en activant cette fonctionnalité, vous devrez pouvoir toujours accéder à cette 2ème authentification demandée (même en cas de vol de smartphone, perte de la clé USB, problème d’accès à sa messagerie, etc.)
Comment le Zero Knowledge assure la sécurité de vos mots de passe sur le cloud
Un point essentiel pour tous les services qui passent par un cloud pour synchroniser les données, c’est le zero knowledge (connaissance nulle). Concrètement, cela signifie :
- que vos données sont cryptées en local sur votre périphérique
- puis envoyées déjà cryptées sur le serveur cloud
- à aucun moment, l’éditeur du gestionnaire de mot de passe ne connaît la clé de décryptage de vos données
Si les serveurs se font attaquer, les pirates récupèreront des données cryptées, sans jamais pouvoir accéder à la clé de décryptage, car l’éditeur lui-même ne la connaît pas. C’est pour cela que l’on parle de « Zero Knowledge ».
Conclusion
Utiliser un gestionnaire de mots de passe est vital pour sécuriser sa vie numérique. Il permet en effet de générer des mots de passes robustes et uniques par compte.
Sans gestionnaire de mots de passe, vous utilisez le même mot de passe sur plusieurs comptes. En cas de fuite de données d’un site, c’est l’ensemble de vos autres comptes qui se retrouvent compromis.
Des services comme Dashlane, 1Password, ou Bitwarden sont faciles d’utilisation et suffisent pour la très grande majorité des utilisateurs. Ils offrent notamment la synchronisation entre périphériques et les sauvegardes grâce à leur cloud intégré. Bitwarden est le moins cher et open source. Dashlane et 1Password sont un peu plus chers, et proposent des fonctionnalités plus avancées. Ces services sont sérieux et font périodiquement des audits de sécurité. L’approche Zero Knowledge permet d’assurer une sécurité satisfaisante compte-tenu de l’utilisation du cloud.
Pour les utilisateurs les plus exigeants en termes de sécurité et de vie privée, KeePassXC permet de garder le contrôle sur le lieu de stockage des données. Cela engendre en revanche une complexité d’utilisation bien plus importante. Ce type de gestionnaire de mots est probablement à réserver pour des personnes avec des besoins très spécifiques en termes de risque (journalistes, politiques, etc.).
LastPass n’est plus à recommander depuis fin 2022.
Les incidents de sécurité de LastPass ne doivent pas pour autant dissuader d’utiliser un gestionnaire de mots de passe aujourd’hui. Le risque de ne pas utiliser un gestionnaire de mots de passe aujourd’hui est très probablement plus dangereux que l’incident rencontré autour de LastPass.
Dernière mise à jour : janvier 2023 (article publié initialement en mars 2019)
Cet article comporte des liens affiliés vers des sites marchands. Si ce blog vous a été utile dans votre recherche, n’hésitez pas à passer par ces liens en cas d’achat. Le blog touchera ainsi une petite commission de la part du site marchand, sans aucun surcoût pour vous. Vous contribuez ainsi à donner un coup de pouce à ce blog pour le maintenir sans publicité.
