Accueil Guides d'achat Gestionnaire de mots de passe : pourquoi vous devez l'utiliser et lequel...

Gestionnaire de mots de passe : pourquoi vous devez l’utiliser et lequel choisir

L’utilisation d’un gestionnaire de mots de passe est aujourd’hui recommandée pour sécuriser sa vie numérique. Du célèbre Keepass aux nouveaux services payants comme Dashlane et Lastpass, Trouvez dans ce comparatif détaillé le gestionnaire de mots de passe le mieux adapté à votre besoin.

Pourquoi vous devez utiliser un gestionnaire de mots de passe

Un gestionnaire de mots de passe mémorise l’ensemble de vos mots de passe, eux-mêmes protégés par un unique mot de passe.

Pour chaque compte, le gestionnaire génère un mot de passe aléatoire que vous n’avez pas besoin de retenir.

L’ensemble de vos mots de passe sont protégés par un unique mot de passe, appelé mot de passe maître. Vous concentrez ainsi tous vos efforts de mémorisation sur ce mot de passe principal, le plus robuste possible.

Ensuite, vous ne vous souciez plus de tous les mots de passe pour vos différents comptes. C’est votre gestionnaire de mots de passe qui les gère pour vous.

En quelques mots : le gestionnaire de mots de passe assure un confort d’utilisation et améliore grandement la sécurité de votre vie numérique.

Au fil des années, vous accumulez des dizaines voire des centaines de comptes différents. Or il est fortement déconseillé d’utiliser le même mot de passe sur tous vos comptes.

Pourquoi? Parce que de nombreux sites se font pirater chaque année. Dès lors, votre login associé à votre mot de passe pour ce site se retrouvent dans la nature. Ils sont intégrés dans des bases de données mises à disposition des pirates. Si vous utilisez le même mot de passe sur d’autres sites, alors l’ensemble de vos comptes se retrouvent compromis. Parfois sans même que vous ne le sachiez. Même si les sites ont normalement obligation de communiquer en cas de fuites de données, tous ne le font pas.


25% des internautes utilisent le même mot de passe pour tous leurs comptes. Seuls 8% des internautes utilisent un gestionnaire de mots de passe.
CNIL / Médiamétrie 2018

Il y a quelques jours, Facebook a annoncé avoir découvert que les mots de passes de centaines de millions de comptes ont été stockés en clair chez eux. Des employés de Facebook pouvaient y accéder. En cas d’intrusion sur leurs serveurs, les pirates auraient pu aussi les récupérer. Si vous utilisez le même mot de passe pour tous vos comptes, alors tous vos comptes sont mis en péril. Or il est fastidieux de modifier tous ses mots de passe. Avec un gestionnaire de mots de passe, le problème ne se pose pas. Comme tous vos mots de passe sont uniques, les autres comptes ne sont pas compromis. Vous n’avez qu’à modifier votre mot de passe sur Facebook, en générant un nouveau depuis votre gestionnaire de mots de passe.

Utiliser un mot de passe unique et robuste pour chaque compte est l’une des premières recommandations pour assurer la sécurité de sa vie numérique. Le gestionnaire de mots de passe répond à ce besoin. Car sans lui, il serait impossible de mémoriser tous ses mots de passe différents.

Les critères de choix

Dans cette sélection de gestionnaires de mots de passe, je me suis basé sur les critères suivants:

  • la facilité d’utilisation : l’intégration dans les navigateurs, la saisie et enregistrement automatique, la synchronisation entre plusieurs périphériques (ordinateurs, smartphones)
  • la sécurité : sur ce point je n’ai pas de compétence particulière pour s’assurer qu’une solution est pleinement sécurisé et sans faille. Mon analyse se base donc sur du bon sens. Par exemple: quel est le contexte de création de la solution? Y a t’il eu par le passé des alertes sur la sécurité? La solution est-elle développée par quelques développeurs isolés, ou par une équipe entière? Comment les services communiquent sur leur politique de sécurité? Le code est-il open source ou fermé?
  • le prix : certains sont gratuits, d’autres payants
Le gestionnaire de mots de passe synchronise vos données entre différents périphériques
Avec notre vie numérique ultra connectée, la synchronisation des mots de passe entre les différents périphériques est une fonctionnalité indispensable sur un bon gestionnaires de mots de passe.

Gestionnaire de mots de passe gratuit ou payant : avantages et inconvénients

Quand on parle de gestionnaire de mots de passe gratuit, on pense souvent à Keepass qui existe depuis des années. S’il est gratuit et avec de nombreux avantages, il n’est pas aisé d’utilisation pour le grand public.

D’autres services, comme Dashlane, 1Password, Lastpass, sont payants (de l’ordre de quelques dizaines d’euros par an). Globalement, ces services payants vous promettent tout ce dont vous avez besoin au quotidien :

  • le stockage des mots de passe, avec synchronisation entre périphériques. Ils stockent vos données de manière cryptée sur leurs propres serveurs (contrairement à Keepass qui vous laisse choisir où stocker vos données)
  • la saisie automatique depuis le navigateur (et bien souvent la génération d’un nouveau mot de passe lors de l’inscription sur un site par exemple)
  • un tableau de bord sur l’état de « santé » de vos mots de passe. Cela peut comprendre des alertes sur mot de passe trop faible, ou un mot de passe compromis suite à une fuite de données/attaque d’un site
  • la possibilité de stocker des notes voire des pièces jointes
  • la possibilité de mémoriser ses cartes bancaires

En fait, ces services proposent presque tous une version gratuite, mais qui a beaucoup moins d’intérêt (pas de synchronisation entre périphériques par exemple). C’est pourquoi on n’abordera ici que leurs versions payantes.

Le comparatif des meilleurs gestionnaires de mots de passe

Keepass: un haut niveau de sécurité, au détriment de l’ergonomie et la facilité d’utilisation

Logo KeePass

Keepass est un gestionnaire de mots de passe bien connu, gratuit et Open Source.

Sa grande force: il est réputé pour être l’un des plus sûrs. C’est d’ailleurs le seul dont la sécurité a été auditée par l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information).

  • Keepass est open source, ce qui permet d’auditer son code
  • Keepass permet de garder la maîtrise du lieu de stockage de ses mots de passe. Pour certains, c’est un critère important quand on parle « sécurité ».

La conséquence est qu’il s’adressera à des utilisateurs plus avertis. Son haut niveau de sécurité est sa grande force, mais aussi sa faiblesse pour des utilisateurs grands publics :

  • Keepass ne propose, de base, pas de synchronisation vos mots de passe entre différents périphériques (justement puisqu’il vous laisse maîtriser le lieu de stockage des données). Vous devrez vous-même mettre en oeuvre votre synchronisation: si c’est pour stocker la base de donnée sur un cloud type Dropbox, Onedrive ou GoogleDrive, cela perd donc de son intérêt.
  • Comme Keepass ne propose pas de synchronisation, il n’y a pas de sauvegarde. C’est donc également à vous de vous assurer que vous ne perdrez jamais votre base de données, quoiqu’il arrive.
  • Keepass, toujours dans sa version de base, ne propose pas d’intégration dans les navigateurs Internet. Vous devrez fonctionner avec des copier/coller en allant chercher manuellement le mot de passe dans votre Keepass. Ou utiliser la fonctionnalité de complétion automatique : une fois le curseur placé dans le champ à remplir sur le navigateur, en tapant un raccourci clavier paramétré, Keepass cherche alors si une entrée dans la base de données correspond au titre de la fenêtre, et simule alors la frappe au clavier.
  • Vous pouvez améliorer l’intégration avec les navigateurs grâce à des plugins développés par la communauté. Problème ici: si Keepass a un haut niveau de sécurité et son code a été audité, cela n’est pas forcément vrai pour tous les plugins

Un autre point négatif à évoquer pour Keepass reste son interface qui date un peu.

Interface du gestionnaire de mots de passe gratuit et open source Keepass
L’interface de Keepass a pris un petit coup de vieux

Keepass existe sur Windows en version bureau, ou portabe à installer sur une clé usb par exemple.

Des versions dérivées, proposées par la communauté, existent aussi pour Mac et Linux. De même sur smartphone, que ce soit sur iPhone, ou Android (Keepass2Droid par exemple).

Visitez le site officiel de KeePass

Dashlane: le service tout inclus, qui se paie au prix fort

Logo Dashlane

Les utilisateurs qui veulent privilégier la facilité d’utilisation et l’ergonomie se tourneront vers des services payants. Les grands noms dans ce domaine sont notamment Dashlane, 1Password, et LastPass

Dashlane est probablement le service le plus complet. Son interface est claire, et agréable à utiliser. Il propose notamment des fonctionnalités complémentaires intéressantes :

  • la possibilité de stocker des notes ou pièces jointes de manière sécurisées (jusque 1 Go)
  • les alertes lorsqu’un mot de passe peut être compromis, lorsqu’un site communique sur une fuite de données ou une attaque constatée
  • la surveillance du dark web. Dashlane analyse les données publiées sur le dark web, et vérifie que vos comptes et mots de passe n’en font pas partie
  • la possibilité de changer de mot de passe en 1 clic, pour les principaux sites web
  • un VPN, pour sécuriser sa connexion, par exemple sur les wifi publics
  • le partage de mots de passe avec d’autres personnes, et la possibilité d’ajouter des contacts de confiance à son compte

Dashlane est aussi l’un services les plus chers (environ 40€ par an). On regrette que Dashlane n’ait pas mis certaines fonctionnalités sous forme d’option (surveillance du dark web, VPN notamment).

Tableau de bord du gestionnaire de mots de passe Dashlane
Le tableau de bord de Dashlane, permettant de voir en un coup d’oeil les alertes et mots de passe trop faibles ou compromis

Dashlane est disponible sur Windows et Mac, mais pas sur Linux. Les navigateurs gérés officiellement sont Chrome, Firefox, Internet Explorer, Edge, et Safari. Il est possible d’installer le plugin sur Opera, et autres navigateurs basés sur Chromium, mais cette méthode n’est pas supportée officiellement par l’éditeur.

L’appli mobile est disponible bien entendu sur iOS et Android.

Visitez le site officiel de Dashlane

1Password : un bon choix pour les utilisateurs de Mac et iPhone, à prix modéré

Logo 1Password

L’un des grands avantages de 1Password à mon sens, c’est une fonctionnalité qui s’adresse aux utilisateurs de Mac et iPhone.

Il est possible de synchroniser ses mots de passe entre son Mac et son iPhone via son réseau wifi. La synchronisation se fait alors sur le réseau local, et non via internet. Pour les utilisateurs d’Apple, ça peut être un bon compromis entre un Keepass, et un service un peu plus moderne et agréable à utiliser. Tout en gardant le contrôle sur le lieu de stockage des données.

Pour le reste, 1Password ressemble à Dashlane. Avec quelques fonctionnalités en moins (pas de VPN, pas de surveillance du darkweb).

Une autre fonctionnalité intéressante est le fonctionnement par « coffre-fort ». Vous pouvez gérer différents coffres-forts (vaults en anglais). Un coffre-fort regroupe plusieurs mots de passe. Vous pouvez ainsi gérer par exemple 1 vault « perso » et 1 vault « famille », et décider de partager ce dernier avec vos proches.

Si vous voyagez beaucoup, 1Password propose également une fonctionnalité d’itinérance. Vous supprimez vos données sensibles de votre appareil pendant que vous voyagez. Et vous les restaurez une fois arrivé.

1Password est disponible sur Windows, Mac, Linux, et même ChromeOS pour les possesseurs d’un Chromebook.

Interface du gestionnaire de mots de passe 1Password sous Windows
L’interface de 1Password

Les navigateurs suivants sont supportés : Chrome, Firefox, Opera, Edge.

Côté mobile, on retrouve bien évidemment une application sur iPhone et Android.

Visitez le site officiel de 1Password

Lastpass: l’essentiel à un prix accessible, mais des questions sur l’approche sécurité

Logo LastPass

Lastpass est une solution de gestionnaire de mots de passe très répandue.

Elle offre pour un prix modeste (20€ par an), l’essentiel des fonctions que l’on attend d’un gestionnaire de mots de passe.

L’extension est compatible avec un nombre de navigateurs variés : Chrome, Firefox, Safari, Opera, et Edge.

De même sur smartphone avec une application sur iOS, Android, et même Windows Phone.

Interface de l'extension pour navigateur du gestionnaire de mots LastPass
Interface de LastPass intégrée dans le navigateur internet

Lastpass a fait néanmoins l’objet de plusieurs failles de sécurité par le passé. La question qui se pose est de savoir si Lastpass est moins sécurisé que Dashlane ou 1Password par exemple, ou si au contraire Lastpass est le seul gestionnaire de mots de passe à communiquer sur ce genre de problèmes.

En 2011, Lastpass a détecté sur ses serveurs une activité anormale. Lastpass a alors demandé à ses utilisateurs de modifier leur mot de passe maître. En 2015, Lastpass a également communiqué sur une activité anormale sur ses serveurs, avec une fuite de données (les adresses mails des comptes notamment, mais pas les données chiffrées)

Plus récemment, en 2016 une faille de sécurité a été découverte lors d’un audit de sécurité. Elle permettait de lire en clair un mot de passe, à partir d’un site infecté. La faille a été communiquée au public après correction de l’application.

En 2017, un chercheur de Google a également mis au jour une vulnérabilité dans l’extension Lastpass, qui permettait d’accéder aux mots de passe. L’application a été corrigée avant publication de la faille.

Un des points majeurs dans l’approche sécurité de Lastpass, c’est que ce service propose un processus de récupération de compte en cas d’oubli du mot de passe maître. Cette fonctionnalité est activable ou non. En cas d’oubli du mot de passe maître, un SMS peut vous être envoyé sur le numéro de téléphone pré-renseigné (ou un mail), pour réinitialiser le mot de passe.

La fonctionnalité de récupération de mot de passe maître peut être rassurante. Mais elle pourrait aussi permettre à une autre personne de contourner votre mot de passe (par exemple en dérobant votre téléphone, ou en obtenant un double de votre carte SIM pour recevoir les SMS à votre place). C’est un élément majeur à prendre en compte dans le choix du gestionnaire de mots de passe.

Par ailleurs, je n’ai toujours pas compris comment comment fonctionnait sur le principe cette récupération de mot de passe maître . Lastpass indique en effet être en « Zero Knowledge« , c’est à dire ne pas avoir la possibilité de décrypter vos données. Or ici, il semble que d’une manière ou d’une autre, les données sont décryptées pour être recryptées à nouveau.

Visitez le site officiel de LastPass

Bitwarden : une solution encore récente, avec une grande compatibilité, en open source, et gratuit

Logo BitWarden

Enfin, certaines solutions plus récentes sont intéressantes et à surveiller. On note notamment Bitwarden, et est Open Source.

BitWarden intègre de base la synchronisation entre périphériques, et est compatible avec une multitude de navigateurs. Y compris certains navigateurs moins répandus comme Vivaldi, Brave, ou Tor Browser. Pour les OS d’ordinateurs, et smartphones, Bitwarden s’adapte également à tous les usages (Windows, Mac, Linux, iOS, Android).

Ce gestionnaire de mots de passe a de nombreux commentaires positifs.

Mais attention, notez que Open Source ne veut pas forcément dire « sécurité absolue ». A ce propos, une faille détectée par le passé sur BitWarden avait provoqué de nombreux échanges sur internet sur la façon dont l’équipe de développement avait réagi. Equipe de développement qui d’ailleurs est assez restreinte.

La solution est encore récente, donc peut être moins sécurisée. Il y a encore quelques temps, elle n’avait pas fait l’objet d’un audit de sécurité par une entreprise spécialisée. Il semble que cela soit désormais fait, depuis novembre 2018.

L’autre grande force de Bitwarden est clairement son prix : gratuit. Pas de frais cachés. Pas de période d’essai limitée dans le temps.

Interface du gestionnaire de mots de passe gratuit et open source Bitwarden
Interface du récent gestionnaire de mots de passe gratuit et open source BitWarden

Si vous souhaitez soutenir cette solution, sachez que vous pourrez passer sur la version « premium » pour 10 dollars par an. Cela vous permettra par ailleurs de débloquer quelques fonctionnalités annexes, mais vraiment pas indispensables pour un gestionnaire de mots de passe (1Go pour y stocker des pièces jointes, double authentification compatible Yubikey, etc.)

Visitez le site officiel de Bitwarden

Quelques conseils complémentaires de sécurité

Vous l’aurez compris, il est donc primordial de choisir un mot de passe maître robuste pour son gestionnaire de mots de passe. Pour ce faire, vous pouvez suivre les conseils de la CNIL pour générer un bon mot de passe.

Le principe est assez simple : vous mémorisez une phrase et construisez votre mot de passe sur cette phrase en en prenant des fragments, en jouant sur les minuscules, majuscules, caractères spéciaux et chiffres..

Et n’oubliez jamais ce mot de passe principal! Un bon gestionnaire de mots de passe ne propose pas d’option de récupération : en cas d’oubli de votre mot de passe principal, vous ne pourrez plus accéder à l’ensemble de vos mots de passe.

Par ailleurs, vous pourrez activer sur la majorité des gestionnaires de mots de passe, la fonction de double authentification. En complément du mot de passe maître, si vous vous connectez depuis un nouveau périphérique, le service vous demandera un 2ème moyen de connexion, par exemple :

  • cliquer sur un lien envoyé sur votre adresse mail
  • taper un code envoyé par SMS
  • saisir un code temporaire généré par une application mobile (Google Authenticator, Authy, etc.)
  • insérer une clé USB de double authentification, comme par exemple la célèbre clé Yubikey

La double authentification est de manière générale recommandée pour tous les comptes (mails, réseaux sociaux, cloud, etc.) dès lors qu’elle est proposée par le service. Mais gardez toujours en tête qu’en activant cette fonctionnalité, vous devrez pouvoir toujours accéder à cette 2ème authentification demandée (même en cas de vol de smartphone, perte de la clé USB, problème d’accès à sa messagerie, etc.)

Sécurité et synchronisation de vos mots de passe : Zero Knowledge ou maîtrise du lieu de stockage

Dans tous les cas, un bon gestionnaire de mots de passe crypte vos données par le mot de passe maître. Indépendamment de l’endroit où sont stockées les données de manière chiffrée.

Néanmoins un point essentiel entre un service tel que Keepass et les services de type Dashlane, LastPass, 1Password, est le lieu de stockage de ces données. Les 2 approches sont différentes :

  • Avec Keepass, vous avez la pleine maîtrise du lieu de stockage. Par conséquent, la solution ne propose pas de base la synchronisation entre périphériques, et la sauvegarde sur différents serveurs dans le monde.
  • Avec les autres services qui intègrent de base ces fonctionnalités, l’utilisation est plus facile, mais vous ne pouvez pas choisir le lieu de stockage. Vos données partent dans le cloud (de manière cryptée), sur les serveurs choisis par le gestionnaire de mot de passe

Pour les plus exigeants en termes de sécurité, ce dernier point est rédhibitoire, car ils ne conçoivent pas ne pas pouvoir maîtriser le stockage de la donnée.

Est-ce à dire que les autres solutions comme Dashlane, 1Password, ne sont sécurisées? Non, pas forcément, car l’approche est différente.

Ces services mettent en avant le Zero Knowledge. Concrètement, cela signifie :

  • que vos données sont cryptées en local sur votre périphérique
  • puis envoyées déjà cryptées sur le serveur cloud
  • à aucun moment, l’éditeur du gestionnaire de mots de passe ne connaît la clé de décryptage de vos données
Le Zero Knowledge permet de crypter localement les données de votre gestionnaire de mots de passe
Le Zero Knowledge consiste à crypter localement vos données avant envoi dans le cloud. Ainsi, si les serveurs du gestionnaire de mots se font attaquer, les données sont cryptées et les pirates ne trouveront pas sur ces serveurs la façon de les décrypter.

Si ses serveurs se font attaquer, les pirates récupèreront des données cryptées, sans jamais pouvoir accéder à la clé de décryptage, car l’éditeur lui-même ne la connaît pas. C’est pour cela que l’on parle de « Zero Knowledge ». L’éditeur du gestionnaire de mots de passe n’a pas la connaissance pour pouvoir décrypter vos données.

C’est là où les discussions en termes de sécurité peuvent avoir lieu. D’abord, ces gestionnaires de mots de passe ne sont généralement pas Open Source. Le code n’étant pas public, il est impossible de vérifier vraiment que le gestionnaire est « Zero Knowledge ». C’est ici une question de confiance avec la société.

Ensuite, si des pirates accèdent aux données, même cryptées, certains peuvent dire qu’il reste possible de décrypter cette donnée, avec un certain temps et puissance de calcul. Généralement cela prendra plusieurs années ou dizaines d’années.

C’est par rapport à cette durée que les services payants mettent en avant leur argumentaire. Le temps nécessaire pour décrypter 1 portefeuille de mot de passe est très important. Par conséquent, une attaque massive a peu d’intérêt. Les pirates récupéreraient plusieurs dizaines de milliers de portefeuilles cryptés, qui n’ont aucune valeur. En effet, il faudrait des siècles ou millénaires pour décrypter l’ensemble de ces données.

Chacun pourra se faire son avis sur la question. Ce qui reste sûr, c’est qu’il convient de s’assurer que la solution est Zero Knowledge, avec cryptage en local côté client. Par ailleurs, il reste important d’aller lire un peu la documentation fourni par le service sur leur démarche sécurité (façon dont ils protègent leurs serveurs, niveau de cryptage, etc.)

En synthèse : tableau comparatif

KeepassDashlane 1Password LastPassBitWarden
+open source et gratuit, sécurité
complet, agréable, réputé sérieux prix correct, synchronisation en local pour utilisateurs Apple
prix attractif, fonctionnalités de base open source et gratuit, compatibilité étendue avec les navigateurs
utilisateurs avertis, interface vieillissante prix élevé, code fermé, certaines fonctionnalités non indispensables code fermécode fermé, interrogations sur la sécuritésolution récente qui doit encore faire ses preuves, équipe de dév réduite
Voir le test de KeepassVoir le test de DashlaneVoir le test de 1PasswordVoir le test de LastPassVoir le test de BitWarden

Kevin
Kevin
Créateur et rédacteur du blog, enthousiaste des nouvelles technologies.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

A propos

Bonjour et bienvenue sur ce blog! Je suis Kevin, un enthousiaste des nouvelles technologies. Je livre ici des conseils pour bien réussir vos achats high-tech, et des astuces pour mieux gérer votre vie numérique au quotidien.

A propos | Contact

Articles les plus vus

4K : ce qu’il faut savoir avant d’acheter une TV UHD

Les téléviseurs 4K sont devenus omniprésents dans les rayons des magasins. La 4K, c'est cette nouvelle résolution d'image que les constructeurs ont mis au...

Wifi: comment augmenter la vitesse et la portée du signal ?

Améliorez la portée et la vitesse du Wifi en modifiant un paramètre de votre box En matière de Wifi, on conserve bien souvent le paramétrage par défaut de...

Prise parafoudre : test de la multiprise APC SurgeArrest Essential de Schneider Electric

Trop souvent oubliée dans une installation informatique ou TV-Hifi, la prise parafoudre est pourtant la dernière barrière pour protéger vos précieux équipements...

Faut-il acheter une TV OLED, ou préférer une TV LED moins chère ?

Comment choisir entre une TV LED et une TV OLED lors de l'achat d'un téléviseur neuf ? LG était un des premiers...

Les 3 meilleures alternatives gratuites à Microsoft Office

Avec Word, Excel et PowerPoint, Microsoft Office est la suite bureautique la plus célèbre. Elle est néanmoins payante et relativement chère, que ce soit...

Suivez nous