Les mots de passe peuvent exposer à des risques importants en cas de mauvaise utilisation. Le gestionnaire de mots de passe est un outil permettant de respecter les bonnes pratiques en matière de sécurité numérique.
Les principaux enjeux et risques avec les mots de passe
1. Des mots de passe de plus en plus nombreux
En 2022, une étude réalisée par We Are Social et Hootsuite, sur l’usage d’internet dans le monde, révèle les chiffres suivants :
- 63% de la population mondiale utilisent internet
- Le temps moyen passé sur internet est de 7h par jour
Notre vie de plus en plus connectée entraîne une augmentation croissante du nombre de comptes en ligne que nous devons gérer. Une autre étude, réalisée par Dashlane en 2022 (l’un des principaux fournisseurs de gestionnaire de mots de passe), révèle ainsi qu’un internaute possède en moyenne 240 comptes nécessitant un mot de passe.
Il s’agit là d’un véritable défi pour l’internaute : comment gérer l’ensemble de ses identifiants et ses mots de passe ?
Par ailleurs, il est fortement recommandé de respecter les 2 bonnes pratiques suivantes avec les mots de passe pour sa sécurité numérique :
- utiliser un mot de passe unique pour chaque compte
- générer des mots de passe aléatoires et forts (c’est à dire comportant un nombre élevé de caractères)
2. Des mots de passe uniques sur chaque compte
Il est primordial pour sa sécurité de ne pas réutiliser le même mot de passe sur différents comptes.
En effet, différents sites se font pirater chaque année avec des fuites de données. Dès lors, le login associé à son mot de passe pour ce site sont intégrés dans des bases de données de login/mots de passe qui circulent ou sont mises en vente sur le web. Tous les autres comptes qui utiliseraient le même login et mot de passe se retrouvent alors compromis.
3. Des mots de passe forts
Pour se prémunir des attaques par brute force, il convient d’utiliser un nombre élevé de caractères.
Dans une attaque par brute force, le pirate tente en effet de trouver le mot de passe en essayant toutes les combinaisons possibles de caractères. Plus le nombre de caractères est important, et plus il lui faudra de la puissance de calcul et du temps pour trouver cette combinaison.
Selon la table ci-de-dessus, avec les puissances de calcul disponibles en 2022, un mot de passe de 10 caractères comportant des nombres et des lettres majuscules et minuscules, peut être trouvé en seulement 3 semaines par une attaque par brute force. Alors qu’avec 12 caractères, il faudra 200 ans.
Pourquoi utiliser un gestionnaire de mots de passe
Un gestionnaire de mots de passe est un outil permettant de stocker de manière sécurisée l’ensemble de vos identifiants et mots de passe.
Il permet de répondre aux enjeux de sécurité et d’utilisation décrits ci-dessus.
Avec un gestionnaire de mots de passe, l’ensemble de vos mots de passe sont stockés dans un coffre-fort numérique sécurisé. Il est protégé par un unique mot de passe, appelé mot de passe maître. Vous concentrez vos efforts de mémorisation sur ce mot de passe principal uniquement. Il doit être le plus robuste possible et utilisé uniquement pour votre gestionnaire de mots de passe.
1. Une sécurité renforcée
Le gestionnaire de mots de passe stocke l’ensemble de vos identifiants et mots de passe de manière chiffrée.
Ce mode de stockage est bien plus sécurisé que de stocker des identifiants directement dans un navigateur internet (ou pire, dans un fichier Excel ou un fichier texte : à éviter absolument !)
Grâce au stockage chiffré du gestionnaire de mots de passe, même si un pirate met la main sur le fichier de base de données, il ne pourra pas le lire sans avoir la clé de déchiffrement. Et cette clé de déchiffrement est votre mot de passe maître, celui qui vous permet d’ouvrir votre coffre fort numérique.
Comme vous n’avez que le mot de passe maître à mémoriser, le gestionnaire de mots de passe vous permet :
- de générer des mots de passe uniques par compte
- d’utiliser des mots de passe forts, comportant un nombre élevé et aléatoire de caractères
Le gestionnaire de mots de passe vous permet aussi de réduire le risque de compromission en cas de violation de données d’un site, et de limiter le risque d’attaque par brute force. Certains gestionnaires de mots de passe sont même capables de vous alerter quand vous avez utilisé le même mot de passe sur plusieurs comptes enregistrés.
Avec les fonctionnalités de saisie automatique, le gestionnaire de mots de passe permet aussi de renforcer la sécurité face au risque de phishing (hameçonnage). En effet, en cas de visite d’un site web de phishing avec une adresse qui ressemble à un site légitime mais qui n’est pas l’adresse originale, le gestionnaire de mots de passe ne vous proposera pas la saisie automatique de votre mot de passe sur la page visitée. C’est une bonne alerte. Certains gestionnaires de mots de passe vont même à vous alerter si vous faites une copie manuelle de votre mot de passe, sur un site dont l’adresse ressemble à un identifié mémorisé mais n’est pas la bonne adresse.
Enfin, de nombreux gestionnaires de mots de passe offrent une fonction de synchronisation entre vos différents périphériques . Du point de vue sécurité, ce mode de fonctionnement a l’avantage de permettre des sauvegardes automatiques de vos identifiants. Ainsi, même en cas de panne de votre périphérique, vous avez la certitude de ne pas perdre vos mots de passe.
2. Une gestion simplifiée
En consolidant tous les mots de passe en un seul endroit sécurisé, le gestionnaire de mots de passe élimine le besoin de mémoriser les différents mots de passe. Vous vous connectez à votre gestionnaire de mots de passe principal avec un unique mot de passe fort, et il se chargera du reste. Vous gagnez ainsi du temps.
De plus, les gestionnaires de mots de passe modernes offrent souvent une fonctionnalité de remplissage automatique. Le gestionnaire de mots de passe peut automatiquement remplir les champs de connexion lors de la visite sur un site. De même, en cas de création de nouveau compte, le gestionnaire de mots de passe pourra vous proposer de générer un mot de passe aléatoire et de l’enregistrer automatiquement dans la liste de ses identifiants.
Enfin, le gestionnaire de mots de passe apporte une vision exhaustive de l’ensemble des comptes que vous avez créés, en centralisant vos données. Vous pourrez ainsi par exemple identifier des anciens comptes que vous n’utilisez plus, et décider de les fermer si vous le souhaitez pour diminuer votre empreinte numérique.
3. Un usage synchronisé pour une meilleure mobilité
L’une des difficultés récurrentes que l’on rencontre aujourd’hui, c’est de pouvoir accéder depuis différents périphériques à ses mots de passe :
- soit pour se connecter à un compte existant
- soit quand vous créez un nouveau compte, par exemple depuis votre smartphone, et que vous voudrez ensuite vous y connecter depuis votre PC.
La majorité des gestionnaires de mots de passe propose une synchronisation entre périphériques grâce au cloud. Cela vous garantit d’accéder à vos mots de passe de partout, et d’enregistrer tous vos nouveaux identifiants dans la même base de données, peu importe depuis quel périphérique vous créez ces identifiants.
Quelques considérations de sécurité
Votre gestionnaire de mots de passe comporte l’ensemble de votre vie numérique. Il est donc primordial de bien le sécuriser.
1. Choisir un gestionnaire de mots de passe fiable et réputé
Confier l’ensemble de ses identifiants de connexion à un service tiers peut inquiéter de prime abord. Pourtant, le bénéfice pour sa sécurité numérique est bien plus grand que les risques inhérents à ne pas vouloir utiliser un gestionnaire de mots de passe.
Le conseil néanmoins est de choisir un gestionnaire de mots de passe fiable et réputé. Pour vous aider dans ce choix, j’ai listé les meilleurs gestionnaires de mots de passe actuels.
2. Choisir un mot de passe maître solide et le conserver précieusement
Vous l’aurez compris, le mot de passe maître est la pièce maîtresse de la sécurité de votre gestionnaire de mots de passe.
Vous devez donc être particulièrement vigilant sur le choix de ce mot de passe maître. Un bon mot de passe est :
- long (souvenez-vous de l’infographie en début d’article)
- unique
- aléatoire
L’une des méthodes possibles pour définir un mot de passe robuste est de mémoriser une phrase et de construire votre mot de passe sur cette phrase en en prenant des fragments, des débuts de mots, en jouant sur les minuscules, majuscules, caractères spéciaux et chiffres.
Ce mot de passe maître doit rester confidentiel. Ne l’écrivez surtout dans un fichier en clair ou dans un mail!
Et n’oubliez jamais ce mot de passe principal. En cas d’oubli de votre mot de passe principal, vous ne pourrez plus accéder à l’ensemble de vos mots de passe.
3. Activer la double authentification
Vous pourrez activer sur la majorité des gestionnaires de mots de passe, la fonction de double authentification. En complément du mot de passe maître, si vous vous connectez depuis un nouveau périphérique, le service vous demandera un 2ème moyen de connexion, par exemple :
- cliquer sur un lien envoyé sur votre adresse mail
- taper un code envoyé par SMS
- saisir un code temporaire généré par une application mobile (Google Authenticator, Authy, etc.). J’ai listé dans un autre article les meilleures applications de double authentification à utiliser.
- insérer une clé USB de double authentification (telle que la Yubikey)
La double authentification est de manière générale recommandée pour tous les comptes (mails, réseaux sociaux, cloud, etc.) dès lors qu’elle est proposée par le service. Donc elle est fortement recommandée pour protéger votre gestionnaire de mots de passe compte-tenu de l’importance des données. Mais gardez en tête qu’en activant cette fonctionnalité, vous devrez pouvoir toujours accéder à cette 2ème authentification demandée (même en cas de vol de smartphone, perte de la clé USB, problème d’accès à sa messagerie, etc.)
4. Choisir un gestionnaire de mots de passe à connaissance nulle
Un point essentiel pour tous les services qui passent par un cloud pour synchroniser les données, c’est le zero knowledge (connaissance nulle). Concrètement, cela signifie :
- que vos données sont chiffrées en local sur votre périphérique
- puis envoyées déjà chiffrées sur le serveur cloud
- à aucun moment, l’éditeur du gestionnaire de mot de passe ne connaît donc la clé de déchiffrement de vos données
Ainsi, si les serveurs du gestionnaire de mots de passe se font attaquer, les pirates récupèreront des données chiffrées, sans jamais pouvoir accéder aux clés de déchiffrement (l’éditeur lui-même du gestionnaire de mots de passe ne la connaît pas). C’est pour cela que l’on parle de « connaissance nulle ».
Conclusion
La protection de nos informations personnelles commence par de bonnes habitudes de sécurité, et un gestionnaire de mots de passe en est un élément essentiel dans notre arsenal numérique.
Le gestionnaire de mots de passe permet en effet de :
- stocker de manière sécurisée ses identifiants et mots de passe
- générer des mots de passe forts pour se prémunir des attaques par brute force
- générer des mots de passe uniques par comptes, pour réduire le risque de compromission d’autres comptes en cas de violation de données
- faciliter la gestion des mots de passe au quotidien (saisie automatique, synchronisation entre périphériques)
- stocker de manière sécurisée ses identifiants et mots de passe
- générer des mots de passe forts pour se prémunir des attaques par brute force
- générer des mots de passe uniques par comptes, pour réduire le risque de compromission d’autres comptes en cas de violation de données
- faciliter la gestion des mots de passe au quotidien (saisie automatique, synchronisation entre périphériques)