Un gestionnaire de mots de passe, est-ce que ça vaut la peine?

Sécurité informatique

Exclusif

Les gestionnaires de mots de passe vous promettent de mieux gérer la sécurité de vos identifiants numériques. Mais est-ce vraiment le cas?

Comme je l’ai mentionné dans mon article précédent, cela fait quelques fois que des lecteurs me demandent de discuter de la question des gestionnaires de mots de passe. C’est vrai qu’il en existe beaucoup et qu’ils demeurent malgré tout relativement méconnus des utilisateurs moyens. Je vais donc tenter de vous expliquer comment le tout fonctionne, et surtout, comment les utiliser.

Quossa mange en hiver, un gestionnaire de mots de passe?

Bon, en résumé, un gestionnaire de mots de passe, c’est un logiciel qui a essentiellement trois principaux objectifs.

Tout d’abord, il vise à regrouper tous vos mots de passe dans un seul et même endroit, et ce, pour en faciliter la gestion. Il vous permet notamment d’avoir une vue d’ensemble de tous vos accès. Le tout est généralement placé dans une espèce de «conteneur» chiffré qui doit être déchiffré par le logiciel avec votre mot de passe maître. Cela signifie que ce conteneur peut être placé à différents endroits – pour des copies de sauvegarde, par exemple.

Comme le gestionnaire fait du remplissage automatique, il permet de contourner la surveillance d’un logiciel de capture de frappes pouvant être présent sur votre ordinateur.

Ensuite, il vous permet d’en choisir des longs et complexes, sans pour autant avoir à vous soucier de les retenir par cœur. Cet avantage augmente considérablement votre sécurité, car vous êtes en mesure de choisir d’excellents mots de passe, en plus de les varier selon chaque service web sur lequel vous êtes inscrit. En d’autres mots, vous pouvez plus facilement appliquer la règle de «un mot de passe unique par service», vous protégeant ainsi d’un piratage de masse dans l’éventualité qu’un de ces services soit victime de piratage. Arrêtez, je le sais que vous avez tendance à utiliser un même mot de passe à plusieurs endroits différents, et ne me faites pas croire le contraire.

Enfin, et c’est probablement la force dudit logiciel, il vous permet d’utiliser vos mots de passe à la volée en employant simplement votre mot de passe maître, sans avoir à les taper manuellement sur le site qui vous demande de vous authentifier. Comme le logiciel fait du remplissage automatique sur votre navigateur, cette méthode permet de contourner la surveillance d’un logiciel de capture de frappes pouvant être présent sur votre ordinateur. Son utilisation permet aussi d’éviter l’hameçonnage, car le logiciel va reconnaître si vous avez déjà inscrit vos informations de connexion sur le site que vous visitez. Si ce n’est pas le cas, le gestionnaire de mots de passe refusera tout simplement de vous y authentifier.

Calculer les risques

«Oui, mais avoir tous ses mots de passe au même endroit, ça me semble dangereux, non?»

C’est certain que c’est un risque à prendre. Rien n’est parfait dans le merveilleux monde de la sécurité. Par exemple, si vous oubliez votre mot de passe maître, bien disons que vous êtes pas mal dans la chenoute. Certains gestionnaires de mots de passe vous permettent de récupérer le tout d’une autre façon, mais ce n’est pas toujours simple, et en plus, cette fonction représente une vulnérabilité supplémentaire potentielle au système. En sécurité, offrir une porte à quelqu’un est toujours un risque, et ce, même si ladite porte est verrouillée.

1password

Aussi, c’est clair que si une partie tierce finit par accéder à votre «conteneur», il est toujours possible qu’elle finisse par le décrypter. Il faut donc vérifier que le gestionnaire que vous choisissez offre une méthode de chiffrement solide, mais surtout, il faut que votre mot de passe maître soit extrêmement rigide. Pour ma part, mon mot de passe maître a 21 caractères. Ça vous donne une idée!

Il faut également comprendre qu’un gestionnaire de mots de passe est un compromis entre une utilisation simple et une utilisation sécuritaire. Bien malheureusement, les solutions de sécurité ne sont généralement pas vraiment conviviales pour la moyenne des ours, faisant en sorte de rendre le tout plus fastidieux dans une utilisation quotidienne. Les gestionnaires de mots de passe sont donc construits de manière à avoir un certain équilibre entre une utilisation relativement simple et une sécurité accrue. Oui, leur utilisation vous ralentira, mais c’est définitivement mieux que rien.

Lequel choisir?

La discussion qui découle de cette question pourrait véritablement être interminable. Il en existe des payants, mais il y en a aussi des gratuits. Personnellement, j’ai opté pour la solution payante avec 1Password qui, d’ailleurs, est développée au Canada. Cependant, il existe d’autres solutions tout aussi fiables. Je vous refile ce comparatif effectué par PC Mag qui est assez intéressant.

Est-ce pour moi?

Bien sûr que oui! Les gestionnaires de mots de passe font désormais partie de la catégorie des outils qui devraient être entre les mains de tous les internautes, mais qui demeurent encore méconnus.

Je suis convaincu que si vous faites l’exercice de colliger tous les endroits où vous avez laissé des identifiants numériques, vous serez surpris de la taille de votre empreinte numérique. Or, si en plus ces identifiants sont les mêmes sur plusieurs sites, dites-vous que c’est un risque de piratage de masse de vos données. C’est l’équivalent que d’utiliser la même clé pour votre maison, votre bureau, votre voiture, et votre coffre bancaire. Vous ne voulez pas ça.

  • Miguel

    Excellent article ! Pour ma part, j’utilisais Passwordbox, mais je suis passé à LastPass dû à la fin de son support, version premium à 12$ par an. J’adore, il est très complet. Je peux accéder à mes mots de passe à partir de mon téléphone en déverrouillant l’application via mon emprunte digital.

    Il pourrait être intéressant de parler de l’authentification en deux étape si ça n’a jamais été fait. C’est une bonne solution de sécurité supplémentaire. J’utilise depuis peu Authy, beaucoup mieux que Google Authenticator, puisque même en restaurant son téléphone, les codes sont synchronisé sur des serveurs et il y a une application Google Chrome pour accéder à un code via le PC.

  • Éric Jacques

    Personnellement j’ai utilisé Keepass longtemps, mais plutot limité a Windows et interface peu ‘moderne’. Je me suis tournée vers Enpass. Version Mac et Windows gratuit et 10$ pour la version iPhone/iPad. Il sont très actif sur Twitter et font des MAJs fréquentes. Vraiment satisfait du produit!

    • LeTechnophile

      Je me sers encore de KeePass et je trouvais dommage qu’il ne soit pas listé sur PCMag. Je vais jeter un coup d’oeil à Enpass.

  • Henri_MTL

    Mon gestionnaire de mots de passe est gratuit et s’appelle Notepad :) Associé à OneDrive, ça fait la job !

    • Patrick

      Tout hacker et malware serait heureux d’avoir facilement accès à ce fichier quand il est ouvert!

      • Henri_MTL

        Au plaisir, va déjà me trouver parmi les milliards de connectés, lol tous ces logiciels de gestion de password c’est aussi efficace qu’un logiciel antivirus, passe ton chemin !

        • http://bloguedegeek.net/ Alexandre Vallières-Lagacé

          On respire, svp?

          ░░░░░▄▄▄▄▀▀▀▀▀▀▀▀▄▄▄▄▄▄░░░░░░░
          ░░░░░█░░░░▒▒▒▒▒▒▒▒▒▒▒▒░░▀▀▄░░░░
          ░░░░█░░░▒▒▒▒▒▒░░░░░░░░▒▒▒░░█░░░
          ░░░█░░░░░░▄██▀▄▄░░░░░▄▄▄░░░░█░░
          ░▄▀▒▄▄▄▒░█▀▀▀▀▄▄█░░░██▄▄█░░░░█░
          █░▒█▒▄░▀▄▄▄▀░░░░░░░░█░░░▒▒▒▒▒░█
          █░▒█░█▀▄▄░░░░░█▀░░░░▀▄░░▄▀▀▀▄▒█
          ░█░▀▄░█▄░█▀▄▄░▀░▀▀░▄▄▀░░░░█░░█░
          ░░█░░░▀▄▀█▄▄░█▀▀▀▄▄▄▄▀▀█▀██░█░░
          ░░░█░░░░██░░▀█▄▄▄█▄▄█▄████░█░░░
          ░░░░█░░░░▀▀▄░█░░░█░█▀██████░█░░
          ░░░░░▀▄░░░░░▀▀▄▄▄█▄█▄█▄█▄▀░░█░░
          ░░░░░░░▀▄▄░▒▒▒▒░░░░░░░░░░▒░░░█░
          ░░░░░░░░░░▀▀▄▄░▒▒▒▒▒▒▒▒▒▒░░░░█░
          ░░░░░░░░░░░░░░▀▄▄▄▄▄░░░░░░░░█░░

      • Henri_MTL

        et puis c’est quoi ton trip de tarla du trou du cul du monde qui va essayer de me trouver parmi les internautes, c’est quoi ton délire de hacker useless ???? sérieux j’ai mon opinion sur ces gestionnaire de password qui servent à rien et toi t’arrives comme zorro pour dire que c’est pas bien et qu’avec ta philosophie de merde tu vas rétablir le bien !!???? Notepad est le meilleur pour tous les utilisateurs et that’s it !

      • Henri_MTL

        Putain des cons comme toi ça me fait chier grave

      • Henri_MTL

        Je me suis emporté mais c’est vrai, c’est quoi ton délire de vouloir hacker le monde ? Qu’est ce soir tu vas foutre avec mes identifiants Amazon ? Acheter un ordinateur que tu ne vas pas recevoir car Amazon mail chaque achat effectué ? Bref encore une fois des cons comme toi ça me saoule, comme ce site d’ailleurs qui apparemment ne tolére pas les moutons noirs.

        • https://branchez-vous.com/ Laurent LaSalle

          En effet, on se calme. Allons donc…

      • Henri_MTL

        on peut même pas corriger les fautes d’orthographe sur ce site, ça confirme la merde que c’est. On est loin de Facebook là qui est aussi un site de merde mais où on peut modifier nos commentaires.

        • http://Rhialto.com/ Rhialto

          Sinon, ça va Henri?

          Tu as dépensé toute cette énergie pour répondre à Patrick qui a écrit un commentaire assez pertinent qui rallie la pensée de la majorité des internautes? En tout cas…

          Je voulais juste te souligner que tu pourrais éditer tes commentaires si tu prenais la peine de créer un compte sur Disqus, comme tu l’as fait pour facebook. Étonnant que ça ne t’est pas venu à l’idée… https://help.disqus.com/customer/portal/articles/466229-remove-and-edit-your-comments

          Une fois inscrit tu seras aussi notifié lorsqu’une personne répond à un de tes commentaires donc tu pourras rapidement retourner en ajouter une couche! ;-)

  • Nivo1

    Rien n’arrive à la cheville de LastPass…

  • Densi

    Qu’en est-il de la sécurité du gestionnaire de mots de passe intégré à Firefox ou Chrome ?

    • Éric Bélanger

      Faites une recherche sur google de PasswordFox et nirsoft … le test en vaut la peine … Ça convainct toutes personne que ça prend mieux qu’un simple browser.

      • Densi

        Merci pour l’info. PasswordFox n’a rien trouvé puisque j’utilise un mot de passe principal sous Firefox.. Nirsoft a trouvé facilement mes mots de passe sur Chrome et rien pour Firefox.

  • Sebastien Tremblay

    Bonne article; sous Windows / Android j’utilise Password Safe et sous Mint Linux j’utilise Password Gorilla. Je dépose le fichier sur Tresorit (Cloud crypté).

  • WikiPanda

    Je reste fidèle à Empass depuis sa sortie et je n’ai jamais été déçu.