Qu’est-ce qu’un gestionnaire
“coffre fort”
de mots de passe ?
Comment les internautes gèrent-ils habituellement leurs mots de passe ?
On estime, en moyenne, qu’un internaute possède une centaine de comptes professionnels et personnels.
Comme il est impossible de les retenir tous, les utilisateurs ont tendance à :
- choisir des mots de passe très basiques : rien qu’en France, le mot de passe le plus répandu avec 2 millions d’utilisateurs est « 123456 »
- réutiliser le même mot de passe pour accéder à plusieurs services,
- noter leurs mots de passe sur un pense-bête facilement accessible, dans un fichier non protégé de l’ordinateur ou de son téléphone mobile, sauvegardés dans la messagerie ou même sur un bout de papier.
Les pirates ont ainsi de nombreuses opportunités pour s’introduire dans les différents comptes et y subtiliser les données. L’utilisation d’une solution de gestion de mots de passe leur complique grandement la tâche et aussi facilite une gestion sécurisée d’accès à vos comptes.
Apprenez à utiliser un gestionnaire de mot de passe sécurisé qui mémorisera à votre place tous vos mots de passe, pour ne plus avoir à retenir qu'un seul, celui qui permet d’en ouvrir l’accès.
Pourquoi est-il indispensable de générer un mot de passe fort ?
Un pirate possède de nombreuses techniques pour forcer les comptes d’une cible : attaques globales à partir de données déjà glanées sur la cible ou à partir d’une liste de mots de passe courants, attaques ciblées à partir de quelques données personnelles.
Si vous n’utilisez pas de mot de passe trop courant ou d’information relative à votre vie affichée sur les réseaux sociaux - par exemple, votre mot de passe est le nom de votre groupe de musique préféré - le pirate peut utiliser l’attaque par force brute : il va ordonner à sa machine de tester toutes les combinaisons possibles de votre mot de passe.
La solution la plus adéquate est donc d’utiliser des mots de passe robustes et complexes. C’est elle qui peut décourager un pirate de le casser et de passer à une autre cible.
Lorsqu’on augmente la complexité d’un mot de passe, on augmente de manière très importante le temps nécessaire pour que le pirate teste beaucoup de combinaisons. Plus votre mot de passe et long et plus il mêle lettres minuscules, majuscules, chiffres et caractères spéciaux, plus complexe il sera.
Pour en savoir plus : Combien de temps un pirate met-il pour trouver votre mot de passe ? Comment vous protéger ?
Consultez le Guide Bien gérer ses mots de passe et séparation des usages professionnels et personnels
pourquoi faut-il éviter de les enregistrer sur votre navigateur web ?
Les navigateurs ne sont pas assez sécurisés pour héberger vos mots de passe.
Enregistrer ses mots de passe dans son navigateur est un réflexe risqué
Par facilité et parce que les différents navigateurs le proposent, les utilisateurs sont nombreux à faire le choix d’enregistrer leurs mots de passe sur leur navigateur, au même titre que leur numéro de carte bancaire. Pourtant, cette pratique peut se révéler risquée. En effet, les navigateurs ne bénéficient pas d’une grande protection, surtout en ce qui concerne les données privées, et sont des cibles faciles pour les hackers.
Qu’est-ce qu’un gestionnaire de mots de passe ?
Le gestionnaire de mots de passe sert à mémoriser pour vous vos codes d’accès, dans un environnement protégé. C’est comme une sorte de coffre-fort.
C’est une recommandation que vous avez peut-être déjà entendue, en parlant de sécurité informatique avec un proche : « Tu devrais utiliser un gestionnaire de mots de passe ». Cela est tout à fait recommandé surtout si vous êtes du genre à avoir la fâcheuse manie d’utiliser toujours le même mot de passe pour tous vos comptes, ou de laisser votre navigateur (Google, Edge ou quelqu'il soit) enregistrer tous vos mots de passe car cet outil pourra vous aider à améliorer votre sécurité.
Le système des mots de passe restera la référence pour s’authentifier, tant que le système des passkeys en cours de développement et de test via l’alliance FIDO, n’est pas encore démocratisé.
Un "coffre-fort" gestionnaire de mots de passe, c’est quoi exactement ?
S’il fallait choisir une image facile à saisir, on prendrait bien sûr celle du coffre-fort.
Voilà ce qu’est un gestionnaire de mots de passe : un logiciel offrant un espace dédié pour vos codes d’accès.
Vous êtes la seule personne à connaître la combinaison pour ouvrir ce coffre-fort. Une fois que vous avez pris le mot de passe dont vous aviez besoin, il vous suffit de le refermer.
Bien sûr, le monde des atomes n’est pas celui des bits : dans le numérique, il n’y a pas d’acier pour protéger vos données. Aucune paroi n’existe vraiment : la protection se fait grâce à des procédés mathématiques qui cachent le contenu.
On appelle cela le chiffrement. Si ce processus est bien appliqué, alors les informations sont sécurisées et verrouillées.
Pour ouvrir ce coffre-fort numérique, vous avez besoin d’une « clé » spéciale. C’est ce qu’on appelle le mot de passe maître. C’est ce mot de passe qui est très important et qu’il faut impérativement bien mémoriser. Car si vous l’oubliez, vous ne pourrez plus ouvrir votre gestionnaire de mots de passe. Pour plus de sécurité, ce mot de passe doit être unique et assez solide.
Le gestionnaire peut fonctionner sous différentes formes : il peut s’agir d’un programme à installer sur son ordinateur (ou son smartphone). Cela peut être une extension de navigateur web ou même une fonctionnalité en son sein. Cela peut aussi être un service à distance, dans le cloud. Parfois, cela peut être un mix entre une installation locale et une synchronisation par le cloud. Enfin, cela peut être aussi un service inclus avec certains antivirus.
Quel est l’intérêt d’un gestionnaire de mots de passe ?
Le principal avantage du gestionnaire de mots de passe est d’agir comme une mémoire infaillible, pour vous. Il est très difficile, pour ne pas dire impossible, de se souvenir de la totalité de ses mots de passe. C’est encore plus compliqué lorsque l’on veut en créer un unique et complexe par service (ce qui est la meilleure pratique à avoir).
Le gestionnaire de mots de passe est donc une sorte de mémoire déportée, que vous pouvez consulter à la demande.
Chaque fois que vous avez besoin de vous connecter à un compte, vous devez déverrouillez votre gestionnaire de mots de passe et récupérez vos informations de connexion, sauf si une extension ajoutée vous propose les mots de passe connus du coffre-fort.
Vous pouvez donc composer des mots de passe très durs, sans vous soucier de les retenir.
Selon la solution choisie, un gestionnaire peut inclure des options en plus : un emplacement pour stocker ses données de paiement (une carte bancaire), une rubrique pour créer des notes confidentielles (le code Wi-Fi de la box), etc. Certains services fournissent aussi une analyse des mots de passe et vous donnent des conseils d’amélioration.
Mémoriser tous ses mots de passe est excessivement difficile. Les gestionnaires sont donc là pour vous épauler.
Les gestionnaires de mots de passe ont fortement évolué au fil des ans pour être aussi commodes à utiliser que possible. Ils proposent d’enregistrer le nouveau mot de passe créé lors de la création d’un compte. Ils remplissent automatiquement les formulaires. Ils s’interfacent avec les navigateurs. Ils se synchronisent entre plusieurs appareils, etc...
Quelles sont les fonctionnalités d’un gestionnaire de mots de passe ?
- Générer des mots de passe forts. La plupart des gestionnaires offrent la possibilité de générer des mots de passe forts pour vos comptes. Répondant aux critères de sécurité actuels, vos mots de passe sont générés de façon aléatoire par le logiciel, une méthode qui élimine les suites logiques (syllabes, suites de chiffres) ou habitudes d’écriture de mots de passe.
- Une fonctionnalité de stockage des mots de passe. Ceux que génère le gestionnaire sont au mieux, impossibles à retenir. Pour cela, tout logiciel propose d’entreposer vos mots de passe créés dans un espace crypté à haut niveau de protection.
- La connexion automatique au compte. Si ces mots de passe sont difficiles à retenir, ils sont aussi difficiles à réécrire. C’est pourquoi les gestionnaires intègrent souvent des fonctionnalités pour vous connecter automatiquement. Typiquement, lors de votre connexion à un de vos comptes, une vignette s’ouvre et propose les mots de passe renseignés dans le gestionnaire.
- Les fonctions de partage avec un tiers. Présentes essentiellement sur les gestionnaires basés sur le bureau, conçues pour compenser la perte de flexibilité d’avoir la banque de données inscrite sur un unique ordinateur. Grâce à cette possibilité, le propriétaire du compte peut partager un ou plusieurs de ses mots de passe à un autre propriétaire.
- Effectuer une analyse de vos mots de passe. Certains gestionnaires vous alertent quand vos mots de passe sont trop faibles, trop souvent réutilisés ou depuis trop longtemps.
- Vérification des fuites sur le dark web. Certains gestionnaires vous proposent souvent dans les versions payantes de scruter le Dark Web et vous alertent sur les cas de détection de fuite de vos mots de passe sur le dark Web
Les gestionnaires de mots de passe sont-ils sûrs ?
Les gestionnaires de mots de passe sont parfois vus avec méfiance, pour des raisons diverses.
Parmi les critiques courantes, on retrouve l’accusation de ne pas proposer une solution 100 % sûre, celle de regrouper tous les mots de passe à un seul endroit, ou encore de confier les « clés » de ses comptes à des tiers, dont les outils ne sont pas forcément open source (le code est consultable).
Pourtant, ces gestionnaires de mots de passe sont conseillés par des spécialistes en sécurité informatique. C’est le cas de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui gère la cybersécurité de l’État de ses structures vitales.
Bien sûr, le risque zéro en informatique n’existe pas. Mais il faut garder un regard lucide sur la réalité du péril et, surtout, évaluer une stratégie par rapport aux autres et se demander laquelle est la meilleure. Qu’est-ce qui renforce le mieux le niveau de sécurité global ? Qu’est-ce qui réduit le mieux les risques et les erreurs ? En clair, il faut faire la balance du bénéfice-risque.
De plus, pour beaucoup de gestionnaire de mots de passe, le mot de passe maître n'est pas stocké avec l'outil mais seulement connu de l'utilisateur, ce qui renforce la sécurité en cas de piratage du fournisseur du coffre fort
Il peut arriver qu’une faille de sécurité soit décelée sur un de ces logiciels. C’est déjà arrivé, et cela arrivera encore. Mais cela n’implique pas toujours une vulnérabilité au niveau des mots de passe eux-mêmes. En outre, il faut comparer cet incident, qui est assez rare, par rapport aux autres menaces, plus fréquentes, qui pèsent sur les mots de passe.
Si vous écartez le gestionnaire de mots de passe, que reste-t-il ? L’option de les noter dans un carnet ?. Faut-il les mémoriser soi-même ? En moyenne chaque personne est inscrite sur des dizaines de comptes. Et si vous pensez utiliser un seul et même mot de passe pour vous faciliter la vie, C'est totalement déconseillé.
3 types de solutions de gestion de mots de passe
On distingue 3 grands types de -Coffre-fort" :
Les gestionnaires basés sur le bureau ont leurs données inscrites sur un unique ordinateur ou sur un réseau interne d’entreprise.
Les gestionnaires basés sur le cloud utilisent un stockage à distance. Les données ne sont pas stockées dans les locaux de l’entreprise mais dans le cloud.
Les gestionnaires intégrés dans les navigateurs (qui ne nécessitent pas d’installation) ne sont pas recommandés pour des raisons de sécurité.
un comparatif de différents gestionnaires
Beaucoup de sites vous proposent des comparateurs , donc certains sont financés par le fournisseurs de solutions eux-même.
C'est pourquoi nous préférons diffuser le comparatif fait par Wikipédia sur cette page.