Optimiser la gestion de ses mots de passe

Modifié par Christophe le 25 février 2023

Nous sommes désormais amenés dans notre vie quotidienne à utiliser des mots de passe pour accéder à des sites internet / intranet (banque, e-commerce, administration…) ou tout autre ressource sécurisée. Bien souvent, les mots de passe ou passwords utilisés sont trop simples et faciles à pirater par les hackers du web ou toute autre entité malveillante.

Ce qu’il ne faut pas faire

Les intentions visant à pirater des mots de passe sont dans la plupart des cas motivées par un aspect financier ou malveillant :

  • accès aux comptes bancaires
  • accès à des informations pouvant être négociées avec une contrepartie financière
  • espionnage de données (ressource en entreprise, compte réseau social ou autre…)
  • accès aux comptes email (récupération d’autres adresses email (carnet d’adresses par exemple) représentant une récupération partielle d’identifiants pour accéder à des sites internet mais également une base pour des tentatives d’usurpation d’identité (pishing))

Pour résumer les mauvaises pratiques :

Si je parviens à me rappeler de tous mes mots de passe, alors je n’utilise pas de bons mots de passe…

Ainsi, il faut éviter notamment :

  • d’utiliser des mots courts
  • d’utiliser des mots ayant un lien avec soi même ou son entourage (date de naissance, prénom / nom / surnom, adresse…)
  • d’utiliser des mots communs ou des combinaisons de mots d’un dictionnaire : les pirates disposent d’une quantité impressionnante de dictionnaires et savent les exploiter très rapidement à l’aide de robots…
  • d’utiliser le même mot de passe pour protéger plusieurs ressources
  • d’utiliser des remplacements de caractères (par exemple un Z par un 2, un zéro par la lettre O…)
  • d’envoyer un mot de passe par e-mail / sms non crypté ; ceci peut être néanmoins envisagé dans certains cas de figure restreints, lorsque le mot de passe envoyé est temporaire (par exemple cas de l’inscription sur certains sites où le mot de passe doit être changé par le destinataire de l’e-mail / sms dès la première utilisation)
  • de communiquer ses mots de passe…

Les bonnes pratiques

Une bonne politique de mots de passe vient en complément notamment d’une bonne politique de sauvegarde et de protection de son réseau. Elle est caractérisée par :

  • l’utilisation de mots de passe « forts », ayant une longueur de 12-14 caractères minimum
  • ils doivent comporter des lettres minuscules et majuscules, des chiffres et des caractères spéciaux (par exemple : & ! + / ( ) ?…)
  • ils doivent être uniques pour chaque ressource à protéger (= un pour le site de sa banque, un autre pour son site favori de e-commerce, encore un autre pour son autre site de musique en ligne…)

Il est clairement impossible pour un individu lambda de mémoriser les mots de passe mis en place par rapport à tous ces critères. Heureusement, des outils appelés « Gestionnaires de mots de passe » existent.

Les gestionnaires de mots de passe

mots de passe
Sécurité : gestion des mots de passe

Un gestionnaire de mots de passe est un outil logiciel qui permet idéalement :

  • de générer des mots de passe unique et forts
  • de les stocker dans une base de données de façon sécurisée (= cryptée), stockée localement (= sur votre appareil) et / ou dans le cloud (= un serveur sur internet)
  • d’accéder à cette base de données avec une authentification à deux facteurs (= 2FA)
  • d’éviter à avoir de se rappeler des mots de passe
  • de remplir automatiquement les pages sur internet (= formulaires) permettant d’accéder à un espace protégé (lorsqu’elles le permette)
  • d’accéder facilement à la base de données afin d’utiliser les mots de passe pour les applications non internet
  • d’accéder à la base de données depuis ses différents appareils (ordinateur, tablette, smartphone…)

Ils peuvent être regroupés en différentes catégories :

Les gestionnaires de mots de passe « Maison »

Un fichier de type traitement de texte, tableur…, lui-même protégé par un mot de passe, est utilisé pour les stocker.

  • Le contenu du fichier utilisé (ici les mots de passe) n’est pas crypté.
  • Le degré de protection du mot de passe principal (= celui qui protège l’accès au fichier) est discutable.
  • Le copier / coller est la seule méthode envisageable pour accéder aux ressources protégées, ce qui peut devenir fastidieux au fil du temps.
  • Stockage de la base de donnée principale : locale
  • Coût : néant

Les gestionnaires de mots de passe intégrés aux suites de logiciels anti-virus

  • Ceux-ci concernent essentiellement les utilisateurs de Windows.
  • Tous les acteurs majeurs du marché proposent cette fonctionnalité dans les versions plus ou moins élaborées de leur suite.
  • Les fonctionnalités sont plus ou moins riches selon les suites logiciels.
  • Stockage de la base de donnée principale : locale et / ou cloud (variable en fonction des suites proposées)
  • Coût : payant
  • Un aspect majeur à vérifier : peut-on exporter la base de données des mots de passe si on décide de changer de gestionnaire de mots de passe ? (ceci afin d’éviter une re-saisie qui pourrait être fastidieuse dans certains cas…)

Les gestionnaires de mots de passe intégrés aux navigateurs web

  • Cette fonctionnalité est intégrée dans les navigateurs web les plus répandus.
  • Elle est tellement facile à utiliser… Le navigateur détecte que l’on sur un site nécessitant d’être authentifié, propose de retenir l’identifiant et le mot de passe : on clique oui souvent par facilité et sans se poser de question et c’est fait ! Plus besoin de resaisir ses identifiant la prochaine fois que l’on visite le site !
  • Les navigateurs modernes proposent certainement un gestionnaire de mots de passe plus sécurisé que par le passé.
  • La plupart des navigateurs web permettent d’exporter les mots de passe stockés.
  • Stockage de la base de donnée principale : locale et / ou cloud (variable en fonction du navigateur et des options sélectionnées)
  • Coût : néant

Mais…

  • En fonction du navigateur et de ses réglages, les mots de passe peuvent ne pas être cryptés.
  • N’importe qui accédant à votre appareil peut accéder aux sites dont les identifiants sont mémorisés si vous n’avez pas pris la précaution de définir un mot de passe principal pour le gestionnaire de mots de passe.
  • Les pirates disposent de tout un panel de logiciels malveillants et peuvent récupérer les données stockées dans votre navigateur.
  • Ce mode de stockage ne permet pas toujours d’accéder à ses mots de passe de façon aisée pour les utiliser dans des applications non internet.
  • Est-ce le rôle d’un navigateur web que de servir de gestionnaire de mots de passe ?

Les gestionnaires de mots de passe dédiés

  • Ils sont dédiés à la gestion des mots de passe et ne font que ça.
  • Ils disposent des fonctionnalités idéales vues précédemment.
  • Les mots de passe sont organisables par catégories / sous-catégories.
  • La base de données est chiffrée et protégée par un mot de passe principal ; il constitue la clé de chiffrement et de déchiffrement pour y accéder.
  • La plupart dispose d’une authentification à deux facteurs, par exemple grâce à un fichier clé ; il faut en plus du mot de passe principal renseigner le chemin vers un fichier, sans lequel l’accès à la base ne sera pas possible avec le seul mot de passe.
  • La sécurité est accrue par le verrouillage automatique de la base de données après un certain temps d’inactivité, lors de la mise en veille de l’écran…
  • Ils disposent pour certains d’utilitaires permettant d’établir un bilan de santé par rapport aux mots de passe utilisés : ceux qui sont trop faibles ou utilisés à de multiples reprises, détection de mots de passe compromis…
PlateformeCoûtStockageRemarques
KeePassWindows, Appli indépendante pour iOS, Android – code open sourceNéantLocalIntégration navigateur web (extension(s) requise(s))
KeePassXCLinux, MacOS, Windows, Appli indépendante pour iOS, Android – code open sourceNéantLocalIntégration navigateur web (extension(s) requise(s))
BitwardenLinux, MacOS, Windows, iOS, Android – code open sourceVersion Base : néant / Version Premium : payanteCloudIntégration navigateur web
Auto-hébergement possible en Version Premium
1PasswordLinux, MacOS, Windows, iOS, Android – code propriétairePayantCloudIntégration navigateur web
LastPassLinux, MacOS, Windows, iOS, Android – code propriétaireVersion Base : néant / Version Premium : payanteCloudIntégration navigateur web
Aperçu des gestionnaires de mots de passe dédiés (liste non exhaustive)

Les gestionnaires de mots de passe : mode de stockage de la base de données

Même si cet aspect n’est pas toujours réalisé, il existe donc 2 modes de stockage :

  • le premier stocke les mots de passe dans une base de données locale (= sur votre ordinateur)
  • le second les stocke dans une base de données dans le cloud (= sur des serveurs que vous ne possédez et ne contrôlez pas, et dont vous ignorez dans la plupart des cas la localisation géographique)

Faut-il accepter de stocker ses mots de passe dans le cloud ?

Cette question se pose d’une façon beaucoup plus générale, quand il s’agit de stocker des données ayant un caractère confidentiel (donc à plus forte raison des mots de passe) dans le cloud. Les législations par rapport au traitement des données des pays dans lesquels sont implantés les serveurs sont parfois différentes par rapport à la nôtre.

Beaucoup d’utilisateurs attachant une importance capitale aux aspects de confidentialité et de maîtrise du contrôle de leurs données optent systématiquement pour un stockage local ; ceci ne veut pas dire qu’ils ne peuvent exploiter leur base de données que sur un seul appareil !
Par rapport aux gestionnaires dédiés utilisant un stockage local, il existe désormais des applications compatibles pour Android et iOS, permettant ainsi d’exploiter la base de données sur un appareil mobile.
Ainsi, il est facile de transférer la base de données depuis son ordinateur principal vers son smartphone, sa tablette, un autre ordinateur sans forcément passer par un cloud. Il est par ailleurs possible de disposer de son propre cloud, dont on a la maîtrise.

D’autres utilisateurs font pleinement confiance au prestataire leur proposant une solution de stockage cloud. Idéalement, ils ont vérifié que la solution proposée crypte les données depuis leur appareil avant d’être envoyées vers le cloud sur un serveur ultra-sécurisé. Ainsi, le prestataire ne peut accéder aux données cryptées elle-mêmes, bien qu’il conserve le contrôle de la base de données les stockant.

Alors, quelle option retenir ?

Bonne réflexion…

Catégories : Sécurité

Articles similaires

Sécurité

Apache Guacamole : passerelle pour accès distant

La passerelle pour accès distant Apache Guacamole est une passerelle web open source permettant des accès distants à des serveurs ou postes clients, via un simple navigateur internet. Elle permet notamment des accès via les Lire la suite…

nextcloud
Sécurité

Nextcloud : conserver le contrôle de ses données

Nextcloud est une solution de Cloud open source, offrant une alternative à Google Drive, Microsoft OneDrive, Dropbox…Elle permet de gérer en toute indépendance le stockage et le partage de ses données (fichiers, contacts, agenda, favoris, Lire la suite…

sauvegarde externe
Sécurité

Sauvegarde externe autonome

Une sauvegarde externe (ou externalisée) vers un site distant constitue un atout majeur lorsque le débit de son accès internet le permet, mais faut-il systématiquement faire appel à un prestataire tierce pour stocker ses sauvegardes Lire la suite…

Sommaire

Index