Gestionnaires de mots de passe : c’est quoi ? Lequel choisir ?

La gestion des mots de passe peut rapidement devenir un véritable casse-tête, surtout si l’on souhaite respecter les bonnes pratiques en matière de mots de passe. En effet, il est recommandé d’utiliser des mots de passe complexes en variant les types de caractères, et donc potentiellement difficile à retenir, mais aussi d’utiliser un mot de passe différent pour chaque service sur lequel on s’inscrit.

Aujourd’hui, la majorité des sites impliquent une inscription, notamment lorsqu’il y a une notion de « compte » ou « d’espace personnel ». Au final, ce sont plusieurs dizaines voire centaines de mots de passe qu’il faudrait retenir. Une mission impossible si l’on souhaite tout mémoriser.

Dans ces conditions, il est humainement impossible de se rappeler de toutes ces informations ! C’est là que le gestionnaire de mot de passe entre dans l’équation et vous change la vie !

Pourquoi se protéger et utiliser un gestionnaire de mot de passe ?

De nos jours, les attaques informatiques sont très fréquentes, et même si une attaque ne vous cible pas directement, elle peut cibler un site Internet ou un service sur lequel vous êtes inscrit. En utilisant un mot de passe différent pour chaque site sur lequel on s’inscrit, on limite les effets de bords.

Prenons un exemple. Vous êtes inscrit sur un site de e-commerce et il est victime d’une attaque informatique. Les personnes malveillantes ont pu récupérer la base de données, avec les identifiants et les mots de passe des clients, dont vos informations.

Ainsi, la personne malveillante pourra utiliser ces identifiants (votre adresse e-mail et le mot de passe associé) uniquement sur ce site, car sur les autres sites vous utilisez d’autres mots de passe ! De ce fait, vous n’aurez qu’à changer le mot de passe sur le site de e-commerce compromis. Si vous utilisez ce mot de passe sur 20 sites différents, vous devez repasser sur l’ensemble de ces sites pour protéger l’ensemble de vos comptes. Une tâche longue et ennuyeuse.

Partons du principe que l’on utilise un mot de passe robuste différent pour chaque site sur lequel on s’inscrit. Comment allons-nous faire pour mémoriser l’ensemble de ces informations ? C’est là que le gestionnaire de mot de passe va justement s’avérer d’une efficacité redoutable. Grâce à lui, vous devez seulement retenir un seul mot de passe (appelé le « mot de passe maître ») qui sert à déverrouiller votre coffre-fort de mots de passe et accéder à l’ensemble de vos mots de passe enregistrés. Ainsi, quand vous vous connectez sur un site, le gestionnaire de mots de passe vous fournira les identifiants correspondants à ce site. Croyez-moi, c’est nettement plus pratique, évolué et sécurisé qu’un fichier Excel ou un bloc-notes.

Avec un gestionnaire de mots de passe, il devient facile d’utiliser des mots de passe robustes et différents sur chaque site. D’ailleurs, le gestionnaire de mots de passe peut générer des mots de passe à votre place.

Cela est d’autant plus important sur les sites où il y a une notion d’argent, que ce soit la banque, les paris sportifs ou les casinos en ligne. Prenons le cas d’une plateforme de casino suisse en ligne par exemple. Les joueurs sont amenés à y verser de l’argent relativement souvent et à retirer les gains qu’ils ont dégagés sur les jeux de hasard. Il faut donc qu’ils protègent leur compte client pour ne pas que les montants remportés sur les machines à sous ou le blackjack soient ponctionnés contre leur volonté à cause d’un mot de passe dérobé ou d’un mot de passe trop simple à deviner.

Comment cela fonctionne-t-il ?

Le principe du gestionnaire de mot de passe, c’est celui d’un coffre-fort installé directement sur votre appareil. L’alternative consiste à s’appuyer sur un service Cloud où votre coffre-fort de mot de passe est hébergé sur les serveurs d’une entreprise (il convient de choisir avec soin sa solution).

Tous les mots de passe que vous utilisez sur tous les sites que vous fréquentez peuvent y être stockés. En complément, il est possible de stocker d’autres informations : des numéros de cartes bancaires, par exemple. Mais aussi des informations sur votre identité : l’adresse postale, le numéro de téléphone, etc… Ce qui sera pratique sur certains sites.

Lors de la création de votre coffre-fort, il vous suffit de paramétrer un mot de passe « maître » qui vous permettra de déverrouiller le coffre-fort, puis ce dernier se chargera de remplir automatiquement le champ du mot de passe sur les sites que vous utilisez. Au sein des navigateurs, cela passe par l’installation d’une extension.

Certaines solutions proposent aussi une évaluation de la robustesse du mot de passe que vous choisissez, même si vous pouvez utiliser le générateur de mot de passe intégré à la solution pour

L’autre fonctionnalité phare du gestionnaire de mots de passe, c’est sa capacité de partage sécurisé des mots de passe entre différents appareils. Sur mobile, cela va nécessiter l’installation d’une application, tandis que sur ordinateur, cela passe par le site Web de la solution ou par le logiciel installé en local. L’intérêt d’utiliser une solution synchronisée, c’est que si vous enregistrez un mot de passe dans votre coffre-fort à partir de votre smartphone, l’information sera immédiatement accessible depuis votre ordinateur, et vice-versa. Bien sûr, il faut utiliser la même solution et le même compte sur tous les appareils.

Vous le voyez, utiliser ce type de logiciel va vous faciliter la vie en augmentant votre sécurité grâce à une bonne gestion des mots de passe !

Comment choisir un gestionnaire de mots de passe fiable ?

L'Agence nationale de la sécurité des systèmes d'information (ou ANSSI) conseille vivement à tous les internautes de faire appel à des gestionnaires de mots de passe. Ce service français à compétence nationale créé en juillet 2009 et rattaché au secrétariat général de la Défense et de la Sécurité nationale est en charge de la protection des systèmes d’information de l'État, mais il intervient aussi pour conseiller les administrations en entreprises en matière de sécurité informatique. Il est aussi chargé de promouvoir un bon usage des technologies auprès du grand public.

Lorsque l’ANSSI conseille l’utilisation de certains types de logiciels de protection, il convient donc de l’écouter attentivement. Elle s’est justement prononcée au sujet de certains gestionnaires de mot de passe et en a certifié / audité quelques-uns. Voici donc quelques noms de produits préconisés si vous souhaitez commencer dès maintenant à protéger vos données sur internet :

  • KeePass : ce logiciel est open source et certifié par l’ANSSI ;
  • LockPass : voilà un outil certes payant, mais édité par une société française et qui dispose d’un visa de sécurité de l’ANSSI ;
  • Bitwarden : il est disponible dans le Cloud en version gratuite et payante, mais il est également possible de l’autohéberger sur un NAS, par exemple - Voir le tutoriel Bitwarden.

Mon gestionnaire de mot de passe peut-il être piraté ?

Il y a toujours un risque à partir du moment où une solution dans le Cloud est utilisée. Néanmoins, gardez à l’esprit que le mot de passe maître doit être personnel, robuste et que vous devez le mémoriser : c’est lui qui donne accès à votre coffre-fort, et potentiellement à tous vos identifiants. Dans un gestionnaire de mots de passe, les mots de passe sont chiffrés et protégés par définition. La solution KeePass présente l’avantage de créer un coffre-fort sous la forme d’un fichier sécurisé (qu’il convient de sauvegarder) donc vous ne dépendez d’aucune société tierce, d’aucun service en ligne.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4077 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.