» Guides » Meilleurs gestionnaires de mots de passe

Meilleurs gestionnaires de mots de passe

  • Pypo 

Bien que la sécurité numérique fasse des progrès tous les jours, les pirates informatiques ne relâchent pas davantage leurs efforts non plus. Leurs techniques pour accéder à vos comptes et à vos données se perfectionnent elles aussi et deviennent de plus en plus sophistiqués. En plus de fracturer les bases de données de grandes entreprises et d’exploiter les vulnérabilités des logiciels, ils profitent également d’un autre vecteur d’attaque : votre mot de passe faible.

La première ligne de défense numérique réside aujourd’hui encore dans l’utilisation, pour tous vos comptes, de mots de passe forts et uniques qui ne puissent pas être facilement piratés. Mais comment générer des mots de passe forts tout en les gardant organisés et sécurisés sur plusieurs appareils ? C’est là qu’intervient le gestionnaire de mots de passe.

Dans ce guide, nous allons nous plonger dans les différents aspects de la gestion des mots de passe sécurisés et examiner les meilleurs gestionnaires de mots de passe.

Pourquoi il vous faut un gestionnaire de mots de passe

Dans la mesure où vous n’avez jamais eu connaissance du vol et de l’utilisation du seul mot de passe que vous avez l’habitude d’utiliser pour tous vos comptes en ligne, vous vous demandez si vous avez réellement besoin d’un gestionnaire de mots de passe.

Après avoir vérifié cela sur le site Have I been Pwned? vous pouvez estimer avoir eu de la chance tout ce temps là.

Malheureusement, ce qui a fonctionné par le passé ne suffit sans doute plus aujourd’hui.

Pourquoi vous avez besoin de mots de passe plus forts

Auparavant, nous pouvions en effet nous contenter d’un simple mot de passe pour tous nos accès : le nom très original de notre chien, la date d’anniversaire de notre enfant combinée à son prénom, quelque chose d’aussi simple que cela faisait l’affaire. Mais depuis, les cybercriminels ont fait leurs devoirs et ont sensiblement amélioré leur jeu. Aujourd’hui, les hackers qui veulent accéder à vos comptes :

  • possèdent des ordinateurs beaucoup plus puissants et des connexions Internet plus rapides qu’auparavant. Cela leur permet d’attaquer vos comptes beaucoup plus rapidement et plus durement que par le passé (voir attaques par la force brute).
  • ils sont beaucoup mieux armés sur les types de mots de passe que les gens utilisent. Il est facile de trouver des dictionnaires des mots de passe les plus courants (voir attaques par dictionnaire).
  • Ils ont beaucoup plus d’informations à leur disposition. Aujourd’hui, vous pouvez acheter d’énormes quantités d’informations personnelles sur le Dark Web.
    Il y a de fortes chances que le pirate informatique qui tente d’accéder à votre compte bancaire connaisse déjà le nom de votre chien, l’anniversaire de votre enfant, la plaque d’immatriculation de votre première voiture ou toute autre information vous concernant qui aurait pu se retrouver dans un ordinateur.

En d’autres termes, à moins que vous n’utilisiez déjà des mots de passe forts, les mots de passe que vous utilisez sont sans aucun doute déjà répertoriés dans des listes qui attendent d’être testées dans des attaques qui se comptent par milliers chaque jour dans le monde.

A ce stade, vous vous demandez à quoi ressemble un “mot de passe fort” ? Nous l’expliquons plus loin.

Pourquoi vous ne pouvez pas juste faire confiance à votre mémoire

La raison pour laquelle vous ne devriez pas faire confiance à votre mémoire est que vous avez besoin d’utiliser des mots de passe forts. Bien que les spécifications exactes d’un mot de passe fort varient beaucoup d’une source à l’autre, nous définissons un mot de passe fort comme :

“Un mot de passe contenant au moins 16 caractères aléatoires. Il doit comprendre des lettres, des chiffres, des signes de ponctuation et des caractères spéciaux.”

Voici trois exemples aléatoires de mots de passe forts, composés de 18 caractères dont 3 chiffres et 2 caractères spéciaux :

EVDN7X=nB(TB7aBM7p
2Rg;{LJhUTUxCNwV63
bakU}33EWZMU9rDKb}

Il existe très certainement des techniques qui vous permettraient de mémoriser ces mots de passe, mais cela semble assez difficile à faire. Si vous ajoutez à cela, le fait qu’en moyenne, chaque personne possède 90 comptes en lignes (dont une vingtaine actifs) pour lesquels ils vous faut un mot de passe unique, la tâche est quasiment insurmontable.

Les experts en sécurité ont montré que vous avez besoin d’un mot de passe différent pour chaque compte important. Ce faisant, il est clair que la mémorisation n’est tout simplement pas une option pour de nombreux mots de passe forts et uniques.

Pourquoi vous avez besoin d’un mot de passe unique et solide pour chaque compte

Utiliser un seul mot de passe fort pour tout est une (très) mauvaise idée. Cela rend les choses tellement plus faciles pour les personnes qui voudraient avoir accès à tous vos comptes. Gardez à l’esprit que des sites Web et des entreprises sont piratés tous les jours.

Des milliards de dossiers sont volés chaque année, contenant toutes sortes d’informations sur des victimes potentielles. Bon nombre de ces enregistrements contiennent des mots de passe sous une forme non chiffrée. De nombreuses personnes se font voler les mots de passe de leurs comptes, non pas par négligence, mais à la suite d’une atteinte à la protection des données et c’est de plus en plus courant.

Maintenant, si vous avez utilisé le même mot de passe pour tous vos comptes et qu’un pirate obtient ce mot de passe lors d’une violation de données (ou l’achète à quelqu’un d’autre), il est en possession d’une clé maîtresse pour avoir accès à vos comptes.

Informé de cela, vous seriez bien inspiré d’utiliser un mot de passe unique et solide pour chaque compte important. C’est très facile à faire avec un bon gestionnaire de mots de passe.

Les meilleurs gestionnaires de mots de passe

Quand il s’agit de mémoriser vos mots de passe, il n’y a vraiment pas de meilleure façon de le faire qu’avec un gestionnaire de mots de passe. Afin de sécuriser tous vos comptes, il est important que tous vos mots de passe soient à la fois complexes et uniques. L’utilisation répétée du même mot de passe vous expose à la menace de piratage informatique, des services comme Bitwarden ou LastPass sont conçus pour vous aider.

Vous trouverez ci-dessous un rapide condensé des meilleurs mots de passe qui, selon nous, valent la peine d’être utilisés. Vous pouvez aussi les retrouver dans notre trousse de secours numérique ou dans chacune des fiches pratiques qui vous permettent de sécuriser vos appareils :

Voici les meilleurs gestionnaires de mots de passe que nous avons utilisés.

#1 Bitwarden – Meilleur Gestionnaire Gratuit

Capture d'écran page d'accueil du site Bitwarden
Accueil Web Bitwarden
NomBitwarden
Pays États-Unis
Stockage1 GB (payant)
ChiffrementOui
2FAOui
Prix Gratuit
Offre GratuitOui
Site WebBitwarden.com

Bitwarden peut se mesurer à n’importe lequel de ses concurrents sur abonnement à source fermée. Il est gratuit, open source, puissant, esthétique, intuitif à utiliser et se synchronise de manière transparente sur TOUS vos appareils.

Disponible sous :

L’essentiel à retenir

Bitwarden existe depuis 2016 et c’est actuellement notre premier choix comme meilleur gestionnaire de mots de passe. Il est complètement open source, a été audité, et offre d’excellentes applications et extensions de navigateur.

Capture d'écran de l'extension du gestionnaire de mots de passe dans Bitwarden
Extension du Gestionnaire de Mots de Passe Bitwarden

Bitwarden stocke les informations d’identification en toute sécurité dans le cloud, mais peut également être utilisé hors ligne en lecture seule. Cette fonctionnalité offre une grande compatibilité inter-périphériques, permettant de synchroniser vos mots de passe et d’y accéder en vous connectant simplement à votre compte. Le chiffrement s’effectue localement, les données étant stockées en toute sécurité sur des serveurs Bitwarden. Et si vous ne voulez rien stocker sur des serveurs Bitwarden (Cloud), vous pouvez héberger votre propre instance Bitwarden.

La version gratuite fournit toutes les fonctionnalités nécessaires pour la plupart des utilisateurs, mais vous pouvez également mettre à niveau vers différents forfaits payants.

Pour une revue complète des caractéristiques de Bitwarden, c’est ici.

#2 KeePassXC – Meilleur Gestionnaire Auto-Hébergé

NomKeePassXC
Pays Allemagne
StockageN/A
ChiffrementOui
2FAOui
Prix Gratuit
Offre GratuitOui
Site WebKeePassXC.org

KeePassXC est une branche communautaire de KeePassX, un portage natif de KeePass Password Safe, qui l’améliore avec de nouvelles fonctionnalités et des corrections de bugs pour fournir un gestionnaire de mots de passe open-source moderne, riche en fonctionnalités et entièrement multiplateforme.

Disponible sous :

L’essentiel à retenir

Contrairement à Bitwarden, qui stocke les mots de passe en toute sécurité dans le Cloud, KeePassXC stocke les mots de passe localement dans une base de données compatible avec KeePass Password Safe. Votre portefeuille fonctionne hors ligne et ne nécessite aucune connexion Internet.

La base de données complète est toujours chiffrée avec l’algorithme de chiffrement AES, standard de l’industrie en utilisant une clé 256 bits.

Chaque fonctionnalité fonctionne sur plusieurs plates-formes et a été testée sur plusieurs systèmes afin d’offrir aux utilisateurs le même aspect et la même convivialité sur tous les systèmes d’exploitation pris en charge.

Le projet KeePassXC est open source avec des mises à jour et améliorations régulières que vous pouvez suivre sur leur blog. Le code source complet est publié sous les termes de la Licence Publique Générale GNU.

#3 LastPass – Meilleur Gestionnaire Freemium

Capture d'écran de la Page d'Accueil du Site Web LastPass
Page d’Accueil Site Web LastPass
NomLastPass
Pays États-Unis
Stockage1 GB (payant)
ChiffrementOui
2FAOui
Prix Gratuit
Offre GratuitOui
Site WebLastPass.com

Depuis plus d’une décennie, LastPass prend en charge 58 langues, tous les systèmes d’exploitation principaux et la plupart des navigateurs. Avec des extensions pour Chrome, Firefox, Safari, Edge, Opera et Internet Explorer, c’est l’un des meilleurs gestionnaires de mots de passe gratuits pour ceux qui travaillent sur plusieurs systèmes et utilisent plusieurs navigateurs à la fois.

Disponible sous :

L’essentiel à retenir

Comme d’autres services freemium, LastPass verrouille une série de fonctions derrière un abonnement. Cependant, ses services de gestion de mots de passe de base sont entièrement gratuits, y compris la possibilité de sauvegarder, de remplir et de générer des mots de passe ainsi que d’y accéder sur n’importe quel appareil, de sécuriser et de partager des notes et de verrouiller votre compte avec une authentification à deux facteurs.

LastPass a connu dans le passé, de multiples vulnérabilités qui se sont multipliées depuis 2011. Malgré cela, LastPass n’a cessé d’impressionner par le fait que les dernières failles ont été corrigées dans les jours qui ont suivi sa découverte, consolidant ainsi sa place parmi les plateformes les plus populaires.

Capture d'écran Extension de Navigateur Gestionnaire de mots de passe LastPass
Photo Source : LastPass.com

LastPass est un gestionnaire de mots de passe avec une bonne réputation. Le service a été lancé pour la première fois en 2008 par un développeur appelé Marvasol, Inc. En 2015, il a été acquis par LogMeIn. LogMeIn est basé à Boston, aux États-Unis, ce qui n’est jamais considéré comme un endroit particulièrement bon pour un service de sécurité et de confidentialité en raison de la présence de la NSA, des mandats et des ordonnances de non-divulgation.

Cependant, LastPass fournit un service à connaissance nulle, c’est à dire qu’en théorie, il ne devrait jamais avoir de données client à transmettre aux autorités, même si on lui demande de le faire à l’aide d’un mandat. D’autre part, LastPass est une source fermée, il y a donc des considérations de sécurité et de confidentialité lorsqu’il s’agit de choisir LastPass comme gestionnaire de mots de passe.

Avec LastPass, vous pouvez définir un mot de passe maître unique, derrière lequel se trouvent tous vos autres mots de passe. De plus, LastPass est conçu pour vous faciliter la vie en remplissant automatiquement vos mots de passe dans des formulaires en ligne à la volée.

LastPass est un produit freemium, ce qui signifie qu’il peut être utilisé gratuitement avec tous ses paramètres et fonctionnalités les plus importants. Cependant, des achats in-apps étendent des fonctionnalités qui peuvent s’avérer nécessaires selon vos besoins particuliers. Un seul utilisateur a accès gratuitement au stockage illimité de mots de passe, à l’accès par mot de passe sur tous les appareils, à l’authentification à deux facteurs, à une fonction de partage individuel sécurisé, à des notes sécurisées, à un générateur de mots de passe et à un outil pour vérifier la sécurité des mots de passe.

Les utilisateurs qui paient 2,67 € par mois pour l’abonnement premium obtiennent tous les avantages ci-dessus plus le partage à plusieurs utilisateurs, accès d’urgence, options avancées multifactorielles, support technique prioritaire, LastPass pour les applications, et stockage de fichiers chiffrés de 1 Go. Ces fonctionnalités ne peuvent être utilisées que par un seul utilisateur.

Capture d'écran des prix du gestionnaire de mots de passe LastPass
Tarifs LastPass

La mise à niveau vers un compte Famille qui coûte 3,56 € par mois portera à six le nombre d’utilisateurs autorisés. De plus, chaque utilisateur reçoit son propre mot de passe maître pour accéder à son coffre-fort personnel. De plus, ces utilisateurs ont accès au regroupement et au partage d’éléments dans des dossiers et à un tableau de bord du gestionnaire pour exercer des contrôles administratifs.

Pourquoi ne pas stocker les mots de passe dans votre navigateur ?

La plupart des navigateurs Web offrent de stocker vos mots de passe pour vous. Cela peut sembler être un moyen idéal de garder une trace de vos mots de passe mais ce n’est en fait pas la meilleure idée. Pourquoi ?

  1. La sécurité du mot de passe sur les navigateurs n’est pas très bonne, même si vous utilisez un navigateur sécurisé. Habituellement, ces mots de passe sont stockés en texte clair. Il existe également des outils en ligne qui permettent aux pirates informatiques d’accéder à votre ordinateur (physiquement ou à distance) et d’afficher ou de voler les mots de passe enregistrés dans le navigateur.
  2. Votre navigateur n’enregistrera que le nom d’utilisateur et le mot de passe que vous entrez dans une page Web. Il ne vous aidera pas à générer un mot de passe, ne vous dira pas si le mot de passe est fort, ni ne vous rappellera que vous avez déjà utilisé ce même mot de passe sur 10 autres pages.

Remarque : ce n’est pas la meilleure idée qui soit mais stocker des mots de passe complexes et uniques pour chaque site dans votre navigateur (tel que Firefox avec un mot de passe maître qui en chiffre le contenu) est beaucoup mieux que rien ou d’utiliser le même mot de passe très simple partout !

Comment empêcher votre navigateur d’enregistrer vos mots de passe ?
  • Chrome : cliquez sur Paramètres > Saisie automatique > Mots de passe. Désactivez “Proposer d’enregistrer les mots de passe” et “Connexion automatique“. Si vous avez des entrées dans la section Mots de passe enregistrés de cette page, supprimez-les.
  • Firefox : cliquez sur Options/Préférences > Vie privée et sécurité > Décochez l’option “Proposer d’enregistrer les identifiants et les mots de passe pour les sites web” Cliquez sur le bouton Identifiants enregistrés. Dans la boîte de dialogue qui apparaît, cliquez sur le bouton Supprimer tout.
  • Brave : cliquez sur Paramètres > Paramètres supplémentaires > Saisie automatique > Mots de passe. Désactivez “Proposer d’enregistrer les mots de passe” et “Connexion automatique“. Si vous avez des entrées dans la section Mots de passe enregistrés de cette page, supprimez-les.

Comment fonctionnent les gestionnaires de mots de passe

Concrètement, les gestionnaires de mots de passe prennent la forme d’un plug-in de navigateur, d’une extension ou d’une application dédiée sur votre système d’exploitation.

Chaque fois que vous remplissez un nom d’utilisateur et un mot de passe, ils vous proposent d’enregistrer ces informations, ainsi que la page sur laquelle vous les avez saisies. Dès lors, chaque fois que vous visiterez cette page Web, le gestionnaire de mots de passe vous proposera de saisir le nom d’utilisateur et le mot de passe pour vous.

Tout bon gestionnaire de mots de passe stockera ces informations dans une archive chiffrée, en utilisant un chiffrement fort qui n’est pas vulnérable aux types d’attaques que subissent les navigateurs. En plus de cela, il y a une série d’autres prouesses que votre gestionnaire de mots de passe peut faire pour vous.

Voici les caractéristiques de base, les fonctions clés, que vous devriez rechercher dans n’importe quel gestionnaire de mots de passe qui doit “ad minima” être facile à utiliser, sans quoi, vous ne l’utiliserez jamais :

Capture automatique

La capture automatique est la capacité d’un gestionnaire de mots de passe à enregistrer les informations de connexion que vous entrez dans une page. La plupart des gestionnaires de mots de passe peuvent le faire, puisque la plupart des pages de connexion sont conçues avec des champs Nom d’utilisateur et Mot de passe que le gestionnaire peut reconnaître.

Mais certaines pages utilisent des champs de saisie de données non standard, ou rendent difficile l’enregistrement correct des données par un gestionnaire de mots de passe. Par exemple, certains sites bancaires, pour des raisons de sécurité obscures, utilisent des paramètres sur les champs de saisie qui rendent impossible l’enregistrement correct des identifiants par les gestionnaires de mots de passe. Il vous faudra donc parfois (mais très rarement) les saisir (ou en modifier une composante) manuellement dans l’application.

Une fois l’information capturée, l’application devrait être en mesure de remplir automatiquement l’information la prochaine fois que vous visitez cette page.

Saisie automatique

La saisie automatique est la possibilité de renseigner automatiquement les informations de l’utilisateur sur un écran de connexion ou une autre page de type sécurité. Si vous avez plus d’un compte utilisateur associé à la page, au lieu de remplir automatiquement la page, le gestionnaire de mots de passe devrait vous donner un moyen de choisir quel compte utilisateur vous voulez qu’il utilise pour remplir les données.

Connexion automatique

Il s’agit de la possibilité de saisir les informations de l’utilisateur et de se connecter automatiquement à un site. Comme pour la saisie automatique, la connexion automatique devrait vous donner le moyen de choisir entre plusieurs comptes quand il y a plus d’un identifiant associé à une page particulière.

Génération de mots de passe

Le but premier d’un gestionnaire de mots de passe est de se substituer à l’utilisateur pour se rappeler les mots de passe forts créés en ligne. Les êtres humains n’étant pas non plus les plus aptes pour générer des mots de passe forts, le logiciel peut là aussi remplacer l’utilisateur.

Il existe des sites en ligne qui peuvent vous aider à le faire mais le plus simple et le plus rapide est encore d’utiliser la fonction de génération de mot de passe intégré dans le gestionnaire de mots de passe. Dans l’image ci-dessous, j’utilise Bitwarden pour générer un mot de passe fort et unique qui inclut des caractères, des chiffres, des lettres majuscules et minuscules.

Capture d'écran du générateur de mots de passe dans Bitwarden
Générateur de mots de passe Bitwarden sous Windows

Comment créer un mot de passe vraiment fort

Créer un mot de passe vraiment sécurisé n’est pas difficile.

L’une des techniques les plus recommandées est d’utiliser une phrase de passe au lieu d’un mot de passe. Une phrase de passe est une longue chaîne de mots aléatoires au lieu d’une longue chaîne de caractères aléatoires. Par exemple, comme ceci : capuche souris etang plastique

En option, vous pouvez éliminer les espaces entre les mots, ajouter des chiffres ou des caractères spéciaux, et ainsi de suite. Parce qu’ils sont composés de mots aléatoires au lieu de caractères aléatoires, vous pouvez mémoriser une longue phrase de chiffrement beaucoup plus facilement qu’un mot de passe de longueur équivalente.

Il peut sembler que l’utilisation de phrases de passe éliminerait le besoin d’utiliser un gestionnaire de mots de passe. Mais la situation est en fait similaire à celle des mots de passe. La mémorisation d’un mot de passe sécurisé est faisable. Mémoriser 10, 20 ou plus de mots de passe sécurisés dont vous aurez besoin est une toute autre chanson ! Laisser un gestionnaire de mots de passe créer et gérer des mots de passe sécurisés pour vous est beaucoup plus facile.

Mais n’excluez pas complètement les mots de passe. Comme vous le verrez un peu plus loin, il y a un endroit où l’utilisation d’une phrase de passe est un choix parfait.

Il est beaucoup plus logique de laisser votre gestionnaire de mots de passe créer des mots de passe forts pour vous. Pourquoi ? Parce qu’en faisant confiance au gestionnaire (application locale présente sur votre appareil) pour vous communiquer un nouveau mot de passe, vous évitez que celui-ci vous soit envoyé par Internet de quelque endroit que ce soit.

Laisser votre gestionnaire de mots de passe générer des mots de passe forts pour vous directement sur votre appareil est la façon la plus sûre de procéder.

Importer des mots de passe à partir de votre navigateur

Nous l’avons vu plus haut, bien que ce ne soit pas une bonne idée, stocker les mots de passe des sites dans votre navigateur est mieux que rien. Mais maintenant que vous allez commencer à utiliser un gestionnaire de mots de passe, vous aurez besoin d’un moyen de déplacer tous ces mots de passe de votre navigateur dans le gestionnaire. Ça pourrait être un vrai casse-tête si vous deviez le faire manuellement.

Il est utile de choisir un gestionnaire de mots de passe qui peut importer des mots de passe à partir de votre navigateur. Il se peut que vous ayez besoin de faire un peu de nettoyage une fois que vous avez importé les mots de passe (en supprimant les comptes que vous n’utilisez plus, ou en créant des mots de passe plus forts pour certains comptes). Quoi qu’il en soit, vos données seront plus sûres si vous les importez du navigateur vers votre gestionnaire de mots de passe, puis supprimez tous les mots de passe enregistrés dans le navigateur.

Sécurité et confidentialité des gestionnaires de mots de passe

L’utilisation d’un gestionnaire de mots de passe est certainement la meilleure façon de procéder. Bien sûr, avec tous vos mots de passe et autres données stockés au même endroit, vous avez intérêt à vous assurer que votre gestionnaire de mots de passe est sécurisé et privé (totalement hermétique). Bien qu’il soit impossible de garantir qu’un logiciel est 100% sécurisé et privé, voici néanmoins quelques caractéristiques à rechercher.

Accès sécurisé au gestionnaire de mots de passe

Vous devriez être tenu de vous connecter à votre gestionnaire de mots de passe avant de pouvoir l’utiliser. C’est une évidence. Et comme tous vos secrets (ou du moins vos mots de passe) seront accessibles à toute personne qui peut se connecter à votre gestionnaire de mots de passe, vous voudrez utiliser un mot de passe vraiment sûr.

Astuce : vous devriez créer une longue phrase de passe à utiliser comme mot de passe maître pour vous connecter à votre gestionnaire de mots de passe pour une protection supplémentaire.

Authentification à deux facteurs

L’authentification à deux facteurs (2FA) peut être une caractéristique pour certains utilisateurs. Elle constitue un deuxième niveau de sécurité pour protéger l’accès à votre gestionnaire. Vous devrez passer par deux niveaux de sécurité avant de pouvoir y accéder.

2FA augmente considérablement la sécurité des solutions logicielles et des comptes en ligne en exigeant de l’utilisateur une information supplémentaire au mot de passe, comme un code PIN ou une empreinte digitale, avant que l’utilisateur puisse se connecter.

Vous trouverez à cette adresse une revue complète des solutions d’authentification multifactorielle. Vous le constaterez, il y a différentes manières de fournir ce deuxième facteur d’authentification. En général, les deuxièmes facteurs les plus importants sont des dispositifs physiques comme les clés de sécurité YubiKeys ou FIDO U2F.

Bien qu’il soit plus difficile de connecter un équipement physique à votre smartphone ou à votre ordinateur portable pour accéder à vos mots de passe, que d’utiliser un simple numéro de téléphone ou une adresse électronique comme deuxième facteur, cela oblige aussi quelqu’un qui veut voler vos données à mettre physiquement la main sur cette clé de sécurité pour le faire. Pour autant, cela peut créer des problèmes si vous perdez l’accès à l’appareil physique et qu’il n’est pas sauvegardé correctement.

Chiffrement fort

Votre gestionnaire de mots de passe contiendra éventuellement une grande quantité d’informations personnelles importantes dans une base de données qui se trouve sur votre appareil, dans le cloud, ou plus probablement, dans les deux endroits. Cela signifie qu’il doit utiliser un chiffrement sécurisé de bout en bout.

Voici ce qu’affirme utiliser Bitwarden :

Bitwarden utilise le chiffrement AES 256 bits ainsi que PBKDF2 pour sécuriser vos données.

AES est une norme en cryptographie utilisée par le gouvernement américain et d'autres agences gouvernementales à travers le monde pour protéger les données top-secrètes. Avec une implémentation correcte et une clé de chiffrement forte (votre mot de passe maître), AES est considéré comme incassable.

PBKDF2 SHA-256 est utilisé pour dériver la clé de chiffrement de votre mot de passe maître. Cette clé est ensuite salée et hachée. Le nombre d'itérations par défaut utilisé avec PBKDF2 est de 100 001 itérations sur le client (ce nombre d'itérations côté client est configurable à partir des paramètres de votre compte), puis 100 000 itérations supplémentaires lorsque stockées sur nos serveurs (pour un total de 200 001 itérations par défaut).

Vérifiez que votre gestionnaire de mots de passe utilise des normes de chiffrement strictes.

Code source ouvert

Le code source ouvert (open source) est un code qui peut être vu et utilisé par n’importe qui. L’avantage du code source ouvert est que les gens peuvent examiner le code, et le font, à la recherche de portes dérobées cachées ou d’autres problèmes qui pourraient compromettre la sécurité du produit (le gestionnaire de mots de passe dans ce cas).

Bien que l’open source ne soit pas nécessairement synonyme de sécurité, il est considéré comme plus sûr que les logiciels propriétaires, où les personnes de l’extérieur sont empêchées de voir ce qui se passe en coulisses. Lisez notre article sur l’importance de l’open-source pour les solutions qui touchent à la confidentialité des données.

Audits de sécurité

La mise à disposition par le développeur auprès du public de tout le code source de son logiciel de gestion des mots de passe est très rassurant. Mais avoir un audit de sécurité complet du produit par une société externe est encore plus appréciable.

N’oubliez pas que vous vous apprêtez à mettre entre les mains d’une unique application, l’accès à toute votre vie numérique. Mieux vaut savoir avec qui vous vous embarquez dans cette aventure. N’est-ce pas ?

Un audit de sécurité implique qu’une entreprise externe fasse des choses comme essayer de pirater un produit, vérifier le code source pour détecter les problèmes et analyser comment les protocoles de chiffrement sont utilisés dans le produit.

Si une entreprise effectue régulièrement des audits de sécurité de son gestionnaire de mots de passe, celui-ci sera probablement plus sûr qu’un produit qui n’est pas constamment testé de cette manière. Voici un audit de sécurité de Bitwarden, par exemple.

Historique des questions de sécurité ou de confidentialité

Une autre chose à vérifier est l’éventuel historique des problèmes de sécurité ou de confidentialité. Bien que pratiquement aucun logiciel ne soit à l’abri d’attaques, vous voudrez peut-être tenir compte des problèmes précédents. Cette année par exemple, un rapport a révélé une vulnérabilité qui a touché plusieurs gestionnaires de mots de passe importants (1Password, Dashlane, KeePass et LastPass), laissant potentiellement votre mot de passe maître exposé en texte clair dans la mémoire de votre ordinateur.

Bien que dans certaines circonstances, ce genre de problème puisse donner l’accès complet à un pirate, à toutes les données stockées dans votre gestionnaire de mots de passe, l’utilisation d’un gestionnaire de mots de passe reste néanmoins une approche plus sûre que le stockage de vos mots de passe dans votre navigateur ou l’utilisation de mots de passe simples.

Plates-formes et navigateurs supportés

Un gestionnaire de mots de passe est peu utile si vous ne pouvez pas l’utiliser sur tous vos appareils (mobile, bureau, tablettes, etc.). Lorsque vous recherchez un gestionnaire de mots de passe, assurez-vous qu’il prend en charge tous les périphériques, systèmes d’exploitation et navigateurs Web que vous utilisez.

Les meilleurs gestionnaires de mots de passe offrent généralement :

  • Applications de bureau natives pour Windows, Mac OS et Linux
  • Applications mobiles pour Android et iOS
  • Extensions de navigateur Web (pour les navigateurs les plus populaires)

Bitwarden et LastPass supportent de nombreux navigateurs.

Capture d'écran des extensions disponibles pour Navigateurs de Bitwarden
Extensions disponibles pour Navigateurs de Bitwarden
Capture d'écran des extensions disponibles pour Navigateurs de LastPass
Extensions disponibles pour Navigateurs de LastPass

Gratuit ou Payant ?

Comme en toute chose, le prix est important. Vous voudrez en choisir un dont le prix vous permettra de l’utiliser partout où vous en aurez besoin sans vous ruiner. Au-delà de cela, vous voudrez probablement en choisir un qui offre une version gratuite ou une période d’essai.

Étant donné que vous interagirez constamment avec votre nouveau gestionnaire de mots de passe, il est logique de lui faire faire un essai avant de vous engager de façon permanente. Si possible, essayez une version gratuite ou d’essai de tout gestionnaire de mots de passe qui vous intéresse.

Nous vous présentons ci-dessus certains des meilleurs gestionnaires de mots de passe dont l’utilisation des fonctionnalités nécessaires à la sécurité de vos mots de passe est totalement gratuite, comme Bitwarden ou LastPass.

Autres fonctions d’un gestionnaire de mots de passe

Au-delà des fonctionnalités de base, telles que décrites plus haut, les gestionnaires de mots de passe essaient aujourd’hui de se démarquer de la concurrence en ajoutant des fonctionnalités supplémentaires. Il vous faut faire preuve ici d’un peu de discernement, parce que certains produits offrent des versions gratuites ou à bas prix avec toutes les caractéristiques de base, et des versions premium avec des caractéristiques à priori intéressantes dont vous pourriez n’avoir jamais besoin ou ne jamais utiliser.

Voici quelques caractéristiques supplémentaires que vous voudrez peut-être rechercher. Vous seul saurez reconnaître leur importance relative dans votre situation particulière.

Remplissage du mot de passe de l’application

Alors que la plupart des gestionnaires de mots de passe ne remplissent les mots de passe et autres informations utilisateur que sur les pages Web, certains d’entre eux vont plus loin en entrant vos données de connexion dans les applications. Par exemple, alors que la plupart des gestionnaires de mots de passe peuvent entrer vos données d’utilisateur sur, disons, la page de connexion Gmail, certains peuvent entrer vos informations d’identification dans des applications de bureau ou votre jeu préféré.

Fonctionnalité de l’application 2FA

Certains gestionnaires de mots de passe offrent de fonctionner comme le deuxième facteur d’authentification 2FA d’autres produits. Autrement dit, certains gestionnaires peuvent se substituer à des applications comme Google Authenticator ou Authy, que nous recommandons régulièrement.

Je ne saurais pas dire à ce stade s’il est pratique en utilisation quotidienne, de confier à une unique solution tous les aspects de mon authentification, en particulier si vous utilisez déjà une clé 2FA physique sur votre appareil.

Prise en charge de l’héritage numérique

Que se passe-t-il si vous décédez et que vous avez des informations importantes stockées dans votre gestionnaire de mots de passe ? Comment vos héritiers auraient-ils accès à ces renseignements ? Il s’avère que de nombreux gestionnaires de mots de passe de dernière génération possèdent des fonctions numériques qui facilitent l’accès de vos héritiers à vos documents.

Facilité de passer d’un gestionnaire de mots de passe à un autre

Il est possible que vous souhaitiez changer de gestionnaire de mots de passe un jour ou l’autre. Si cela vous semble être une bonne possibilité, vous voudrez peut-être vérifier si votre gestionnaire de mots de passe peut exporter des données sous une forme que d’autres gestionnaires de mots de passe peuvent importer.

Regardez les options d’exportation et d’importation de votre gestionnaire de mots de passe. Plus il peut utiliser de formats de fichiers pour importer ou exporter des données, mieux c’est.

Stockage de documents

De nombreux gestionnaires de mots de passe ont également ajouté la faculté de stocker des documents numérisés sous la forme de fichiers chiffrés. Cela vous permet de stocker des documents entiers dans la base de données du gestionnaire, et pas seulement des informations d’identification de l’utilisateur.

Par exemple, vous pouvez avoir besoin de stocker pour toute votre famille des justificatifs administratifs, des copies de documents officiels, passeports, cartes d’identité ou des certificats de propriété etc. Dans certains cas, cette fonction est intégrée au produit, alors que dans d’autres, il s’agit d’un module optionnel.

Analyse et mise à jour de la force des mots de passe

C’est formidable de pouvoir générer des mots de passe solides et sécurisés. Mais une fois que vous passerez à un nouveau gestionnaire de mots de passe, vous découvrirez peut-être que vous avez certains mots de passe pas si forts, pas si sûrs et pas si uniques que cela.

Bitwarden comme LastPass disposent d’une fonction qui vérifiera votre mot de passe par rapport à une base de données de mots de passe exposés lors d’atteintes à la protection des données. Vous serez alerté si vous utilisez l’un de ces mots de passe.

Capture d'écran du site Web LastPass sur la fonction d'audit des mots de passe
Audit des mots de passe par LastPass

Certains produits peuvent analyser la force de tous les mots de passe de la base de données et générer automatiquement de meilleurs mots de passe pour eux. Certains vous aideront même dans le processus de mise à jour.

Accès partagé

En général, ce n’est pas une bonne idée de partager votre gestionnaire de mots de passe avec qui que ce soit. Toutefois, il existe des situations où vous pouvez souhaiter partager l’accès à tout ou partie de votre base de données de mots de passe, par exemple dans le cadre d’une entreprise ou d’une équipe ou dans un cadre familial pour un équipement partagé (console de jeux, ordinateur, etc.)

Certains gestionnaires de mots de passe offrent une solution sécurisée pour le faire plutôt que de donner à quelqu’un votre mot de passe maître. Vous trouverez ces solutions par le biais de forfaits familiaux avec un nombre limité d’utilisateurs ou d’abonnements d’entreprise avec encore plus de flexibilité.

Certains offrent des tableaux de bord qui vous permettent de contrôler facilement et efficacement l’accès de chacun aux mots de passe partagés.

Mode Voyage

Certains voyageurs internationaux dans des “pays à risque” peuvent vouloir ne pas emporter avec eux la totalité de leurs mots de passe contenus dans leur gestionnaire, dans l’hypothèse d’une ouverture contrainte de leur application par des gardes-frontières ou autorités policières locales.

Il devient alors difficile de gérer les mots de passe des appareils avec lesquels vous voyagez et ceux que vous laissez derrière vous et qu’il vous faudra ré-importer au retour de votre déplacement.

Certains produits sont maintenant dotés d’un “mode de transport” qui vous permet de désigner les mots de passe qui restent sur vos appareils lorsque vous voyagez et ceux qui doivent être automatiquement supprimés avant le voyage et restaurés après celui-ci.

La mise en œuvre de ce “Mode Voyage” peut prendre un peu de temps dans la sélection des mots de passe à garder et ceux à écarter durant vos déplacements, mais si vous voyagez beaucoup, cela peut s’avérer être une option qui vous permet de gagner du temps et d’améliorer votre confidentialité. Tous en vous évitant de mauvaises surprises.

Remplissage de formulaires Web

De nombreux gestionnaires de mots de passe ne se contentent pas de remplir votre nom d’utilisateur et votre mot de passe, ils remplissent également des formulaires Web complets. Ils peuvent être en mesure d’entrer automatiquement votre adresse postale, votre numéro de téléphone, votre numéro de carte de crédit, etc. dans le champ approprié d’un formulaire.

Bien que l’approche la plus sûre pour entrer ce genre d’information soit de le faire à la main chaque fois que c’est nécessaire, cela peut être lent et sujet aux erreurs.

De nombreux sites et services proposent de stocker les données dont ils ont besoin dans leur propre base de données et de pré-remplir les champs pour vous. C’est certainement la façon la plus rapide et la plus facile de procéder.

Le meilleur équilibre entre rapidité, précision, commodité et sécurité pourrait bien être d’introduire toutes ces données dans votre gestionnaire de mots de passe et de le laisser remplir les formulaires Web pour vous.

Conclusion

Ce petit guide sur les gestionnaires de mots de passe vous a présenté tous les avantages à disposer d’un tel outil pour gérer la multitude des mots de passe uniques et robustes qui vous servent à accéder à tous vos comptes et applications en ligne. Ils sont aujourd’hui, avec l’authentification à deux facteurs, le moyen le plus efficace pour répondre au besoin de sécurité accrue face à l’augmentation des cyberattaques

Un gestionnaire de mots de passe est l’un des nombreux outils essentiels de protection de la vie privée que vous devriez utiliser pour défendre votre vie numérique, mais ce n’est pas tout. Il est également important d’avoir un navigateur sécurisé pour bloquer le suivi et un bon service VPN pour cacher votre adresse IP et votre emplacement.

Quels que soient vos besoins en matière de gestion des mots de passe, il existe un gestionnaire de mots de passe pour faire le travail.

Cet article vous a t-il été utile ?

Pypo

Nous avons créé ce site Web pour vous fournir des informations honnêtes, utiles et à jour sur les solutions existantes de confidentialité et de sécurité en ligne. Les guides et outils présents vous aideront à contrecarrer les plans de toutes les entreprises et entités gouvernementales qui pillent vos données personnelles et foulent votre vie privée. Nous suivre sur Mastodon