» Solutions » Gestionnaires de mots de passe Open Source vs Propriétaires

Gestionnaires de mots de passe Open Source vs Propriétaires

  • Pypo 

Aujourd’hui, nous avons tous un très grand nombre de comptes et services en ligne auxquels nous nous connectons. Et pour que ces comptes soient sécurisés, chacun d’entre eux doit avoir un mot de passe unique et fort. En outre, les mots de passe vraiment robustes doivent être complexes, donc extrêmement difficiles à mémoriser.

Pour pallier cette difficulté, la meilleure solution est d’utiliser un gestionnaire de mots de passe. Celui-ci est spécialement conçu pour mémoriser tous vos mots de passe à votre place. En utilisant un gestionnaire de mots de passe, vous pouvez créer des mots de passe uniques et forts pour chaque compte en ligne sans avoir à les mémoriser tous.

Cependant, tous les gestionnaires de mots de passe ne sont pas égaux, et il y a certaines choses importantes à prendre en compte lorsqu’il s’agit de choisir un service.

Peut-on leur faire confiance ?

Lorsqu’il s’agit de choisir un gestionnaire de mots de passe, il y a quelques considérations essentielles qui rendent ces services plus ou moins intéressants les uns que les autres. L’un des plus importants d’entre eux est de savoir si le logiciel est fermé ou open source.

Les logiciels à source fermée sont propriétaires et font l’objet d’une licence (protégée par le droit d’auteur) de telle manière que personne n’est autorisé à les utiliser, les modifier ou les distribuer. De plus, le logiciel propriétaire est verrouillé de telle sorte qu’il est impossible d’analyser le code (sans que le développeur ne lui accorde un accès direct).

Si le code d’un gestionnaire de mots de passe est fermé, alors aucun audit par un tiers ne peut avoir lieu, et il est impossible de vérifier les affirmations faites par son développeur. Cela signifie que vous devez faire confiance au développeur du gestionnaire de mots de passe lorsqu’il vous indique comment les données sont stockées ou transmises par ce gestionnaire. C’est donc un point très délicat lorsque l’on s’apprête à lui confier tous nos mots de passe, codes secrets et autres informations très personnelles.

Chaque fois qu’un gestionnaire de mots de passe est fermé, vous ne savez tout simplement pas si le service est aussi sûr que le développeur le prétend, et cela pourrait mettre en danger votre vie privée et votre sécurité.

Découvrez nos gestionnaires de mots de passe préférés avant de vous engager auprès de l’un d’eux.

Open source : la référence absolue

En publiant le code source de n’importe quel programme en ligne (sur Github, par exemple), cela le rend disponible mais pas nécessairement “open source”.

Les logiciels libres ne doivent pas seulement être disponibles pour un éventuel audit, ils doivent également disposer d’une licence open source conforme à la définition de l’Open Source.

Les logiciels conformes à ces normes strictes doivent être libres de redistribution et fournir un accès illimité au code source tout en respectant les dix définitions qui caractérisent le code source comme “open source”. Les logiciels qui adhèrent à ces normes et pour lesquels le créateur a renoncé à tous ses droits avec une licence Creative Commons License (CCL) sont vraiment open source.

Les logiciels libres peuvent être audités par n’importe quel tiers. C’est vital pour la confidentialité et la sécurité car cela signifie que les experts en sécurité (ou quiconque le souhaite) peuvent analyser le code et vérifier qu’il n’y a pas d’erreurs, de vulnérabilités ou de portes dérobées délibérées. Cela signifie également que toute interrogation concernant les normes de cryptage, la gestion des clés, la transmission des données aux serveurs de l’entreprise ou la synchronisation des données d’un appareil à l’autre peut être réellement adressée au développeur.

Il convient également de noter que même si le code accessible au public n’est pas nécessairement “open source” dans la définition la plus stricte du terme, sa seule disponibilité est toujours plus satisfaisante pour des raisons de sécurité et de confidentialité qu’un code totalement inaccessible. Ce faisant, il offre toujours aux professionnels de la sécurité de pouvoir analyser et vérifier le code source du service.

Autres considérations importantes

Comme vous pouvez le voir, l’open source par rapport à une source fermée est une considération importante lorsqu’il s’agit de choisir un logiciel de confidentialité. Cependant, lorsqu’il s’agit de gestionnaires de mots de passe, il y a sans doute autre chose qui est tout aussi important (et qui est inextricablement lié au débat source fermée/open source).

Les gestionnaires de mots de passe se divisent en deux catégories :

  • les services où vous chiffrez vos propres mots de passe et vous seul pouvez les déchiffrer
  • les services où vous confiez à un tiers le chiffrement de vos mots de passe (et pour lesquels le tiers détient la clé utilisée pour déchiffrer les mots de passe en votre nom)

Le stockage des mots de passe en ligne est très apprécié en termes d’expérience utilisateur parce qu’il permet aux mots de passe d’être accessibles depuis n’importe quel appareil. Et, si ces mots de passe sont stockés avec un chiffrement de bout en bout, alors cette implémentation est considérée comme sécurisée parce que seul l’utilisateur a le pouvoir de déchiffrer ses mots de passe.

Bien sûr, si vos mots de passe sont stockés sur les serveurs de l’entreprise éditrice, cela augmente légèrement le risque qu’ils soient piratés (par exemple, un pirate pourrait simplement deviner votre mot de passe maître). Cependant, ce risque est extrêmement minime tant que votre mot de passe maître est à la fois unique et complexe, et/ou que vous utilisez un fichier clé ou une autre forme d’authentification à deux facteurs (2FA).

Il est à noter que si un gestionnaire de mots de passe fournit un véritable chiffrement de bout en bout (E2EE), alors votre compte ne sera jamais récupérable. C’est parce que vous seul avez le pouvoir d’accéder à vos mots de passe avec votre clé maîtresse. Si vous perdez votre passe-partout, vous ne pourrez plus accéder à vos mots de passe. Cela peut inquiéter certains utilisateurs qui craignent de perdre ou d’oublier leur mot de passe principal. Cependant, c’est en fait le signe d’un meilleur gestionnaire de mots de passe.

Quiconque veut s’équiper d’un gestionnaire de mots de passe réellement sécurisé a intérêt à opter pour un service qui ne pourra jamais être récupéré et pour lequel seuls les utilisateurs détiennent la clé maîtresse. Si à cela, vous ajoutez le caractère open source du logiciel, alors vous avez là un gestionnaire de mots de passe digne de confiance.

Comme expliqué précédemment, il est impossible de vérifier si un gestionnaire de mots de passe à source fermée relève de l’une ou l’autre des catégories mentionnées, parce qu’il est impossible de vérifier qu’il ne partage pas secrètement votre clé principale avec un tiers.

Tout gestionnaire de mots de passe de source propriétaire qui offre le chiffrement de bout en bout E2EE peut en théorie collecter les mots de passe de chaque utilisateur pour le compte d’une autorité gouvernementale. Même si cela semble improbable, cela reste une possibilité pour tout gestionnaire de mots de passe avec un code non consultable.

Open source vs source fermée

Ci-dessous, nous avons compilé une liste de gestionnaires de mots de passe populaires afin que vous puissiez voir s’ils sont propriétaires ou open source. La plupart des gestionnaires de mots de passe de cette liste ont une excellente réputation, et certains peuvent être une bonne option pour vous en fonction de votre modèle de menace.

Lorsqu’ils sont open source, vous pouvez cliquer sur le lien qui vous amène directement au code source lui même.

Si vous recherchez les meilleurs niveaux de sécurité disponibles, choisissez un gestionnaire de mots de passe open source, irrécupérable en cas de perte de votre mot de passe maître.

Cet article vous a t-il été utile ?

Pypo

Nous avons créé ce site Web pour vous fournir des informations honnêtes, utiles et à jour sur les solutions existantes de confidentialité et de sécurité en ligne. Les guides et outils présents vous aideront à contrecarrer les plans de toutes les entreprises et entités gouvernementales qui pillent vos données personnelles et foulent votre vie privée. Nous suivre sur Mastodon