Les gestionnaires de mots de passe sont-ils sûrs ?

Un bon gestionnaire de mots de passe est sûr en raison de par les mesures de sécurité utilisées : chiffrement, stockage à connaissance zéro, authentification à deux facteurs et le fait que l’utilisateur ne doive mémoriser qu’1 seul et unique mot de passe.

En bref : les gestionnaires de mots de passe sont-ils sûrs et comment fonctionnent-ils ?

Qu’est-ce qu’un gestionnaire de mots de passe ?

Un gestionnaire de mots de passe se présente sous la forme d’une application ou d’un plug-in de navigateur qui enregistre les noms d’utilisateur et les mots de passe des sites Internet que vous visitez sur votre appareil. Il le fait avec votre permission. Il peut également générer des mots de passe fort sécurisé à votre demande.

En utilisant un gestionnaire de mots de passe, vous ne devez retenir qu’un seul mot de passe sécurisé, pour le gestionnaire, au lieu d’inventer et de mémoriser des mots de passe sûrs (compliqués à retenir) et uniques pour chaque site et service que vous visitez.

Aperçu de l’interface de NordPass

Comment fonctionnent les gestionnaires de mots de passe ?

Un gestionnaire de mots de passe fonctionne de manière assez simple. Il s’agit d’une application ou d’un module complémentaire de navigateur qui détecte que vous saisissez des données de connexion sur un site, un service ou une application. Il vous invite à les enregistrer et, si vous choisissez de le faire, les données sont alors chiffrées et stockées dans ce que l’on nomme un coffre-fort de mots de passe.

L’utilisateur dispose de ces données pour se connecter à ses comptes en ligne sans avoir à mémoriser un mot de passe unique pour chacun d’entre eux.

Types de gestionnaires de mots de passe (et leurs avantages et inconvénients)

Il existe généralement deux types de gestionnaires de mots de passe : ceux qui stockent vos mots de passe localement et ceux qui les stockent en ligne. Les deux approches ont leurs avantages et leurs inconvénients.

Gestionnaires de mots de passe locaux

Les gestionnaires de mots de passe locaux conservent vos mots de passe sur vos appareils ou navigateurs. Cela élimine les risques de perdre vos informations d’identification lors d’une violation de données à l’échelle de l’entreprise. De plus, ils sont généralement gratuits.

Attention toutefois, une solution locale est vulnérable aux problèmes des appareils en eux mêmes. Par exemple, la sécurité de votre mot de passe peut être compromise si votre appareil est infecté par un malware. Ils sont vulnérables aux logiciels malveillants et aux virus. Et si votre ordinateur tombe en panne, tous vos mots de passe auront disparu.

Les gestionnaires de mots de passe à stockage local sont également moins pratiques, car vous devrez les installer sur chaque appareil que vous utilisez. Ainsi, si vous essayez de vous connecter à Facebook sur un appareil qui n’est pas le votre, vous devrez vous souvenir du mot de passe.

Gestionnaires de mots de passe dans le cloud

Les gestionnaires de mots de passe basés sur le cloud stockent vos mots de passe dans des bases de données en nuage. Ils sont plus pratiques car vous pouvez y accéder de n’importe où. Cependant, ils peuvent potentiellement être soumis à des violations de données. C’est pourquoi il est très important de trouver un fournisseur de gestionnaire de mots de passe fiable.

Contrairement aux gestionnaires de mots de passe locaux, leurs homologues basés sur le cloud ne sont pas liés à un seul appareil. En effet, vous pouvez en utiliser un de n’importe où dans le monde, à condition d’avoir un accès à Internet.

Les gestionnaires de mots de passe dans le nuage sont également plus sûrs car ils ne sont pas vulnérables aux malware qui pourraient infecter vos appareils. Les seules menaces pour la sécurité de votre vie privée en ligne sont les brèches qui peuvent se produire dans les opérations de sécurité du cloud.

Quels sont les risques liés à l’utilisation d’un gestionnaire de mots de passe ?

Voici les principaux risques auxquels vous vous exposez en tant qu’utilisateur d’un gestionnaire de mots de passe :

• Toutes les données en un seul endroit : il suffit aux hackers de violer l’accès à votre gestionnaire de mots de passe pour avoir instantanément accès à tous vos comptes (à l’exception de ceux qui nécessitent une vérification en deux étapes). De plus, certains gestionnaires de mots de passe stockent également les données de votre carte bancaire, ce qui constitue un risque supplémentaire.
• Le gestionnaire peut être non-sécurisé : si vous recherchez le gestionnaire de mots de passe le moins cher, vous risquez d’en trouver un dont le niveau de chiffrement est faible, les pratiques de sécurité insuffisantes, etc. Il se peut même qu’il ne sauvegarde pas votre coffre-fort de mots de passe, ce qui signifie qu’une défaillance de ses serveurs entraînerait la disparition de tous vos identifiants stockés.
• La compromission de votre appareil peut compromettre le gestionnaire : si vous utilisez un gestionnaire de mots de passe sur votre PC, par exemple, et que celui-ci est infecté par un logiciel malveillant, toutes vos données, y compris le gestionnaire de mots de passe, peuvent être menacées. Même si ce n’est pas aussi facile que de voler votre coffre-fort de mots de passe (il est crypté), cela peut néanmoins donner accès au gestionnaire lui-même.
• Oubli de votre mot de passe principal : vous avez toujours besoin d’un mot de passe sécurisé pour votre gestionnaire de mots de passe. Cela signifie que vous ne pouvez pas utiliser votre date de naissance, le nom de votre animal de compagnie ou faire toute autre erreur de création de mot de passe. Mais un mot de passe sécurisé peut être plus difficile à retenir.

Les erreurs à éviter en matière de sécurité des mots de passe

Pour utiliser un gestionnaire de mots de passe gratuit en toute sécurité, vous devez tout de même respecter les règles relatives aux mots de passe sécurisés :

• Ne pas répéter le même mot de passe : si vous avez déjà utilisé ce mot de passe auparavant, ne l’utilisez pas comme mot de passe principal de votre gestionnaire de mots de passe.
• Utilisez un mot de passe sécurisé : l’astuce consiste à éviter les dates et les mots du dictionnaire. L’ajout d’au moins un caractère non alphanumérique est également utile. Pensez à créer un moyen mnémotechnique pour vous souvenir de cet excellent mot de passe.
• Ne conservez pas le mot de passe à proximité : Je ne peux pas vous dire quel est le bon endroit physique pour stocker votre mot de passe principal, mais ce n’est certainement pas votre portefeuille, une note autocollante sur votre écran, une note sur votre smartphone ou un fichier .txt sur votre bureau. L’endroit le plus sûr est dans votre tête.
• N’utilisez pas le stockage des mots de passe du navigateur : Utilisez un gestionnaire de mots de passe plutôt que la fonction de stockage des mots de passe de votre navigateur. De même, ne stockez pas votre mot de passe principal sur votre navigateur.
• Activez l’authentification à deux facteurs : l’authentification à deux facteurs est paraitre fastidieuse, mais elle l’est encore plus pour les tiers malvaillants. Utilisez-la !

Les gestionnaires de mots de passe sont-ils sûrs ?

Rien n’est jamais sûr à 100 %, un bon gestionnaire de mots de passe dispose d’un grand nombre de mesures de sécurité pour garantir la sécurité de vos données. Voici ce dont ce que les meilleurs proposent :

Chiffrement

Les gestionnaires de mots de passe cryptent vos données à l’aide de l’algorithme AES-256, qui est le meilleur qu’on puisse trouver de nos jours et qu’aucun ordinateur ne pourrait craquer en une vie.

Connaissance zéro

Cela signifie que le mot de passe est chiffré avant d’être transmis au coffre-fort. En cas d’intrusion dans le serveur, les tiers ne trouveraient que des données inexploitables. D’autres services se contentent de stocker les mots de passe sur votre appareil, ce qui est un peu plus sûr mais beaucoup moins pratique.

Un seul mot de passe

Si vous n’aviez à retenir qu’un seul mot de passe, vous seriez probablement capable de vous souvenir de n’importe quelle chaîne aléatoire de lettres, de chiffres et de signes de ponctuation.

Bons mots de passe

Un ordinateur peut générer un mot de passe plus fort que vous et il peut en stocker un nombre indéfini. Ainsi, lorsqu’il s’agit de se connecter, tous vos comptes bénéficieront du même niveau de sécurité.

Authentification à deux facteurs

L’authentification à deux facteurs renforce la sécurité de vos comptes en vous demandant de confirmer votre connexion sur un autre appareil. Il est ainsi plus difficile pour toute personne qui mettrait la main sur le mot de passe de votre gestionnaire de mots de passe d’y accéder.

Biométrie

Pourquoi ne pas rendre l’authentification 2FA encore plus difficile à craquer et à manipuler en utilisant votre empreinte digitale comme deuxième verrou de votre gestionnaire de mots de passe ? C’est optionnel et pas encore indispensable.

Surveillance des menaces

Certains gestionnaires de mots de passe vont jusqu’à avertir les utilisateurs lorsque leurs mots de passe ont été divulgués lors d’une violation, les incitant à les changer.

Quels sont les gestionnaires de mots de passe sûrs ?

En général, il y a quelques grands acteurs sur le marché. Nous vous recommandons de consulter ces services pour commencer :

• NordPass
• Proton Pass
• 1Password
• Dashlane
• Bitwarden (Open Source)

Un gestionnaire de mots de passe peut-il être piraté ?

Techniquement oui, il est possible qu’un gestionnaire de mots de passe soit piraté d’une manière ou d’une autre. Mais, comme déjà évoqué, le chiffrement rend toute tentative de hack pratiquement inutile.

Examinons quelques piratages de gestionnaires de mots de passe qui ont eu lieu récemment :

2015 : LastPass a perdu les emails des utilisateurs et les rappels de mots de passe, mais peu de dommages ont été causés parce que tout accès aux comptes des utilisateurs devait encore être confirmé par courriel.

2016 : des hackers éthiques et des experts en sécurité ont découvert des vulnérabilités dans LastPass, Dashlane, 1Password, Keeper et quelques autres gestionnaires.

2017 : LastPass a signalé une grave vulnérabilité du module complémentaire du navigateur. Elle a été corrigée dans les 24 heures.

2019 : les chercheurs ont découvert des vulnérabilités de code qui, combinées à Windows 10 et à des logiciels malveillants spécifiques, pourraient compromettre Dashlane, LastPass, 1Password et KeePass. Aucun dommage n’a été signalé.

2022 : LastPass a connu une brèche où certains codes et informations exclusives ont été volés. Les pirates n’ont pas eu accès aux données des utilisateurs.

En somme, à l’heure actuelle, rien de particulièrement dommageable. LastPass reste parmi les gestionnaires de mots de passe les plus recommandés.

Il est plus facile et beaucoup plus courant de compromettre un gestionnaire de mots de passe par le biais de l’ingénierie sociale. Par exemple, vous pouvez être incité à télécharger un logiciel malveillant enregistreur de frappe sur votre appareil par le biais d’un site malveillant ou d’un courriel. Ce keylogger peut enregistrer le mot de passe principal de votre gestionnaire de mots de passe.

Le phishing est de loin le plus grand risque pour votre gestionnaire de mots de passe. C’est pourquoi il est sage de toujours utiliser le système 2FA comme plan de secours. Et comme le phishing est un phénomène dont vous êtes le seul à pouvoir vous protéger en faisant preuve de diligence, je dirais que les gestionnaires de mots de passe sont assez sûrs

En conclusion : les gestionnaires de mots de passe vont devenir indispensable

Nous n’allons pas soudainement avoir moins de sites web et d’applications auxquels nous devons nous connecter. C’est pourquoi il restera important de conserver des mots de passe forts. Faire appel à un gestionnaire de mots de passe pour sécuriser et chiffrer ces connexions deviendra bientôt une obligation tant nous avons de compte à protèger. La CNIL recommande l’utilisation des gestionnaire de mot de passe.
Nous vous invitons à consulter également d’autres fonctions de sécurité. Et lorsqu’il s’agit de chiffrer votre trafic en ligne, pensez également à utiliser un VPN.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour vos nombreux partages !