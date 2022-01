La plupart des passionnés de technologie de nos jours, y compris beaucoup d’entre nous ici à Android Authority, ne jurent que par les gestionnaires de mots de passe. Ils sont souvent présentés comme le moyen le plus simple d’améliorer votre sécurité en ligne, en éliminant les problèmes courants tels que les mots de passe faciles à deviner et les mauvaises pratiques de stockage. De plus, beaucoup offrent même la commodité grâce au remplissage automatique comme bonus supplémentaire. Si vous êtes soucieux de rester sécurisé et privé en ligne, vous avez probablement aussi entendu parler des gestionnaires de mots de passe.

Le principe de base est simple : un gestionnaire de mots de passe génère des mots de passe aléatoires pour chaque site Web ou service que vous utilisez. Ces mots de passe sont ensuite ajoutés à un coffre-fort virtuel, verrouillé derrière un mot de passe principal. De cette façon, on ne s’attend pas à ce que vous vous souveniez de dizaines de mots de passe – tout ce dont vous avez besoin est un seul complexe. Mais à quel point les gestionnaires de mots de passe sont-ils sûrs et en utiliser un fait-il de vous une cible vulnérable ?

Pourquoi utiliser un gestionnaire de mots de passe ?

L’une des plus grandes forces des gestionnaires de mots de passe est leur capacité à générer des mots de passe complexes pour vous. Considérez le mot de passe de 18 caractères suivant, par exemple, gracieuseté de mon gestionnaire de mots de passe : #*Si6Myx@BD2nqCAWa.

Tout d’abord, c’est complètement aléatoire et sans rapport avec quoi que ce soit dans ma vie, ce qui rend pratiquement impossible pour quiconque de deviner à travers une attaque d’ingénierie sociale. Il ne contient pas non plus de mots ou de noms communs, donc les attaques par dictionnaire courantes peuvent également être exclues.

Les gestionnaires de mots de passe génèrent des mots de passe aléatoires et uniques pour chaque site Web, vous protégeant ainsi des futures failles de sécurité.

Le caractère aléatoire et l’unicité sont tout aussi importants, surtout si vous avez tendance à réutiliser les mots de passe. Des services comme Have I Been Pwned vous diront exactement à combien de violations de données votre adresse e-mail a été associée. Si vous utilisez un gestionnaire de mots de passe pour générer des dizaines de mots de passe non corrélés, vos comptes numériques sont complètement isolés les uns des autres. En termes simples, une seule faille de sécurité sur un site Web de réseau social aléatoire ne compromettra pas tous vos comptes bancaires et sensibles.

Les gestionnaires de mots de passe sont-ils sûrs ? Peuvent-ils se faire pirater ?

Les gestionnaires de mots de passe semblent compliqués, mais leurs principes de sécurité sont assez simples à comprendre. En un mot, ils s’appuient sur une technique de cryptographie spécifique appelée cryptage à connaissance nulle qui garantit que personne, sauf vous, ne peut accéder à vos mots de passe enregistrés. Cela s’ajoute à toutes les pratiques de cryptage en ligne habituelles, telles que le cryptage de bout en bout et le cryptage au repos.

La meilleure façon de comprendre le modèle de sécurité d’un gestionnaire de mots de passe est de regarder les plateformes de stockage en nuage comme Google Drive ou Dropbox. Avec ces services, vos données sont cryptées, mais le fournisseur de services lui-même détient les clés d’authentification. Votre mot de passe est uniquement utilisé pour authentifier votre compte, pas pour déchiffrer les données réelles. En termes simples, si les serveurs du fournisseur de cloud étaient compromis ainsi que les clés de cryptage, vos données pourraient être accessibles à distance et à votre insu.

C’est pour cette raison qu’aucun service de gestion de mots de passe crédible n’enregistrera jamais votre mot de passe principal ni ne conservera une copie des clés de cryptage utilisées pour décrypter votre coffre-fort. En d’autres termes, l’application a « zéro connaissance » des mots de passe cryptés.

Les gestionnaires de mots de passe ne stockent pas de copie de la clé de cryptage. En d’autres termes, personne d’autre que vous ne peut accéder à votre coffre-fort.

Nous avons vu une poignée de gestionnaires de mots de passe de haut niveau subir des failles de sécurité dans le passé. Cependant, à notre connaissance, aucun d’entre eux n’a divulgué d’informations sensibles telles que des mots de passe ou d’autres contenus de coffre-fort. Statistiquement parlant, l’utilisation d’un gestionnaire de mots de passe est bien plus sûre que l’alternative : écrire vos mots de passe dans un document en texte brut ou réutiliser un mot de passe prévisible sur plusieurs sites.

Le gros inconvénient de cette technique de cryptage à toute épreuve est que vous risquez de perdre définitivement l’accès à vos mots de passe si vous oubliez le mot de passe principal. Vous ne pouvez pas simplement contacter le service client pour « réinitialiser » votre mot de passe principal. En fait, cela impliquerait que le gestionnaire de mots de passe puisse accéder à vos données à volonté, ce qui n’est pas très sécurisé !

Utilisez l’authentification à deux facteurs pour plus de sécurité

Bien sûr, aucun logiciel ou technologie n’est parfait. Le mot de passe peut également être vulnérable dans des scénarios spécifiques. Cependant, ce sont presque toujours des scénarios artificiels qui sont peu susceptibles de vous affecter.

Les chercheurs en sécurité ont une fois découvert un bogue de cache, par exemple, qui aurait pu permettre à un attaquant de capturer des mots de passe précédemment remplis. Cependant, cela nécessitait une série d’actions spécifiques de la part de l’utilisateur, notamment la visite d’un site Web malveillant. Plus important encore, le bogue a été corrigé bien avant sa divulgation publique, de sorte que son impact dans le monde réel était négligeable, voire nul.

Les gestionnaires de mots de passe populaires sont régulièrement audités et les failles de sécurité sont généralement corrigées avant qu’elles ne deviennent publiques.

La plus grande vulnérabilité à considérer est l’erreur de l’utilisateur. Les gestionnaires de mots de passe eux-mêmes sont assez sécurisés, mais on ne peut pas en dire autant du navigateur ou d’autres applications installées sur votre ordinateur. Un programme malveillant espionnant votre presse-papiers, par exemple, pourrait facilement siphonner vos mots de passe – et ce ne serait pas la faute du gestionnaire de mots de passe. De même, les enregistreurs de frappe pourraient enregistrer votre mot de passe principal lorsque vous déverrouillez votre coffre-fort.

Alors, comment vous protéger contre ces scénarios hypothétiques ? Outre la recommandation évidente de télécharger les dernières mises à jour de sécurité sur tous vos appareils, vous devriez envisager d’utiliser l’authentification à deux facteurs (2FA). En fait, de nombreux gestionnaires de mots de passe eux-mêmes peuvent être sécurisés avec 2FA.

En termes simples, l’authentification à deux facteurs vous permet de combiner un mot de passe avec quelque chose que vous avez sur vous. Il peut s’agir de codes provenant d’une application telle que Google Authenticator ou d’un périphérique matériel dédié, tel qu’une YubiKey. De cette façon, même si un attaquant met la main sur votre (vos) mot(s) de passe, il ne pourra pas accéder à vos comptes.

Enfin, n’oubliez pas que vous ne devez réutiliser votre mot de passe principal nulle part ailleurs. Cela peut vous exposer à des attaques de bourrage d’informations d’identification, dans lesquelles les attaquants utilisent des informations d’identification volées pour se connecter à des services sans compromis, comme votre gestionnaire de mots de passe. Nous avons récemment assisté à une augmentation des tentatives de bourrage d’informations d’identification dans les principaux services de gestion des mots de passe.

Quel gestionnaire de mots de passe devez-vous utiliser ?

Avec les bases à l’écart, quel gestionnaire de mots de passe devriez-vous utiliser ? Après tout, il existe des dizaines d’options, avec des ensembles de fonctionnalités et des prix différents pour démarrer. Heureusement, choisir le gestionnaire de mots de passe le plus sécurisé n’est pas très compliqué. Vous ne pouvez pas vous tromper avec l’un des grands noms, du moins du point de vue de la sécurité.

La plupart des gestionnaires de mots de passe de haut niveau sont fonctionnellement identiques, mais peuvent varier en termes de prix, de fonctionnalités non essentielles et d’autres facteurs.

Si vous recherchez un gestionnaire de mots de passe open source, Bitwarden est universellement considéré comme la meilleure option. Les fonctionnalités de base sont fournies gratuitement, y compris la synchronisation illimitée entre appareils. Mieux encore, vous pouvez choisir entre le service cloud de Bitwarden ou auto-héberger votre propre installation sur un ordinateur ou un serveur local. Le seul inconvénient de Bitwarden est qu’il s’agit d’un projet soutenu par la communauté, il n’y a donc aucune garantie de mises à jour cohérentes.

Si la simplicité compte pour vous, LastPass et 1Password peuvent sembler plus attrayants. Les deux existent depuis au moins une décennie et restent largement utilisés aujourd’hui. Ils ont des niveaux premium, mais vous pouvez obtenir des fonctionnalités supplémentaires et un support client potentiellement meilleur pour votre argent.

Enfin, si la synchronisation dans le cloud semble trop risquée, même avec tout le cryptage et les meilleures pratiques susmentionnées, KeePass est un gestionnaire de mots de passe open source qui peut sécuriser vos données de coffre-fort dans un fichier de base de données hors ligne. Vous devrez transférer manuellement la base de données sur chaque appareil et répéter le processus chaque fois que vous modifiez le contenu du coffre-fort. Vous échangez essentiellement la commodité contre une sécurité accrue, pour le meilleur ou pour le pire.

Ce n’est en aucun cas une liste exhaustive. Vous pouvez trouver plus d’outils de gestion de mots de passe, y compris les offres de Google et Samsung, dans notre tour d’horizon des meilleurs gestionnaires de mots de passe pour Android.

