Avec l'accroissement naturel du nombre de services utilisés quotidiennement (ou non), il convient d'observer une stratégie de gestion de ses données personnelles, et tout particulièrement, de ses mots de passe.
On ne répètera jamais assez à quel point il est dangereux de réutiliser ses mots de passe, pire de n'en avoir qu'un seul que l'on utilise partout. Un mot de passe est toujours stocké en base de données des sites sur lesquels nous sommes inscrits, ils sont normalement stockés chiffrés, mais on découvre encore à l'occasion de fuites de données, des sites qui stockent en clair ces mots de passe. Et même stocké chiffré, un mot de passe n’est pas invulnérable, il existe des dictionnaires qui en recensent plus d’un milliard dont les pirates se servent pour venir à bout du chiffrement de ces mots de passe par force brute. Dans ces conditions, on comprend tout de suite l’intérêt de choisir un mot de passe très complexe et généré aléatoirement que l’on ne risque pas de retrouver dans l’une de ces bases de données. Rappelons également qu'il est toujours intéressant de vérifier que vos mots de passe n'ont pas été compromis lors d'une fuite massive de données émanant d'un piratage d'un gros service en ligne, par exemple avec le site HaveIBeenPwnd.
D'une manière générale, ne faites jamais confiance à un site web pour conserver un secret, choisissez des mots de passe complexes utilisant au minimum une douzaine de caractères, comprenant chiffres caractères spéciaux, majuscules et minuscules... et changez régulièrement ces mots de passe.
On se rend assez rapidement compte des limites de notre cerveau à mémoriser une multitude de mots de passe complexes et de les associer à des services, il nous faut donc un outil nous permettant de les stocker de manière sécurisée. Du simple fichier texte chiffré sur sa machine à des solutions plus élaborées, comme les gestionnaires de mots passe, il existe forcément une méthode et des outils qui conviennent à votre utilisation.
Entre utilisabilité et sécurité, vous aurez d'une manière ou d'une autre des compromis à faire. Si vous utilisez de nombreux terminaux (ordinateur domestique, professionnel, portable, smartphone, tablette...), vous serez tentés assez naturellement par une solution de stockage en ligne vous permettant d’accéder à un « coffre fort » contenant tous vos mots de passe.
Une solution assez populaire est celle proposée par LastPass. Outre le fait qu'il s'agisse d'une solution en ligne vous permettant très simplement d'opter pour une stratégie de mots de passe complexes que vous retrouverez sur tout vos terminaux et navigateurs sous forme d'extensions, disponibles pour Chrome / Chromium, Firefox, Opera (...)
LastPass s'utilise au quotidien de manière relativement transparente et offre quelques petits plus. Comme un mot de passe n'est jamais éternel, il faudra penser à en changer régulièrement. LastPass propose une procédure automatisée de changement de mots de passe fort pratique, même si celle-ci peut échouer sur certains services en ligne, services sur lesquels il faudra donc procéder manuellement. D'un point de vue technique, LastPass a opté pour le chiffrement AES256, un standard dont la robustesse a fait ses preuves et propose une authentification par mot de passe à usage unique.
Le gros point fort de LastPass réside dans son système de remplissage automatique des champs d'authentification, vraiment simple et transparent pour l'utilisateur.
LastPass a cependant des limites. En premier lieu, il s'agit d'une solution propriétaire. En second lieu, sa fonction de remplissage automatique des champs de formulaires d'authentification a une légère tendance à s'emmêler les pinceaux si vous avez à gérer de multiples authentifications sur beaucoup de sous-domaines d'un même domaine. Enfin, il est centralisé et très populaire, et représente en ce sens une cible de choix pour les pirates, le service a d’ailleurs subi deux attaques.
La bonne nouvelle, c'est qu'il existe des alternatives libres à LastPass. On citera parmi elles les excellents Keepass, Bitwarden ou Zenypasss.
L’utilisation de Zenypass est très simple. Après s’être créé un compte sur le site de Zenyway, on autorise ses différents navigateurs à se connecter au coffre fort par le biais d’un échange de token. Cette approche est une fonctionnalité intéressante que l'on aimerait retrouver sur les autres gestionnaires.
Il suffit ensuite de s’identifier avec son mot de passe maître pour accéder au coffre fort de mots de passe que nous aurons préalablement enregistrés. Notez que cette procédure d’enregistrement des sites web est manuelle, contrairement à Lastpass dont les extensions proposent à la détection d’un formulaire d’identification sur un nouveau site d’enregistrer automatiquement ce nouveau site.
Sachez enfin que le stockage illimité en ligne pour Zenypass est payant, il vous en coutera 49 euros pour en profiter pleinement.
Bitwarden propose de son côté une approche plus ressemblante à Lastpass en offrant en plus des applications natives pour OSX, Windows et Gnu/Linux.
Bitwarden propose des extensions pour de nombreux navigateurs web.
Comme LastPass, il embarque un générateur de mots de passe et détecte les champs des formulaires d’authentification dont il possède les identifiants, attention cependant, cette fonctionnalité n'est pas disponible sur Android à moins que vous ne soyez sur la version 8.0 (Oreo) ou supérieure. Bitwarden propose une procédure d'importation vous facilitant les migrations depuis d'autres gestionnaires de mots de passe dont vous trouverez une liste exhaustive ici.
Keepass propose de son côté une approche complètement « locale » de son coffre fort. Ici pas de cloud, pas de stockage externalisé, tout se trouve sur votre machine. Initialement développé pour Windows, son code ouvert a permis de nombreuses contributions et des portages sur GNU/Linux, OSX, ou encore Android. Son utilisation est très "classique", on commence par se créer une base de données. On ajoute ensuite manuellement chaque site dont on souhaite stocker les identifiants.
Nous retiendrons enfin que les outils les plus pratiques pour un usage quotidien, à savoir LastPass et Bitwarden proposent un coffre fort en ligne nous permettant de passer d'une machine à l'autre sans avoir à nous soucier de savoir si nos mots de passe sont bien stockés sur la machine. Un seul mot de passe maitre à mémoriser, et vous accédez à tous les autres. LastPass, avec son "challenge sécurité" offre en plus une approche pédagogique intéressante, il incite à changer régulièrement son mot de passe maître, et propose même une procédure totalement automatisée de renouvellement des mots de passe sur les différents services. Zenypass de son côté, bien que payant si l'on souhaite disposer du coffre fort en ligne est lui aussi très intéressant, notamment pour sa procédure d'ajout de navigateurs et de machines autorisées. Enfin, si vous n'avez aucune confiance aux coffre forts en ligne, Keepass est fait pour vous.
