Les gestionnaires de mots de passe

Bonjour à toutes et à tous !

Aujourd'hui, je vous propose de découvrir ce que sont les gestionnaires de mots de passe et quelles en sont leurs utilités.

Généralités sur les mots de passe

Le danger

Ah, les mots de passe… C'est une technique très utilisée depuis les débuts d'Internet afin d'accéder à un espace restreint, comme un compte personnel. Le problème, c'est que c'est utilisé depuis les débuts d'Internet. Et, avec le temps, de nombreux hackers ont trouvé des techniques afin de se connecter à votre insu sur vos sites web préférés avec votre compte.

Il existe de nombreuses techniques permettant de pirater un compte : par injection SQL, par Cross-site request forgery, ou encore par attaque par force brute. Alors que les deux premières dépendent plutôt de la conception même du site web (globalement, vous ne pouvez donc rien y faire), la dernière dépend grandement de l'utilisateur.

Une bonne partie des internautes pensent l'utilisation d'un mot de passe simple et facile à retenir est suffisante. Eh bien entendu, l'utiliser sur tous les sites quotidiennement fréquentés est beaucoup plus commode. Vraisemblablement, personne ne connait votre mot de passe, alors vous vous sentez en sécurité…

L'attaque par force brute

La technique d'attaque par force brute permet à un pirate de tester automatiquement une combinaison de mots de passe à la chaine. C'est-à-dire, de manière très grossière, que son programme automatique va tester diverses combinaisons tout en retenant la dernière effectuée afin de la « jeter » et ne plus l'utiliser.

Prenez, par exemple, un cadenas avec un code à trois chiffres : les combinaisons vont ainsi de « 000 » à « 999 ». Mathématiquement, il y a alors un total de 3 fois 10 chiffres possibles (de « 0 » à « 9 »), donc on a \(10^3 = 1 000\) combinaisons possibles. Maintenant, si nous remplaçons notre cadenas par un mot de passe de 6 lettres minuscules, on a ainsi un total de 6 fois 26 lettres possibles (de « a » à « z »). Ce qui donne cette fois-ci \( 26^6 = 308 \space 915 \space 776 \) combinaisons possibles…

Vous me direz, si le pirate prend, disons, une seconde pour effectuer une combinaison, il lui faudrait au maximum 308 915 776 secondes pour trouver votre mot de passe, soit presque 10 ans. Oui, mais en réalité, vous utilisez très probablement un « mot humain » facile à retenir et pas une suite de caractère aléatoire. C'est là que l'attaque par dictionnaire entre en jeu. C'est le même principe que l'attaque précédente, néanmoins cette fois-ci, le logiciel va tester une suite de mots de passe régulièrement utilisée par les humains. Par conséquent, si vous utilisez un mot de passe comme « password » (j'espère que ce n'est pas le cas), il ne faudra que quelques secondes pour accéder à votre compte.

Comment empêcher cette situation ?

La solution n'est pas si simple que ça...

L'optimal serait d'utiliser un mot de passe comportant des lettres en majuscule et minuscule, des chiffres et des caractères spéciaux avec une bonne longueur. Prenons cette fois un mot de passe de 16 caractères avec les caractéristiques précédentes. Nous avons donc 2 fois l'alphabet (de « a » à « z » et de « A » à « Z »), 10 chiffres (de « 0 » à « 9 ») et une trentaine de caractères spéciaux (comme « !(\@ »). Ce qui fait alors \( (2 \times 26 + 10 + 30)^{16} \approx 2,6 \times 10^{31} \) combinaisons. Comme tout à l'heure, admettons que le pirate prenne une seconde pour tester une combinaison, il lui faudrait ainsi exactement 26 339 361 174 458 854 765 907 679 379 456 secondes, soit 834 661 128 693 888 milliards d'années. Pour information, la planète Terre « n'a que » 4,5 milliards d'années… Puis, cette fois-ci, on ne peut plus sortir l'excuse du dictionnaire, car les caractères sont dans un ordre totalement aléatoire.

Maintenant, vous avez deux choix : soit vous achetez un bloc-notes papier. Vous notez alors tous vos identifiants dessus. Au passage, les stocker dans un fichier texte sur votre ordinateur est une mauvaise idée. En effet, ce serait dommage si votre ordinateur venait à ne plus fonctionner, ou s'il venait à se faire pirater. Ou bien, vous utilisez un gestionnaire de mots de passe.

Le gestionnaire de mots de passe

Un gestionnaire de mots de passe est une sorte de bloc-notes virtuel. Vos mots de passe sont stockés sur un serveur et accessible depuis Internet… Vous allez me dire que c'est dangereux, car nos mots de passe sont stockés, on ne sait où, sur un serveur dans le monde. Oui, mais c'est plus complexe que ça. En réalité, le serveur ne stocke pas vos mots de passe en clair, en revanche, ils sont cryptés. Ainsi, pour les décrypter, il faut utiliser un mot de passe maître. C'est un mot de passe spécial qui n'est stocké nulle part, sauf dans votre tête. Une fois renseigné, la liste des mots de passe est décryptée. Vous aurez alors accès à tous vos mots de passe via une application (extension navigateur, application Android/iOS, via le web).

Cela signifie donc que le mot de passe maître est la porte d'entrée vers la liste de tous vos mots de passe. Ainsi, il vaut mieux que celui-ci soit le plus robuste de tous : au choix, vous pouvez soit utiliser un mot de passe non lisible par un humain (en d'autres termes une suite de caractère), puis le retenir ou le noter sur un papier. Ou bien, une phrase avec des mots qui signifient quelque chose (mais assez complexe tout de même). Vous aurez juste à créer un compte sur la plateforme de votre choix et renseigner votre mot de passe maître, et vous pourrez ensuite ajouter tous les mots de passe que vous souhaitez !

ATTENTION, deux choses importantes ! La première est de choisir un bon gestionnaire de mot de passe et de préférence, réputé. Ce serait dommage d'utiliser un service qui serait amené à fermer ses serveurs du jour au lendemain (et accessoirement perdre l'accès à tous vos mots de passe). La seconde est absolument de RETENIR votre mot de passe maître. En effet, il est normalement impossible de réinitialiser votre mot de passe maître si vous l'oubliez : cela signifie que vous perdrez l'accès à tous vos mots de passe, ce qui serait également très dommage…

Quelques exemples de gestionnaires de mots de passe

Bitwarden

Bitwarden est de loin le gestionnaire de mots de passe que je préfère. Déjà parce qu'il est Open Source (c'est-à-dire que son code est disponible librement, si ça vous intéresse, c'est ici). Il est également possible d'autohéberger votre serveur si vous souhaitez intégralement avoir le contrôle de vos données.

De plus, il y a aussi une multitude d'applications disponibles sur tout type de plateformes : Windows, Linux, macOS, Android, iOS, et globalement des extensions pour tous les navigateurs. Mais, aussi plus simplement, par l'interface web. Pour les utilisateurs plus avertis, il y a aussi possibilité d'utiliser une interface en ligne de commande (CLI) sur le coffre sécurisé.

Eh, il ne s'arrête pas là ! Progressivement, de nouvelles fonctionnalités sont ajoutées. Par exemple, Bitwarden Send qui permet d'effectuer des envois de fichiers sécurisés. Ou encore plus récemment la génération d'alias mail qui aide à générer une adresse mail aléatoire unique en plus du mot de passe (qu'il faut cependant configurer avec un service externe comme SimpleLogin).

Concernant le prix, toutes les fonctionnalités de base sont gratuites. Un nombre illimité de mots de passe peut être généré et synchronisé sur tous vos appareils. Néanmoins, certaines fonctionnalités supplémentaires, comme Bitwarden Send, seront grandement limitées (par exemple, pour ce dernier, il sera seulement possible de partager du texte en version gratuite).

Quant à la version premium, elle est facturée à uniquement 10 $ par an (donc moins d'un dollar par mois). Le prix de vente étant en dollar, je vous conseille de vous renseigner sur les moyens de paiement proposés : soit par carte bancaire (mais des frais de conversions sont possibles), soit par PayPal (toutefois avec la parité euro-dollar actuelle, cela change un peu les choses).

Pour plus d'informations sur la tarification de Bitwarden, je vous invite à vous rendre sur la page des tarifs de leur site officiel, rubrique Personal. Attention, la page commerciale n'est disponible qu'en anglais, allemand ou japonais.

Pricing for Individuals and Families | Bitwarden

Compare features and plans for individuals, teams and businesses for the open source Bitwarden Password Manager.

Bitwarden

LastPass

Avant d'être fidèle à Bitwarden, j'utilisais LastPass pour gérer mes mots de passe. Mais, je ne sais plus pour quelle raison, j'ai décidé de migrer vers Bitwarden.

Côté histoire, LastPass est un logiciel propriétaire, c'est-à-dire que le code source de l'application n'est pas accessible. Il a été racheté en 2015 par LogMeIn (notamment connu pour avoir conçu le logiciel client/serveur VPN Hamachi). Cependant, l'histoire de LastPass n'est pas toute rose : 7 failles de sécurités et fuites de données ont été recensées depuis 2011. De plus, une polémique a eu lieu en février 2021 (et c'est toujours d'actualité aujourd'hui) : il n'est possible d'utiliser le service que sur un type d'appareil (soit ordinateur, soit mobile), ce qui est assez contraignant…

Côté prix, c'est plus cher que Bitwarden : comptez 2,90 € le mois (donc 34,80 € à l'année) pour obtenir les fonctionnalités premium. Pour plus d'informations, rendez-vous sur la page de tarification.

Tarification par formule | LastPass

Vous comparez les gestionnaires de mots de passe ? Jetez un œil aux formules LastPass Personal et Business, et évaluez toutes les fonctionnalités dont vous avez besoin pour vous sentir en sécurité en ligne.

LastPass

Dashlane

Un dernier exemple pour la route : Dashlane, et celui-là est français ! Ce gestionnaire de mots de passe, que je n'ai jamais eu l'occasion de tester, est essentiellement voué à être premium. Comme LastPass, c'est un logiciel propriétaire, ainsi pas de code source.

Honnêtement, de ce que j'ai pu voir, il me semble plutôt bien conçu. Il disposerait même d'un VPN en version premium, ce qui peut être un véritable plus ! Toutefois, la version gratuite est tellement limitée qu'elle en devient inutile. Seulement 50 mots de passe peuvent être stockés et sur un appareil uniquement…

À propos de la tarification de la version premium, vous avez deux choix : payer mensuellement ou annuellement. Pour l'abonnement mensuel, vous devrez débourser 5,49 € par mois. Tandis que l'abonnement annuel dispose d'une remise de 20 %. Ainsi, il revient à 4,41 € par mois, soit 52,99 € à l'année. Pour plus d'informations sur la tarification, je vous invite à consulter la page correspondante sur leur site officiel.

Tarifs, offre Premium et essais gratuits | Dashlane

Améliorez facilement votre sécurité en ligne grâce à notre gestionnaire de mots de passe sécurisé. Choisissez entre Dashlane Free, notre abonnement gratuit, et Dashlane Premium, notre abonnement payant avec des fonctionnalités supplémentaires (VPN, Surveillance du dark Web, etc.).

Dashlane

Conclusion

La sécurité de vos comptes sur le web est très importante afin d'éviter de mauvaises surprises. Je peux vous assurer que se faire pirater un compte sur le web est une expérience vraiment désagréable. Pour ma part, je me suis déjà fait pirater une fois, et pendant quelques jours ou semaines après le piratage, j'avais la drôle d'impression que le compte ne m'appartenait plus et qu'il avait été sali.

Après cet événement, j'ai décidé d'utiliser des mots de passe différents pour chacun de mes comptes et d'installer des sécurités supplémentaires lorsque c'est possible. Par exemple, par l'utilisation de mots de passe à usages uniques basés sur le temps (ou TOTP). Bien entendu, ma technique pour garder mes mots de passe était le bon vieux carnet avec tous les identifiants pour chaque site. Cette méthode n'était pas tellement commode, c'est pourquoi lorsque j'ai découvert l'existence des gestionnaires de mots de passe, j'ai sauté dessus !

N'hésitez pas à y jeter un œil ! En attendant, je vous dis à très bientôt pour un nouveau post !