GESTIONNAIRE DE MOTS DE PASSE

Nous avons tous des mots de passe, plus ou moins compliqués, voire impossible à retenir, créés pour nos divers comptes Internet.

Mais comment faire pour tous les mémoriser ? Là est la question… La mémoire peut être phénoménale, mais elle a parfois aussi ses limites.

C’est là qu’interviennent les gestionnaires de mots de passe. D’autant plus que beaucoup d’entre eux s’intègrent directement dans le navigateur grâce à une extension à installer.

 

QU’EST-CE QU’UN GESTIONNAIRE DE MOTS DE PASSE ?

Un gestionnaire de mots de passe est un « coffre-fort numérique » chiffré qui vous permet de ne mémoriser qu’un unique mot de passe afin d’accéder à l’ensemble de vos autres mots de passe stockés à l'intérieur de ce coffre-fort.

C'est un logiciel qui s’occupe de tous vos mots de passe de façon automatique et les stocke en un même lieu. Il vous aide à générer des mots de passe longs, complexes et uniques, avec des caractères spéciaux et aléatoires, sans le souci d’avoir à les mémoriser par la suite. C’est bien souvent un compromis entre une utilisation simple et une utilisation sécuritaire.

Vous n’aurez plus besoin de taper votre adresse e-mail, date de naissance, adresse, etc, sur des formulaires d’inscription. Vous enregistrez vos informations sur le gestionnaire lors de votre première inscription. Ensuite, le programme remplira automatiquement les champs des formulaires à votre place.

C’est également lui qui vous connectera automatiquement sur vos sites avec votre mot de passe Maître.

Donc, l’installation d’un gestionnaire de mots de passe est l’une des choses les plus importantes à faire pour garder vos données sécurisées

 

POURQUOI UTILISER  UN GESTIONNAIRE DE MOT DE PASSE ?

A/ Tout d’abord, pour éviter de mémoriser les mots de passe de vos divers comptes en ligne. Certains sites Internet génèrent eux-même des mots de passe souvent impossible à mémoriser. Comme  ceux composés de caractères, lettres et symboles aléatoires, tels que [U*1r`1tZ.h4C] ou encore [Xu0h/Gs98`#T], par exemple.

Par facilité ou par inconscience, certains utilisateurs utilisent le même mot de passe pour plusieurs sites différents. Cela est DANGEREUX à cause d’un risque potentiel de piratage de masse des données. C’est la porte ouverte pour tous les hackers, rançonneurs et autres pirates informatiques en tous genres.

B/ Ensuite, pour stocker tous les mots de passe, correspondant à divers sites Web et services, afin de permettre leur réutilisation ultérieure en cas de besoin. Même si une grande majorité d’utilisateurs ne fait pas appel à un gestionnaire de mots de passe, son utilisation permet d’avoir une meilleure sécurisation de ses comptes en ligne et de lutter contre les cyberattaques.

C/ Enfin, et le plus important, pour les alertes de sécurité. Ce sont des notifications prévenant les utilisateurs que l’un des services pour lequel ils possèdent des identifiants a été attaqué, occasionnant une fuite de données. Cela permettra de procéder à un changement immédiat du Mot de passe Maître.

 

COMMENT FONT LES HACKERS POUR DÉROBER VOS DONNÉES ?

Dans le cas où les pirates découvrent votre unique mot de passe, ils auront alors facilement accès à tous vos autres comptes dotés de ce même mot de passe.

Ils utilisent pour cela une technique que l’on appelle le CREDENTIAL STUFFING pour tester des mots de passe dérobés sur plusieurs sites et donc, pour pirater les comptes utilisant les mêmes mots de passe.

arrow

 

Qu'est-ce que le CREDENTIAL STUFFING ?

Le Credential Stuffing est une forme d’attaque utilisée par les hackers en possession d’identifiants et mots de passe, volés ou achetés sur le darknet.

Ils les chargent ensuite sur un botnet qui lance des attaques de tentative de connexion à grande échelle contre des entreprises opérant dans quasiment tous les secteurs d'activité.

Ils les testent alors en injectant automatiquement les mots de passe volés dans plusieurs sites Web jusqu’à ce que ces mots de passe correspondent à un compte existant.

A partir de là, ils peuvent accéder aux comptes  et effectuer de nombreuses actions frauduleuses comme le vol de données, l'usurpation d'identité des clients, ou encore le piratage de compte.

arrow

 

Infos utiles

  • Le Darknet (l'Internet noir) est un Internet parallèle sans aucune limite ni protection ou encadrement. Ses pages ne sont pas indexées et ne sont pas présentes sur les moteurs de recherche. Il permet une navigation totalement anonyme. Cet anonymat a d'ailleurs donné lieu à des dérives. En bref, le Darknet est devenu « la poubelle du Web », tout ce que l'humanité a inventé de pire… Le Darknet est accessible avec le logiciel Tor.
  • Le Botnet est un terme générique qui désigne un groupe d'ordinateurs infectés et contrôlés à distance par un pirate qui utilise un malware afin d'infecter un grand nombre de machines. Les ordinateurs du botnet sont appelé « bots » ou « zombies »

 

 

CRITÈRES POUR UN BON GESTIONNAIRE DE MOTS DE PASSE

Proposer « par défaut » une longueur de mot de passe Maître de :

  • 8 caractères serait un minimum, mais la solidité de ce mot de passe « court » est très faible et facilement cassé.
  • 12 caractères offrent une meilleure sécurité.
  • 16 à 20 caractères serait un bon compromis, 20 caractères correspondant à une protection par chiffrement en AES-128 bits. Ce mot de passe doit mêler majuscules, minuscules, chiffres et caractères spéciaux lorsque cela est autorisé.
  • Personnellement, je préconiserais 20 caractères minimum, voire beaucoup plus, et bien sûr, avec des caractères spéciaux du clavier Azerty lorsque cela est autorisé…

 

Pour sa part, la CNIL (Commission Nationales de l'Informatique et des Libertés) conseille une longueur de 12 caractères minimum, sans aucune information personnelle incluse telle que le nom de votre compagnon à quatre pattes, ou le prénom de votre grand-mère, ou encore la ville où vous avez fait vos études, etc.

L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) préconise, quant à elle, un minimum de 12 caractères pour un usage local, et jusqu'à 16 caractères pour des connexions distantes plus sécurisées.

  • Disposer d’alertes de sécurité sous forme de notifications afin de prévenir l’utilisateur que l’un des services pour lequel il possède des identifiants est « compromis », ce qui pourrait occasionner une fuite de données. Ces alertes permettent ainsi de prendre des mesures nécessaires pour changer le mot de passe Maître le plus rapidement possible.
  • L’interface utilisateur doit se verrouiller automatiquement au bout d’un laps de temps assez bref, à définir dans les préférences du logiciel.
  • Le mot de passe Maître exigé à l’ouverture doit être particulièrement robuste. C’est le seul mot de passe important à mémoriser pour accéder à vos autres mots de passe stockés. Ne le perdez surtout pas car il n’y a aucun moyen de le récupérer. Il n’est connu que de l’utilisateur seul et n’est jamais stocké sur le serveur du gestionnaire. Vous pouvez cependant le modifier à condition de se souvenir et de renseigner, au préalable, l’ancien mot de passe maître.

 

PRINCIPAUX AVANTAGES D'UN GESTIONNAIRE DE MOTS DE PASSE

  • Regrouper tous vos mots de passe en un lieu sécurisé pour en faciliter la gestion. L’ensemble est placé sur un « serveur chiffré ». C'est le gestionnaire qui le déchiffrera  avec votre mot de passe Maître. Celui-ci doit être choisi avec soin. Testez-le avec le Trousseau d’accès du Système Mac OS pour vérifier sa solidité et son niveau de sécurité. Sinon, demandez à votre gestionnaire de le générer à votre place. 
  • Choix de mots de passe longs, complexes, avec majuscules et minuscules, chiffres et symboles divers, sans le souci d’avoir à les mémoriser. C’est un avantage très appréciable en matière de sécurité. De plus, vous pouvez choisir un mot de passe unique pour chaque service web. Vous vous protégerez ainsi contre un piratage de masse dans l’éventualité où un de ces services serait victime d’un piratage.
  • Le dernier avantage, et non le moindre, c’est la SÉCURITÉ. Comme le logiciel fait du remplissage automatique des formulaires au niveau de votre navigateur, cela permet de contourner la surveillance du KEYLOGGER qui agit généralement en arrière-plan comme un processus invisible et silencieux.
  • Cela permet aussi d’éviter le PHISHING (hameçonnage) car le logiciel mémorise un site ainsi que les données de connexion liées à ce même site. Dans le cas d’une attaque par Phishing, le logiciel ne proposera pas de pré-remplir les champs, le site pirate étant différent du site original.
arrow

 

Pour info

Les KEYLOGGERS (enregistreurs de frappe, en français) sont des logiciels malveillants qui enregistrent, à votre insu, toutes les séquences de frappe sur votre clavier d’ordinateur pour les transmettre ensuite au cyber-criminel.

Lire mon article « Sécurité sur Mac & sur Internet  | Les Malwares ».  

 

COMMENT CHOISIR UN GESTIONNAIRE DE MOT DE PASSE ?

Définir vos besoins

Avec les cyberattaques de plus en plus nombreuses sur Internet, ce genre d’outils devient vite indispensable. On peut juste regretter que beaucoup d’utilisateurs ne les utilisent pas. Peut être par manque d’informations ?

Il n’est pas facile de choisir le bon gestionnaire qui réponde vraiment à ses attentes, mais surtout à ses priorités. C’est une question de choix personnel. Vous devez d’abord identifier clairement vos besoins. Et en fonction de vos critères, orientez votre choix vers l’une ou l’autre des solutions.

Ces gestionnaires sont nombreux et possèdent tous des fonctionnalités plus ou moins similaires. Parmi les « meilleurs » et les plus faciles d’utilisation, on trouve l’excellent DASHLANE qui fait ce qu’on lui demande, et le fait bien. Il est en téléchargement sur le site de l'éditeur (https://www.dashlane.com/fr), mais aussi sur l'App Store.

J’utilise personnellement Dashlane au quotidien et j’en suis pleinement satisfaite. Je précise ici que je ne suis pas sponsorisée par Dashlane et que j'en parle uniquement à titre personnel.

Lire mon article « Pas à Pas | Sécurité sur Mac & sur Internet | Dashlane ».  (article mis à jour en février 2020)

Quelques noms de gestionnaires de mots de passe

Il existe, bien sûr, plusieurs autres gestionnaires sur le marché, et qui sont probablement aussi efficaces. Je ne les ai pas vraiment testé en détail, je ne peux donc pas en parler avec objectivité et en toute connaissance de cause.

Je vous citerais simplement quelques noms parmi les gestionnaires les plus connus :

  • 1Password (en téléchargement gratuit sur l’App Store) s'intègre bien dans l’environnement macOS et iOS. Possède des alertes de sécurité, à l’image de Dashlane.
  • KeePassX pour Mac OS X, gratuit et open source, possède des options de configuration plus nombreuses par rapport à ses concurrents. Il est le seul à ne pas exiger la saisie de l’ancien mot de passe Maître avant de pouvoir le modifier. C’est aussi le seul gestionnaire officiellement recommandé par l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information).
  • LastPass se rapproche beaucoup de Dashlane en terme de prise en main. Possède également des alertes de sécurité.

Les extensions à installer dans les navigateurs

Les gestionnaires 1Password, Dashlane, et LastPass proposent d’installer leurs extensions dans les navigateurs Safari, Chrome, ou Firefox. L’extension permettra donc de vous connecter automatiquement ou de remplir des formulaires d’inscription quand elle en détecte. Si plusieurs comptes sont disponibles, elle proposera automatiquement le dernier compte utilisé. Mais vous pouvez sélectionner manuellement celui que vous voulez.

Pour KeePassX, il faut en passer par sa liste d’extensions.

 

 

CONCLUSION

Comme je l'ai dit à maintes reprises, faites très attention à vos données personnelles qui circulent librement sur le Web. Prenez toutes les précautions nécessaires pour en assurer leur sécurité. Il en va de votre tranquillité d'esprit.

Au final, il est important d'utiliser un Gestionnaire de mots de passe.

Cependant, si vous ne voulez pas en passer par là, de bons mots de passe robustes peuvent également suffire. Il suffira, pour cela, de créer de longues phrases qui aient du sens pour vous, qui soient surtout faciles à retenir.

Par exemple,

arrow

 

  • La citation d'un poème que vous aimez ou avez aimé,
  • Une phrase relevée dans un roman que  vous avez lu,
  • Ou encore une phrase que vous ou un membre de votre entourage a l'habitude de prononcer,
  • Etc.

Il n'y a aucune limite à votre imagination !

 

PARTAGEZ CET ARTICLE 🙂
Vous avez aimé cet article ? Partagez-le avec vos collègues ou amis.

Merci