2023-03-07

Gestionnaire de mots de passe

Gestionnaire de mots de passe

Comment choisir un bon gestionnaire de mot de passe ? Quelles questions dois-je me poser ?

Vous le vivez pratiquement chaque jour ! Si vous vous connectez à votre banque, votre réseau social préféré ou un site de magasinage en ligne via Internet … vous devez montrer patte blanche et vous identifier avec un nom d’utilisateur (souvent un courriel) et un mot de passe. Parfois, et pour des raisons de sécurité accrues, on vous demande même un code supplémentaire, envoyé par sms (texto) ou généré aléatoirement avec une application sur votre téléphone ou un porte clé fourni par votre institution bancaire. Les mots de passe exigés sont devenus de plus en plus nombreux, complexes, et par voie de conséquence, plus difficiles à retenir, voire impossible si vous en avez beaucoup ! Et ce casse-tête ne va pas se simplifier tout de suite. Pour augmenter cette sécurité, on vous demande même de les changer tous les 3 ou 6 mois … Il existe donc des outils, qui aujourd’hui, vous permettent de rassembler toutes ces informations et ces accès sécurisés à un seul endroit, depuis un « gestionnaire de mots de passe », à l’aide d’un seul « super mot de passe » ou encore d’une « clé électronique » pour les reconnaître tous ! Le défi de ces outils est bien entendu, d’être le plus sécurisé possible !

Avant de se précipiter pour choisir une application ou un outil pour vos mots de passe, il est nécessaire de comprendre leurs fonctionnements de base et évaluer les conséquences de nos évaluations. Il faut se poser quelques questions préliminaires pour faire un choix éclairé, mais surtout comprendre les enjeux que représentent nos mots de passe pour la sécurité, et quels en seront les impacts immédiats.

Il est assez commun, pour des raisons de simplicité, que nos mots de passe soient tous les mêmes ou même très simples afin de mieux les retenir et ce n’est pas une bonne idée. Il faudra donc éviter les mots de passe simples ou populaires. Les pirates informatiques disposent aujourd’hui de nombreux outils pour contourner la sécurité et découvrir vos mots de passe. Ils les comparent en utilisant les mots du dictionnaire mais aussi avec des bases de données de mots de passe déjà piratés, qui ont fuité sur Internet ou le « dark web » et qui peuvent facilement être utilisés. Il y a donc 4 règles de base à respecter pour bien choisir un mot de passe simple et robuste :

1. Ne pas prendre le nom de son poisson rouge, votre chat ou votre animal domestique, ou encore d’une personne de votre entourage immédiat, donc aucun lien avec les noms de nos proches ;
2. Ne pas choisir une combinaison de chiffre en référence à notre naissance ou votre date de mariage par exemple. En règle générale, éviter tout lien avec des lieus ou des évènements connus ;
3. Utiliser un mélange de lettres capitales et minuscules, incluant des chiffres et des caractères spéciaux (la plupart des interfaces vont même vous l’imposer) ;
4. Éviter les mots du dictionnaire et les noms propres !

Ces règles comprises et appliquées vont vous aider à trouver des mots de passe presque impossible à découvrir rapidement. Vous pouvez aussi utiliser des générateurs de mot de passe qui créent pour vous, des mots de passe aléatoires complexes. Le but ici est de générer des mots de passe difficiles à déchiffrer. Plus le mot de passe est complexe et plus il prendra du temps à être découvert, au point de décourager les pirates de le trouver facilement et même de continuer leurs investigations. Vous pourrez aussi générer un super mot de passe (unique) que vous pourrez utiliser dans votre gestionnaire de mots de passe et que vous devrez retenir. Et bien entendu, il ne faudra pas le copier sur un « post-it » collé à l’arrière de votre écran ou de votre clavier !

Choisir un gestionnaire de mot de passe c’est avant tout choisir un logiciel en fonction de ses besoins et de bien comprendre quelles en seront ses éventuelles lacunes et ses avantages. Oubliez le outils uniques, installés sur votre ordinateur et que vous ne paierez qu’une seule fois. Notre époque ne le permet plus. Ce sont des abonnements mensuels ou annuels et voici quelques en sont les raisons :

1. Les applications utilisées sont dynamiques et devront être mises à jour en fonction de la plateforme utilisée. Cela nécessite une surveillance régulière afin d’en détecter les failles potentielles et les corriger avant qu’elles ne soient exploitées par des pirates. Si votre PC sous Windows, votre Mac ou votre téléphone intelligent reçoit de nouvelles mises à jour, il faudra aussi s’assurer de sa compatibilité car tout ceci évolue très rapidement ;
2. Les services de ces applications utilisent souvent le « Cloud » (« le nuage ») et leurs infrastructures doivent être entretenues et mises à jour ;
3. Les logiciels utilisés doivent souvent communiquer entre eux pour partager vos données de façon sécurisées et sur différentes plateformes (Votre ordinateur, votre téléphone intelligent, votre montre …). Les protocoles utilisés devront donc aussi être compatibles entre eux ;
4. Finalement, les logiciels évoluent en fonction des besoins, avec la création de nouvelles options et l’utilisation de nouvelles plateformes (Windows 10 vers Windows 11 par exemple). Elles doivent continuer à être développées et entretenues.

Nous comprenons donc naturellement que tout ceci a un coût, que les entreprises ne peuvent absorber ad vitam, aeternam !

Il faut finalement choisir un gestionnaire de mot de passe en fonction de vos besoins. Voici quelques questions à prendre en compte lors du choix de ce dernier :

1. Quels appareils utiliserez-vous pour la gestion de vos mots de passe ? Quelles plateformes seront utilisées et supportées ? (Windows, Mac, Linux, iOS pour iPhone, Android ? ...) ;
2. Si vous êtes à l’extérieur de votre bureau ou de chez vous et que vous devez utiliser l’internet. Le ferez-vous depuis un endroit public ? Dans une bibliothèque ou un parc ? Lors de la consultation de vos données, ces connexions (« WiFi » bien souvent) devront être protégées (via un VPN par exemple) ;
3. Quelles informations seront conservées dans votre gestionnaire ? Peut-on y joindre des documents ? Peut-on créer de nouveau champs en fonction de nos besoins ?
4. Existe-t-il des options d’Import/Export ? Si vos données existantes sont déjà conservées sur un document texte ou Excel par exemple, les importer vers le nouveau gestionnaire vous fera gagner du temps et vous évitera aussi des erreurs de typographie ;
5. Si vous êtes au Québec, le logiciel supporte-t-il le Français ? Est-il multi-langues ?
6. Si vous ne pouvez-vous connecter à Internet, vos informations seront-elles quand même disponibles localement sur votre ordinateur ou votre téléphone ? Et si ces données sont aussi enregistrées localement, sont-elles encryptées (en cas de vol par exemple) ?
7. Si vous perdez votre mot de passe, avez-vous un « plan B » ? Dans la plupart des cas, si votre super mot de passe est perdu ou oublié, il vous sera impossible de récupérer vos informations car, pour des raisons évidentes de sécurité et de transparence, aucun mot de passe ne sera enregistré en « clair », ni par les concepteurs du logiciel utilisé et vous perdrez vos données définitivement. Il faut donc penser à une alternative (Par exemple : enfermer dans un coffre-fort à la banque, chez un notaire ou un avocat, votre mot de passe et quelques instructions en cas de perte ou d’accident) ;
8. Finalement, quelle est l’origine du logiciel ? La compagnie qui l’a conçu est-elle sérieuse ? Ont-ils déjà eu des problèmes de sécurité par le passé ? Comment est-il noté dans les évaluations sur Internet ? Qu’en disent les utilisateurs ?

Ces questionnements vous permettront de mieux choisir votre gestionnaire de mot de passe, en fonction de vos besoins.

Il existe de nombreux logiciels pour gérer vos mots de passe et bien plus. Les sites suivants vous offrent un choix de plusieurs applications en ligne et les ont évalué pour vous :

• https://www.clubic.com/application-web/article-854952-1-gestionnaires-mots-meilleur-logiciel-gratuit-windows.html (en français)
• https://www.pcmag.com/picks/the-best-password-managers (en anglais)

Référence : https://www.tvanouvelles.ca/2023/01/02/voici-les-50-mots-de-passe-les-plus-populaires-de-2022 (en français)

(...)

Nouvelle : En décembre 2022, le logiciel « LastPass », un gestionnaire de mots de passe en ligne, a été piraté. Il est pertinent de se poser la question, comment les données de la gestion de nos mots de passe sont gérées avec ces sites en ligne. Si on pousse un peu plus loin la réflexion, la compagnie qui développe ces logiciels ont-ils aussi pris toutes les dispositions et les moyens de sécuriser leurs informations et leur développement ?

Sources :

• https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/ (en anglais)
• https://www.clubic.com/lastpass/actualite-459027-piratage-de-lastpass-c-est-encore-plus-grave-que-ce-qu-on-imaginait.html (en français)

Vous avez besoin de plus d'information sur nos audits de sécurité ou la loi 25 ? Contactez nous.