Les gestionnaires de mots de passe sont un excellent moyen de générer des mots de passe sécurisés, de les conserver dans un stockage chiffré avec vos informations de carte bancaire et d’améliorer votre sécurité en ligne de manière générale. Mais vous pourriez vous inquiéter de conserver autant de données sensibles en un seul endroit. Est-il sûr d’utiliser un gestionnaire de mots de passe ?
La réponse est que cela dépend du gestionnaire de mots de passe que vous utilisez. Certains ont des problèmes de sécurité connus, d’autres peuvent avoir des arrière-pensées (comme tirer profit de vos données), mais les meilleurs gestionnaires de mots de passe sont aussi sûrs que possible. Nous avons analysé plusieurs gestionnaires de mots de passe et identifié les problèmes courants ainsi que les moyens de les atténuer. Passons en revue quelques détails pour voir comment nous sommes parvenus à notre conclusion.
- Que fait un gestionnaire de mots de passe ?
- Qu’est-ce qui rend un gestionnaire de mots de passe sûr ?
- Vulnérabilités des gestionnaires de mots de passe
- Utiliser un gestionnaire de mots de passe est-il sûr ?
Que fait un gestionnaire de mots de passe ?
Un gestionnaire de mots de passe est un programme qui stocke vos mots de passe pour vous et en génère de nouveaux. Ensuite, lorsque vous naviguez sur le web et accédez aux pages de connexion des services où vous avez un compte, une fenêtre vous proposera de remplir ces mots de passe pour vous en un clic.
Les gestionnaires de mots de passe présentent plusieurs avantages. D’une part, vous n’avez plus besoin de compter sur votre mémoire, ce qui signifie que vous ne pouvez pas perdre de mots de passe. Deuxièmement, puisque vous n’avez plus besoin de mémoriser les mots de passe, vous pouvez en créer de plus complexes, augmentant ainsi votre sécurité. Ajoutez à cela combien un bon gestionnaire de mots de passe rend votre navigation plus facile (voir notre article sur la fatigue des mots de passe) et leur utilisation devient indispensable.
Qu’est-ce qui rend un gestionnaire de mots de passe sûr ?
Les gestionnaires de mots de passe sont conçus pour sécuriser vos mots de passe, mais cela soulève bien sûr la question de leur propre sécurité. Après tout, il y a beaucoup en jeu. En général, un bon gestionnaire de mots de passe est conçu pour empêcher les intrus d’entrer tout en gardant vos données privées. Cependant, leur efficacité dépend beaucoup du service individuel.
Il y a quelques points communs que les meilleurs gestionnaires de mots de passe partagent tous. Le premier de ces points est l’utilisation intelligente du chiffrement. Un bon gestionnaire de mots de passe chiffre les coffres-forts où vous stockez vos mots de passe avec un algorithme de chiffrement de pointe tel que AES-256.
Cependant, si un service se concentre réellement sur la vie privée des utilisateurs, il utilisera également ce que l’on appelle le chiffrement de bout en bout. Dans le chiffrement classique, lorsque vous envoyez des données de votre ordinateur aux serveurs du gestionnaire de mots de passe, la clé de chiffrement est partagée entre vous et le service que vous utilisez.
En revanche, avec le chiffrement de bout en bout, vous êtes le seul à posséder la clé. Cela élimine la possibilité d’interception par le service que vous utilisez, tant pendant le transfert qu’en stockage. Cependant, en raison de la complexité technique de sa mise en œuvre, tous les gestionnaires de mots de passe n’offrent pas le chiffrement de bout en bout.
Lorsque les services n’utilisent pas le chiffrement de bout en bout, les conséquences peuvent être catastrophiques. La plus grande violation de données de stockage cloud à ce jour, l’incident Dropbox de 2012, est survenu parce qu’un employé de Dropbox avait réutilisé ses mots de passe, ce qui a donné aux pirates un accès au système. Les pirates ont déchiffré la base de données et volé les mots de passe de 70 millions de personnes. Si Dropbox avait utilisé le chiffrement de bout en bout, cela n’aurait pas été possible.
Prendre des précautions comme le chiffrement de bout en bout minimise les risques d’erreur humaine et, avec eux, les chances de violation de données. Cependant, il reste certaines vulnérabilités dont vous devez être conscient.
Vulnérabilités des gestionnaires de mots de passe
Même le meilleur gestionnaire de mots de passe n’est pas parfait. Quelle que soit sa qualité de conception, il n’existe pas de sécurité à 100 %, donc vous devriez vous concentrer sur la minimisation des risques.
L’un des plus grands défauts dans l’architecture de sécurité d’un gestionnaire de mots de passe, c’est vous, l’utilisateur. C’est parce que même la meilleure sécurité est inutile si votre mot de passe est, disons, « password ». De nombreux gestionnaires de mots de passe imposent une sécurité renforcée en utilisant un mot de passe principal, le mot de passe qui vous permet d’accéder à votre coffre-fort.
Il est très important que ce mot de passe soit fort, pour qu’il ne soit pas facile à craquer, mais aussi facile à retenir pour que vous ne l’oubliiez pas. Après tout, votre gestionnaire de mots de passe ne peut pas s’en souvenir pour vous. La meilleure solution pour cela est d’utiliser une phrase secrète plutôt qu’un mot de passe, mais quoi que vous fassiez, assurez-vous qu’il sera difficile à craquer et non une variation de votre nom ou de la rue où vous avez grandi.
Une autre mesure de sécurité importante est l’authentification à deux facteurs, ou A2F. Cela nécessite d’avoir un second appareil lors de l’accès à un service, généralement votre téléphone. Cela ajoute une couche de sécurité et rend plus difficile pour tout pirate de prendre le contrôle de vos comptes.
Un autre problème est tout logiciel malveillant qui pourrait infecter votre ordinateur. Dans un cas extrême, un logiciel malveillant pourrait être utilisé pour prendre le contrôle de votre système pendant que vous le laissez déverrouillé et ainsi accéder à vos coffres-forts de cette manière. Actuellement, le seul véritable remède est la prévention, alors assurez-vous de lancer régulièrement des pare-feu et des analyses anti-logiciels malveillants pour éviter que cela ne finisse sur votre disque dur.
Enfin, il y a l’ingénierie sociale et autres arnaques, où un cybercriminel vous persuade d’une manière ou d’une autre de révéler votre mot de passe principal. Le phishing (hameçonnage), où un criminel vous envoie un e-mail, un message texte ou même un appel téléphonique en se faisant passer pour quelqu’un d’autre, est l’exemple le plus courant. La seule bonne défense contre des arnaques comme celle-ci est la sensibilisation, donc sachez ne jamais partager de données sensibles à moins d’être sûr de savoir à qui vous parlez.
Utiliser un gestionnaire de mots de passe est-il sûr ?
Les dangers sont réels, mais si vous utilisez un bon gestionnaire de mots de passe et restez vigilant vous-même, vous pouvez minimiser les risques. Dans ce contexte, les gestionnaires de mots de passe sont parfaitement sûrs et améliorent globalement votre sécurité en ligne.
Cela dit, tous les gestionnaires de mots de passe ne se valent pas, certains, comme LastPass, étant sujets à des failles, tandis que d’autres sont difficiles à utiliser ou présentent des lacunes potentielles dans la configuration de la sécurité.
C’est pour cela que nous avons développé Proton Pass, un gestionnaire de mots de passe qui intègre toutes les leçons tirées de nos autres services sécurisés, tels que Proton Mail, Proton VPN(new window) et Proton Drive.
La sécurité de Proton Pass repose sur plusieurs niveaux. De notre côté, nous utilisons le chiffrement de bout en bout pour tous les noms d’utilisateur, mots de passe, cartes bancaires, notes sécurisées et autres données que vous conservez chez nous. Proton Pass chiffre également vos métadonnées, comme les sites internet où chaque mot de passe est utilisé pour se connecter. Proton ne peut voir aucune de vos données sensibles.
Consultez le modèle de sécurité Proton Pass pour une explication détaillée de notre chiffrement.
En tant qu’entreprise fondée par des scientifiques, nous croyons également en l’importance de la transparence et de l’examen par les pairs pour maintenir des normes de sécurité élevées. Ainsi, alors que certains gestionnaires de mots de passe dissimulent leur code à l’examen, Proton Pass est audité indépendamment et open source, permettant ainsi à quiconque d’inspecter notre code.
Du côté client, nous vous protégeons de plusieurs manières. Nous utilisons l’authentification à deux facteurs (A2F), ce qui rend bien plus difficile l’usurpation de votre identité pour accéder à votre compte. Nous proposons également Proton Sentinel, notre programme de sécurité unique assisté par IA qui suit et contrecarre les tentatives de connexion suspectes.
Pour nous, la confidentialité et la sécurité ne sont pas des slogans marketing, elles font partie de notre ADN. Contrairement à la plupart de nos concurrents, nous sommes financés par notre communauté, ce qui signifie que nous n’avons pas à nous soucier des revenus publicitaires et que nous pouvons nous concentrer sur ce qui compte, votre sécurité. Si vous voulez faire partie de ce mouvement, créez un compte Proton Pass gratuit dès aujourd’hui.
