Les gestionnaires de mots de passe sont un excellent moyen de créer des mots de passe sécurisés, de les conserver dans un espace de stockage chiffré avec les informations de carte de paiement et d’améliorer votre sécurité en ligne de manière générale. Mais vous pourriez vous inquiéter de garder tant de données sensibles au même endroit. Est-il sûr d’utiliser des gestionnaires de mots de passe ?
La réponse est que cela dépend du gestionnaire de mots de passe que vous utilisez. Certains ont des problèmes de sécurité connus, d’autres peuvent avoir des arrière-pensées (comme tirer profit de vos données), mais les meilleurs gestionnaires de mots de passe sont aussi sûrs que possible. Nous avons analysé plusieurs gestionnaires de mots de passe et identifié des problèmes courants et comment ils peuvent être atténués. Examinons quelques détails pour voir comment nous avons atteint notre conclusion.
- Qu’est-ce qu’un gestionnaire de mots de passe ?
- Qu’est-ce qui rend un gestionnaire de mots de passe sûr ?
- Vulnérabilités des gestionnaires de mots de passe
- Utiliser un gestionnaire de mots de passe est-il sûr ?
Qu’est-ce qu’un gestionnaire de mots de passe ?
Un gestionnaire de mots de passe est un programme qui stocke vos mots de passe pour vous et en génère de nouveaux. Ensuite, lorsque vous naviguez sur le web et accédez aux pages de connexion des services où vous avez un compte, une fenêtre vous proposera de remplir ces mots de passe pour vous en un clic.
Les gestionnaires de mots de passe présentent quelques avantages. Tout d’abord, vous n’avez plus besoin de vous fier à votre mémoire, ce qui signifie que vous ne pouvez pas perdre de mots de passe. Deuxièmement, parce que vous n’avez plus besoin de vous rappeler des mots de passe, vous pouvez en créer des plus compliqués, augmentant ainsi votre sécurité. Ajoutez à cela combien un bon gestionnaire de mots de passe rend votre navigation plus facile (voir notre article sur la fatigue des mots de passe) et leur utilisation devient indispensable.
Qu’est-ce qui rend un gestionnaire de mots de passe sûr ?
Les gestionnaires de mots de passe sont conçus pour garder vos mots de passe en sécurité, mais cela soulève bien sûr la question de leur propre sécurité. Après tout, beaucoup est en jeu. En général, un bon gestionnaire de mots de passe est conçu pour empêcher les intrus tout en gardant vos données privées. Cependant, leur efficacité dépend beaucoup du service individuel.
Il y a quelques éléments que les meilleurs gestionnaires de mots de passe ont tous en commun. Le premier est une utilisation intelligente du chiffrement. Un bon gestionnaire de mots de passe chiffre les coffres-forts où vous stockez vos mots de passe avec un algorithme de chiffrement dernier cri tel que AES-256.
Cependant, si un service met vraiment l’accent sur la confidentialité des utilisateurs, il utilisera également quelque chose appelé chiffrement de bout en bout. Avec un chiffrement régulier, lorsque vous envoyez des données de votre ordinateur aux serveurs du gestionnaire de mots de passe, la clé de chiffrement est partagée entre vous et le service que vous utilisez.
En revanche, lorsque vous utilisez le chiffrement de bout en bout, vous êtes le seul à posséder la clé. Cela élimine la possibilité d�’espionnage par le service que vous utilisez, tant en transit que stockées. Cependant, en raison de la difficulté de mise en œuvre technique, tous les gestionnaires de mots de passe n’offrent pas le chiffrement de bout en bout.
Lorsque les services n’utilisent pas le chiffrement de bout en bout, les résultats peuvent être catastrophiques. La plus grande violation de stockage dans le cloud à ce jour, la violation de Dropbox en 2012, s’est produite parce qu’un employé de Dropbox avait réutilisé ses mots de passe, ce qui a donné aux pirates un moyen d’accéder au système. Les pirates ont déchiffré la base de données et volé les mots de passe de 70 millions de personnes. Si Dropbox avait utilisé le chiffrement de bout en bout, cela n’aurait pas été possible.
L’utilisation de précautions comme le chiffrement de bout en bout minimise la probabilité d’erreur humaine, et avec elle les chances de violation. Cependant, il y a encore certaines vulnérabilités dont vous devez être conscient.
Vulnérabilités des gestionnaires de mots de passe
Même le meilleur gestionnaire de mots de passe n’est pas parfait. Peu importe à quel point il a été conçu, il n’existe pas de sécurité à 100 %, donc vous devez vous concentrer sur la minimisation des risques.
Un des plus grands défauts de l’architecture de sécurité d’un gestionnaire de mots de passe est vous, l’utilisateur. C’est parce que même la meilleure sécurité est inutile si votre mot de passe est, disons, « motdepasse ». De nombreux gestionnaires de mots de passe appliquent une sécurité plus forte en utilisant un mot de passe maître, le mot de passe qui vous permet d’accéder à votre coffre-fort.
Il est très important que ce mot de passe soit fort, afin qu’il ne puisse pas être craqué trop facilement, mais aussi facile à retenir pour que vous ne puissiez pas l’oublier. Après tout, votre gestionnaire de mots de passe ne peut pas s’en souvenir pour vous. La meilleure solution pour cela est d’utiliser une phrase secrète plutôt qu’un mot de passe, mais quoi que vous fassiez, assurez-vous qu’il sera difficile à craquer et non une variation de votre nom ou de la rue où vous avez grandi.
Une autre mesure de sécurité importante est l’authentification à deux facteurs, ou A2F. Cela exige que vous ayez un second appareil lorsque vous accédez à un service, généralement votre téléphone. Cela ajoute une couche de sécurité et rend plus difficile pour un hacker de prendre le contrôle de vos comptes.
Un autre problème est tout logiciel malveillant qui pourrait infecter votre ordinateur. Dans un cas extrême, un logiciel malveillant pourrait être utilisé pour prendre le contrôle de votre système pendant que vous le laissez déverrouillé et ainsi accéder à vos coffres-forts de cette manière. Actuellement, le seul remède réel est la prévention, alors assurez-vous d’exécuter régulièrement des pare-feu et des analyses de logiciels malveillants pour vous assurer qu’aucun d’entre eux ne se retrouve sur votre disque dur.
Enfin, il y a l’ingénierie sociale et autres arnaques, où un cybercriminel vous persuade d’une manière ou d’une autre de révéler votre mot de passe principal. Le phishing (hameçonnage), où un criminel vous envoie un e-mail, un message texte ou même un appel téléphonique en se faisant passer pour quelqu’un d’autre, est l’exemple le plus courant. La seule bonne défense contre des escroqueries comme celles-ci est la sensibilisation, alors sachez ne jamais divulguer des données sensibles, sauf si vous êtes sûr de savoir à qui vous parlez.
Utiliser un gestionnaire de mots de passe est-il sûr ?
Les dangers sont réels, mais si vous utilisez un bon gestionnaire de mots de passe et restez vigilant vous-même, vous pouvez minimiser les risques. Dans ce contexte, les gestionnaires de mots de passe sont parfaitement sûrs et améliorent globalement votre sécurité en ligne.
Cela dit, tous les gestionnaires de mots de passe ne se valent pas, certains, comme LastPass, étant sujets à des violations, tandis que d’autres sont difficiles à utiliser ou présentent des défauts dans la configuration de la sécurité.
C’est pour cela que nous avons développé Proton Pass, un gestionnaire de mots de passe qui intègre toutes les leçons tirées de nos autres services sécurisés, tels que Proton Mail, Proton VPN(nouvelle fenêtre) et Proton Drive.
La sécurité de Proton Pass est composée de plusieurs couches. De notre côté, nous utilisons le chiffrement de bout en bout pour tous les noms d’utilisateur, mots de passe, cartes bancaires, notes sécurisées et autres données que vous conservez avec nous. Proton Pass chiffre également vos métadonnées, comme les sites internet où chaque mot de passe est utilisé pour se connecter. Proton ne peut voir aucune de vos données sensibles.
Consultez le modèle de sécurité de Proton Pass pour une explication détaillée de notre chiffrement.
En tant que société fondée par des scientifiques, nous croyons également à l’importance de la transparence et de l’examen par les pairs pour maintenir des normes de sécurité élevées. Ainsi, tandis que certains gestionnaires de mots de passe cachent leur code de l’examen, Proton Pass est audité de manière indépendante et open source, donc tout le monde peut inspecter notre code.
De votre côté, nous vous protégeons de plusieurs manières. Nous utilisons l’A2F, ce qui signifie qu’il est beaucoup plus difficile de vous imiter pour accéder à votre compte. Nous offrons également Proton Sentinel, notre programme de sécurité assisté par IA unique qui suit et empêche les tentatives de connexion suspectes.
Pour nous, la vie privée et la sécurité ne sont pas des slogans publicitaires, elles font partie de notre ADN. Contrairement à la plupart de nos concurrents, nous sommes financés par notre communauté, ce qui signifie que nous n’avons pas de revenus publicitaires à gérer et que nous pouvons nous concentrer sur ce qui compte, votre sécurité. Si cela correspond à ce que vous souhaitez, créez dès aujourd’hui un compte Proton Pass gratuit.
