Pourquoi devriez-vous utiliser un gestionnaire de mot de passe ?
Publié le dimanche 13 août 2017, 15:39 - modifié le 14/08/17 - Bonheur Général - Lien permanent
- Article
- |
- Commentaires (2)
- |
- Annexes (0)
Il est amusant de voir qu'à chaque fois que je m'intéresse à un sujet de sécurité, l'une des premières étapes est de faire le tri parmi l'océan de fausses croyances et vrais mensonges que se plaisent à propager les gens.
Le sujet du jour ne fait pas exception puisqu'à n'en pas douter si vous posez la question autour de vous on vous dira que les gestionnaires de mot de passe, dans le fond, c'est pour les autres et que rien ne remplace ce bon vieux et inviolable cerveau. *insérez ici le rire de millions de hackers au loin dans la brume*
La seule vraie question
Lorsque l'on envisage d'utiliser un gestionnaire de mot de passe, il n'y a finalement que deux questions à se poser.
La première : "est-ce une solution parfaitement sûre ?"
La réponse est bien évidemment "non"... car la réponse est TOUJOURS "non". Si un jour vous pensez avoir trouvée une solution 100% sécurisée alors c'est que vous avez raté quelque chose. Il n'existe pas (et n'existera jamais), en pratique, de système parfait.
Une fois passée la première question rhétorique, la seconde (et véritable) question est : "Cette solution est-elle meilleure que celle que j'utilise actuellement ?"
Et pour les gestionnaires de mot de passe, la réponse est "oui", indubitablement.
Prenons un exemple. Mettons que vous êtes inscrits à une quinzaine de site internet... J'en entends déjà lever un sourcil dans le fond et pourtant : banque, webmail(s), impôts, mutuelle, électricité, blog, forum, Twitter, Facebook, Spotify, Netflix, Amazon, Google, etc, etc, etc... Quand on fait vraiment le compte on s'aperçoit que le nombre d'identifiants que l'on utilise est bien plus élevé qu'on le croyait.
Sur cette quinzaine donc, combien de mot de passe réutilisez-vous d'un site à l'autre ? Combien parmi les uniques font plus de 10 lettres ? plus de 20 lettres ? Plus de 30 ? Combien sont composés de prénom/nom/date/mot du dictionnaire ? Combien sont obtenus grâce à un algorithme "dont vous seuls avez le secret" mais qui permet trivialement à n'importe qui de déduire tous vos mots de passe à partir d'un seul ? 
Bref combien de vos mots de passe sont une liste unique et complètement aléatoire de 30+ caractères ASCII ? Aucun.
Et pourtant il s'agit là des consignes pour un mot de passe idéal : unique, aléatoire et long.
Vous n'appliquez pas ces consignes pour une raison simple : Ce genre de mot de passe est difficile à retenir. Vous optez pour des mots de passe à échelle humaine. Et donc trivialement accessible à la puissance de calcul phénoménale des machines actuelles. (Et ne parlons même pas de celle à venir vu la vitesse à laquelle cette puissance évolue chaque année)
Le carnet chiffré
Une fois que l'on a compris que nous n'avons le choix qu'entre mots de passe faibles mémorisables et mots de passe forts impossible à retenir il est temps de se tourner vers d'autres solutions sécurité.
Par exemple un carnet papier. Oui, un carnet papier contenant 15 lignes de 100 caractères chacune sans queue ni tête est une MEILLEURE solution d'un point de vue sécurité que 15 mots de passe à base du prénom de votre amour secret plus ou moins identiques.
Et une fois que l'idée, aussi absurde soit-elle de premier abord, a fait son chemin, on comprend que notre sécurité ne repose plus sur la complexité d'une quinzaine de mots de passe mais sur la protection d'un point unique : notre carnet.
Voilà ce que vous offre un gestionnaire de mot de passe : la réduction d'un périmètre avec X points faibles à un périmètre avec une faiblesse unique, un carnet chiffré.
Bonus non négligeable, cette faiblesse est entièrement sous votre contrôle. Certains gestionnaires de mots de passe stockent votre carnet localement, sur votre machine à vous. Vous avez donc toute latitude pour en assurer une très bonne protection. Car, dans l'absolu, il est beaucoup plus difficile d'accéder à votre machine personnelle qu'à un service Web dont la vocation est justement d'être accessible en ligne 24h/24.
Quant à ceux qui stockent ce carnet "dans le cloud", il faut s'attendre à ce qu'un service dont le but principal est de faire de la sécurité soit plus attentif sur le sujet que, par exemple, un service de diffusion de vidéos qui aura forcément d'autres priorités.
Quelques exemples
Histoire d'être complet, et même si cet article avait surtout pour but de vous donner les bons réflexes de la pensée sécurité, voici quelques exemples de gestionnaires de mot de passe. Garder à l'esprit que personnellement je n'utilise que le premier et que si vous lisez cet article dans 5-10 ans cette liste n'aura plus aucune valeur.
Donc il s'agit bien d'EXEMPLES et non de RECOMMANDATIONS !
- KeepassX : Un gestionnaire de mot de passe libre et open-source avec stockage local de votre carnet. Idéal pour les plus paranos d'entre vous, c'est la solution de contrôle par excellence puisque tout est sur votre machine. Si on vous vole votre carnet, vous serez le seul coupable !
- LastPass : Si le premier était orienté contrôle, celui-là est orienté confort. Le stockage de votre carnet se fait "dans le cloud" (mais uniquement la partie chiffrée bien évidemment, LastPass n'a aucun moyen de lire vos mots de passe, ou même de les donner à un juge s'il en faisait la demande). Mais en échange de ce contrôle plus faible sur vos fichiers, vous avez accès à des à coté très pratique (auto-remplissage, synchronisation sur entre vos différents appareils, possibilité de changer vos mots de passe directement depuis l'interface LastPass, consignes de sécurisation, etc...).
Enfin pour finir, durant la rédaction de cet article j'ai vu passer beaucoup de rumeurs sur la prétendue faiblesse des gestionnaires de mot de passe. Certains de ses articles parlent d'attaques datant de plus de 5 ans (et donc basés sur des failles techniques qui ont disparues depuis bien longtemps), voire sont de pures FUD mélangeant un titre alarmiste et un contenu d'article qui n'a rien à voir.
Comme je le disais en introduction, c'est hélas très fréquent lorsque l'on aborde la sécurité informatique. Prenez donc toujours bien le temps de vous renseigner et de ne pas vous arrêter à des titres aguicheurs.
Ne croyez pas ce que vous lisez sur parole... Moi y compris !
Et n'oubliez pas que la bonne question à se poser ce n'est pas "Est-ce la meilleure solution ?" mais "Est-ce que cette solution est meilleure que la mienne ?"
Que la paix soit avec vous.
PS : "Trivial"
Pour bien vous faire comprendre ce que j'entends lorsque j'évoque plus haut des mots de passe "trivialement accessible à la puissance de calcul phénoménale des machines actuelles". Je fais de la sécurité informatique depuis plusieurs années, donc j'ai débuté sur du matériel nettement moins performant que le moindre PC que l'on trouve en grande surface aujourd'hui.
Pourtant j'ai, dans le cadre de mes travaux, obtenus les mots de passe de plus de 10000 comptes personnels ou professionnels. Et ce chiffre est ridiculement infime par rapport aux hackers qui font la une des journaux.
Si vous croyez que vous êtes au dessus de tout ça, que vos mots de passe sont bien meilleurs et inviolables, vous avez tort. Purement et simplement.
Mise à jour : Le jour d'après
Je me rends compte que je n'ai pas beaucoup évoqué les changements assez radicaux d'usage lorsque l'on pratique un gestionnaire de mot de passe. Donc en voici quelques uns en vrac.
- Vous ne connaissez plus vos mots de passe : Cela peut paraître inquiétant dit comme ça mais c'est le corollaire logique de tout l'article. Vos mots de passe étant désormais beaucoup trop complexes vous ne les connaissez plus. Le seul que vous devez retenir à tout prix c'est celui de votre gestionnaire. Passée l'angoisse du début, c'est finalement assez reposant à la longue.
- Vous ne pouvez plus donner vos mots de passe : D'abord parce que vous ne les connaissez plus comme dit avant, mais aussi parce que dicter ou écrire sur un post-it une suite de 100 caractères aléatoires... Et bien c'est ultra-chiant et ça prend un temps fou ! Du coup, on s'abstient et c'est TRÈS BIEN ainsi.
- Votre PC devient très important : C'est là aussi une conséquence logique. Les appareils utilisant votre gestionnaire de mots de passe ont potentiellement accès à tous vos comptes. Que ce soit vous ou quelqu'un d'autre devant le clavier. C'est un problème connu et heureusement la solution existe depuis longtemps : Usez et abusez du 2FA (Authentification à 2 facteurs) dès qu'un service vous le propose !
- Changer votre mot de passe n'est plus une corvée : Un site que vous utilisez s'est fait pirater et vous demande par précaution de changer votre mot de passe ? Pas de problème ! Puisque de toute façon c'est une chaîne aléatoire dont vous ne vous rappelez pas, que ce soit celle-là ou une autre vous importe peu. Fini les longues heures de recherche pour trouver un nouveau mot de passe qui ne soit pas juste le précédent avec un chiffre au bout...
Auteur: Khaos Farbauti Ibn Oblivion
Restez au courant de l'actualité et abonnez-vous au Flux RSS de cette catégorie
-
FX Ghost (Passant) · 11 décembre 2018, 15:12
-
La synchronisation entre plusieurs keepass, notamment téléphone et ordinateur, est souvent une prise de tête assez grande, surtout si on veut passer par une synchronisation maison. Ca se fait mais au final les solutions plus simples finissent par reprendre le dessus. Merci pour l'article en tout cas.
-
128ko (Passant) · 02 mai 2019, 22:20
-
Pour ce qui est de la synchro du fichier de bdd de Keepass, je passe par un compte Mega(co.nz), parce que c'est la seule solution gratuite qui offre un espace chiffrée et qui (à l'epoque où j'avais cherché), semble proposé des clients de synchro natif sur chaque plateforme
