Inutile de vous décrire le cauchemar des mots de passe dans notre monde ultra-numérisé : vous le connaissez tous. Tant de comptes différents, partout, pour n’importe quoi. Commander une paire de chaussures ? Mot de passe. Regarder un film en streaming ? Mot de passe. Prendre son billet en avance au cinéma ? Mot de passe. Réserver une table au restaurant ? Mot de passe. Ce cauchemar prend une saveur toute particulière quand il faut en plus des caractères spéciaux, des majuscules, des chiffres, 14 caractères…. Et, cerise sur le gâteau : il en faut un différent pour chaque compte !
I – Une mauvaise gestion des mots de passe
Vous n’y arrivez pas ? Vous n’êtes pas les seuls. D’après une étude de 2022, aux Etats-Unis, 65% des utilisateurs réutilisent un même mot de passe sur au moins un compte, et 13% utilisent le même mot de passe sur tous leurs comptes, personnels comme professionnels.
Ainsi, si en temps normal le vol d’un mot de passe entraîne la compromission du seul compte associé, réutiliser ses mots de passe augmente sévèrement l’impact de leur fuite. Et cela peut arriver de multiples manières : une attaque de phishing, un site sur lequel vous vous êtes inscrit avec ce mot de passe et dont la base de données a malheureusement été piratée…
Selon la même étude, le mot de passe le plus commun « 123456 » est partagé par plus de 23 millions de comptes. Les autres mots de passe les plus communs sont des variations de ce mot de passe, comme « 123456789 », ou bien des éclairs de génie comme « qwerty » (l’équivalent anglophone de « azerty », soit les premières touches du clavier) ou bien « password » (« mot de passe » en français). D’autres exemples peuvent comporter des informations personnelles telles que le nom ou la date de naissance, très faciles à deviner.
La faiblesse des mots de passe expose les utilisateurs à des attaques dites de « bruteforce », ou de force brute. Elles consistent à tester à l’aide d’outils un grand nombre de mots de passe, prédéterminés pour une attaque « par dictionnaire » (tester tous les mots du dictionnaire un par un, puis en les combinant), éventuellement en injectant dans l’outil les informations récoltées sur vous (âge, date de naissance, animaux de compagnie, nom de vos enfants) ou en utilisant des combinaisons classiques (le nom de votre entreprise + l’année en cours, par exemple) et des mots de passe usuels (le fameux « azerty » ou « motdepasse »).
Et même si votre mot de passe ne figure pas dans les listes de mots de passe les plus communs ou ne contient aucune information personnelle, une longueur insuffisante expose toujours à un danger. En effet, avec les capacités de calcul de nos ordinateurs, un mot de passe court peut être trouvé en essayant des combinaisons aléatoires de lettres et de chiffres. Pour une longueur de 8 caractères avec uniquement des lettres, cela prend environ 5 secondes. En remplaçant une lettre par un chiffre, on passe à 1 minute. Et en remplaçant une autre lettre par un symbole spécial, le temps passe à 19 minutes, ce qui est bien mieux, mais toujours insuffisant.
Il est donc essentiel d’utiliser de très forts mots de passe, de 10 caractères minimums et contenant des lettres, chiffres, et symboles spéciaux, et de ne pas réutiliser un même mot de passe sur plusieurs comptes. Cela peut vite devenir contraignant, tant en termes de quantité de mots de passe à inventer, que de mémoire pour retenir chaque mot de passe, aussi complexes soient-ils.
Le gestionnaire de mots de passe, qui fait ça pour vous, est donc un outil formidable pour se faciliter la vie !
II – Le gestionnaire de mots de passe
Le gestionnaire fonctionne comme un pense-bête sécurisé, un coffre-fort de mots de passe. Il contiendra tous les identifiants de tous vos comptes ; pourra lui-même vous proposer des mots de passe forts générés aléatoirement lors de la création de vos comptes ; et, comme un navigateur, il pourra remplir automatiquement vos identifiants lors de votre connexion sans que vous ayez rien à taper, ni même à copier-coller.
Le gestionnaire est en général sécurisé par un mot de passe qu’il convient de choisir extrêmement robuste (un attaquant réussissant à le cracker, aurait accès à tous vos mots de passe, quand même). Les mots de passe de vos différents comptes sont stockés au sein du gestionnaire dans une base de données chiffrée par votre mot de passe maitre, et donc inaccessible.
La base de données contenant les mots de passe peut être stockée :
- Sur le cloud : cela permet d’avoir accès à ses mots de passe sur tous ses appareils (ordinateur portable, téléphone, tablette, etc.), et de les synchroniser en temps réel sans effort. C’est la solution la plus confortable qui permet le remplissage de vos mots de passe automatiquement ou en un clic par un plug-in de votre navigateur.
- En local : le fichier de base de données chiffré est directement situé sur son ordinateur, rendant son partage moins direct, mais permettant que ses mots de passe ne se retrouvent pas dans la nature (même chiffrés) dans le cas où le gestionnaire de mots de passe choisi subit une cyberattaque. Cette solution offre un plus grand contrôle et une plus grande sécurité, mais nécessite d’aller chercher les mots de passe dans l’application par copier-coller.
D’autres critères pour le choix d’un gestionnaire de mots de passe peuvent être :
- La présence de détection de champs de connexion et leur remplissage automatique sans intervention utilisateur, ou une intervention minimale comme un simple clic.
- La gestion de l’authentification multi-facteurs. Certains gestionnaires de mots de passe peuvent gérer ces codes de connexion unique et les remplir automatiquement également, réduisant fortement les allers-retours avec d’autres applications ou services.
- L’ergonomie et la facilité d’utilisation peuvent changer un outil semblant parfois complexe en quelque chose de simple à utiliser.
- La compatibilité avec les différents appareils que l’on souhaite utiliser : s’il existe une application pour téléphone et tablette par exemple.
- Le prix, évidemment. Certains gestionnaires sont gratuits, mais souvent moins accueillants pour un utilisateur non initié, ne disposent que de bases de données locales ou ne gèrent pas la double authentification par exemple.
Attention : certains d’entre vous utilisent probablement un outil très similaire, le gestionnaire de mots de passe de votre navigateur (ou, chez les utilisateurs d’Apple, le trousseau de votre Mac ou de votre IPhone). Le problème de ces solutions est qu’elles sont souvent beaucoup moins sécurisées : ainsi, pour le navigateur, la présence des mots de passe pré-enregistrés est une véritable faille de sécurité, car ils ne sont pas protégés par un mot de passe maitre. N’importe qui ayant accès à votre ordinateur aura alors accès à toutes les sessions de connexion dont les mots de passe sont sauvegardés dans votre navigateur. De plus, il existe des vulnérabilités et des virus qui permettent à un attaquant d’infiltrer votre navigateur et de voler les mots de passe qui y sont sauvegardés. En ce qui concerne le Trousseau d’Apple, le mot de passe est généralement similaire à celui de la session. Si votre mot de passe de session est faible ou volé, l’intégralité de vos mots de passe tomberont dans les mains du hacker. Il est donc fortement conseillé de ne pas utiliser ces solutions et d’opter pour un gestionnaire de mots de passe, qui offre les mêmes services, mais de manière sécurisée et permet en plus l’utilisation sur tous vos appareils.
Conclusion
Convaincu ? Il ne vous reste plus qu’à télécharger le gestionnaire et le configurer. Si vous ne savez pas lequel utiliser, nous avons pour vous quelques recommandations :
KeePass : le seul gestionnaire de mots de passe validé par l’Agence Nationale de Sécurité des Systèmes d’Information française (ANSSI). Très robuste, une version gratuite complète, mais d’un design plutôt vieillot et plus compliqué à utiliser que les autres (n’existe qu’en local et demande le copier-coller du mot de passe). Très utilisé par les entreprises françaises.
Dashlane : une application française, avec mots de passe stockés dans le cloud, auto-complétion des mots de passe et un petit plugin facile d’utilisation. Dispose de plusieurs licences allant jusqu’au VPN et au SSO. Il existe une version gratuite qui ne permet pas le multi devices. De 2 à 8 euros par licence par mois.
Bitwarden : la même chose, mais en open source, britannique et moins cher. La version gratuite permet l’utilisation sur plusieurs appareils.
Article rédigé par : Clément Milisavljevic, consultant chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : L’essentiel de la cybersécurité pour les employés