Comment gérer vos mots de passe de manière sécurisée

• Publié le 11 mai 2023, par Sébastien
• Mis à jour le 3 juillet 2023, pour mentionner Proton Pass
• Mis à jour le 14 décembre 2023, pour mentionner les serveurs européens de Bitwarden

• This blog post is also available in English.

———

Principes de base

• Utilisez un mot de passe différent pour chaque site Web / service
• Choisissez des mots de passe difficiles à deviner
• Ne partagez vos mots de passe avec personne

Utilisez des mots de passe uniques

Ne ré-utilisez pas le même mot de passe pour plusieurs sites, services, ou appareils.
Si vous le faites, une personne mal intentionnée qui arriverait à voler votre mot de passe à un endroit aurait également accès à vos autres comptes.

Bien sûr, mémoriser des dizaines de mots de passe sécurisés est particulièrement difficile, et les écrire tous sur papier est une très mauvaise idée :

• Que se passera-t-il si quelqu'un trouve votre liste de mots de passe ?
• Que se passera-t-il si vous la perdez ? Vous avez des sauvegardes ?

Utilisez un gestionnaire de mots de passe

Au lieu de cela, je vous recommande chaudement d'utiliser un gestionnaire de mots de passe.
Les gestionnaires de mots de passe sont conçus spécifiquement pour les stocker de manière sécurisée.

Utilisez des mots de passe difficiles à deviner

Le piratage de mots de passe est désormais fortement automatisé, ce qui implique que vous devez choisir des mots de passe difficiles à deviner, non seulement pour un humain, mais aussi pour un programme capable de faire plusieurs milliers de tentatives par secondes (ou même plusieurs millions).

Malheureusement, les humains sont d'assez mauvais générateurs aléatoires.
Une suite de caractères choisie par une personne sera généralement bien plus prévisible qu'une suite de caractères générée par une source aléatoire sécurisée.

Par conséquent, je vous conseille fortement de laisser votre gestionnaire de mots de passe générer tous vos mots de passe.
Visez au moins 20 caractères, avec des minuscules, majuscules, des chiffres, et des caractères spéciaux.
De toute façon, vous n'aurez pas besoin de les retenir 😉

Mathématiquement parlant, un mot de passe complètement aléatoire constitué de 21 caractères, incluant des minuscules, des majuscules, des chiffres et des caractères spéciaux, aura une entropie d'environ 128 bits, ce qui est autant que certaines clés de chiffrement encore utilisées de nos jours.

Avantages et inconvénients des gestionnaires de mots de passe

Avantages :

• Pas besoin de mémoriser des dizaines de mots de passe uniques
• Capacité à générer des mots de passe forts

Inconvénients :

• Les gestionnaires de mots de passe sont des cibles de choix pour les hackers. Choisissez-en un qui est sécurisé !
• Si vous perdez l'accès à votre gestionnaire de mots de passe, vous perdez l'accès à vos mots de passe.

➡️ Attention à ne pas oublier votre mot de passe maître.
➡️ Assurez vous de pouvoir y accéder hors ligne. Faites une sauvegarde.

Globalement, le rapport bénéfice/risque lié à l'utilisation d'un gestionnaire de mots de passe est positif.

Comment créer un mot de passe robuste

Même si l'objectif est de réduire drastiquement le nombre de mots de passe à mémoriser, vous aurez toujours besoin d'en retenir quelques-uns :

• Le mot de passe maître de votre gestionnaire de mots de passe,
• Le mot de passe de votre ordinateur (vu qu'on ne peut pas utiliser un gestionnaire de mots de passe sur l'écran de connexion),
• Certaines personnes préfèrent aussi connaître le mot de passe de leur compte e-mail, car il peut servir à ré-initialiser les autres mots de passe (en utilisant la fonctionnalité « mot de passe oublié » de la plupart des sites Web).

Voici une technique que vous pouvez utiliser pour créer un mot de passe facile à retenir, mais difficile à deviner :

• Pensez à une phrase (assez longue), et prenez la première lettre chaque mot,
• Ajoutez aussi des chiffres et des caractères spéciaux,
• Visez au moins 20 caractères. 15 devrait être un strict minimum.

Utilisez plusieurs phrases si nécessaire. C'est encore mieux si elles n'ont aucun rapport.

Exemple :

J'aime les bananes ! La distance Terre-Soleil est de 150 millions de kilomètres.

J'alb!LdT-Sed150mdk.

Évitez de construire votre mot de passe à partir d'une seule citation célèbre, étant donné que cela augmenterait sa prédictibilité.

Gestionnaire de mots de passe recommendé : Bitwarden

Mon gestionnaire de mots de passe préféré est actuellement Bitwarden.

• https://bitwarden.com/

Il a de nombreux avantages :

• Sécurisé
• Open Source
• Facile d'utilisation
• Doté de nombreuses fonctionnalités
• Très peu cher (peut être utilisé gratuitement)

Sécurité

Toutes les données que vous envoyez à Bitwarden sont entièrement chiffrées en AES-256 avant de quitter votre appareil, ce qui permet de s'assurer que ni l'entreprise, ni un éventuel pirate ne peuvent les lire.
Certains gestionnaires de mots de passe concurrents ne vont pas aussi loin, et chiffrent uniquement les mots de passe, en laissant les URLs des sites Web en clair – ce qui n'est pas une bonne chose, en termes de confidentialité.

Étant donné que la clé de chiffrement est dérivée de votre mot de passe maître, vous ne devez jamais oublier ce dernier, sous peine de ne plus pouvoir récupérer vos données.

La sécurité de Bitwarden a été auditée plusieurs fois par des entreprises indépendantes.

Open Source

Le code est Open Source, ce qui est une bonne chose, d'un point de vue de la sécurité.

C'est une mise en application du principe de Kerckhoffs – qui remonte au 19ème siècle :

La sécurité d'un cryptosystème ne doit reposer que sur le secret de la clef. Autrement dit, tous les autres paramètres doivent être supposés publiquement connus.

C'est l'opposé de la stratégie de la « sécurité par l'obscurité », qui en elle-même ne peut pas garantir la sécurité d'un système.

Facilité d'utilisation

Bitwarden est disponible sur toutes les plateformes : il existe des applications pour Windows, macOS, Linux, Android, iOS, ainsi que des extensions navigateur et une version Web (« Web vault ») :

• https://vault.bitwarden.com/
• https://vault.bitwarden.eu/

Vos mots de passe sont automatiquement synchronisés entre tous vos appareils.

Toutes les versions peuvent être utilisées hors ligne – à l'exception du « Web vault ».

Vous pouvez importer vos mots de passe depuis un autre gestionnaire de mots de passe.

Partage de mots de passe

Bien que partager des mots de passe soit généralement déconseillé, certains d'entre eux sont part nature partagés entre quelques personnes, comme les mots de passe Wi-Fi.
Il se trouve que Bitwarden possède une fonctionnalité de partage sécurisé.

Vous pouvez soit envoyer un lien sécurisé à la personne souhaitée (le destinataire n'a pas besoin d'avoir un compte Bitwarden), soit partager des mots de passe avec d'autres comptes Bitwarden.
La version gratuite vous permet de partager des éléments avec 1 autre utilisateur de Bitwarden, tandis que les abonnements « Famille » et « Business » offrent des fonctionnalités de partage plus évoluées.

Tous les utilisateurs avec un compte payant peuvent également partager des fichiers, en plus des mots de passe ou du texte.

Une autre option, pour envoyer des mots de passe ou du texte à quelqu'un : vous pouvez utiliser gratuitement et sans aucune inscription le service « kPaste » de l'hébergeur suisse Infomaniak.

• https://kpaste.infomaniak.com/

Il est lui aussi chiffré de bout en bout, et Open Source.

Prix

La version gratuite de Bitwarden est très généreuse, et autorise un nombre illimité de mots de passe, et un nombre illimité d'appareils.
En fait, elle est certainement suffisante pour la grande majorité des particuliers.

L'abonnement premium est si peu cher (10 $ par an) que vous pouvez vous y abonner même si vous n'avez pas besoin des fonctionnalités supplémentaires, juste pour soutenir Bitwarden.

Il y a également un abonnement famille (40 $ par an, jusqu'à 6 utilisateurs), et des abonnements pour les entreprises, avec un prix compris entre 3 et 5 $ par mois et par utilisateur.

Inconvénients ?

Il n'est pas facile de trouver des inconvénients à Bitwarden.

On pourrait avancer le fait que les États-Unis ne sont pas le pays le plus protecteur de la vie privée, or Bitwarden est une entreprise américaine, avec des serveurs aux USA.
Cependant, le chiffrement de bout en bout garantit que votre vie privée est protégée.

Mise à jour : Depuis 2023, Bitwarden propose aussi des serveurs situés dans l'Union Européenne, en plus des États-Unis.
Les 2 régions sont séparées, donc assurez-vous de sélectionner "bitwarden.eu" lors de la création de votre compte.

• https://vault.bitwarden.eu/#/register

Sinon, vous pourriez aussi avoir recours à l'auto-hébergement – ce qui vous permettrait de choisir votre hébergeur / pays d'hébergement, et d'éviter la centralisation.
Cela dit, je ne le recommande pas, à moins que vous ne fassiez partie d'une organisation avec les compétences et les ressources nécessaires pour le paramétrer correctement, assurer la maintenance de votre installation, et en garantir la sécurité.

Enfin, certains préféreront peut-être l'interface utilisateur d'autres gestionnaires de mots de passe – même si c'est totalement subjectif – ou seront intéressés par des fonctionnalités très spécifiques que Bitwarden ne propose pas.

Autres gestionnaires de mots de passe sécurisés

Les gestionnaires de mots de passe suivants sont également acceptables :

• 1Password
• Dashlane
• Proton Pass
• KeePass

1Password

Rien à redire sur l'interface et les fonctionnalités.
Il n'est pas Open Source, cela dit, et il n'y a pas de version gratuite.
La version payante commence à 2,99 € par mois (facturation annuelle) pour les particuliers.

Dashlane

Là aussi, l'interface et les fonctionnalités sont satisfaisantes.
Il n'est pas Open Source non plus, et la version gratuite est limité à seulement 1 appareil.
Pour pouvoir l’utiliser sur tous vos appareils, il faudra opter pour l’abonnement « advanced », à partir de 2,75 € par mois (avec un abonnement annuel).

Proton Pass

Proton Pass, c’est le petit nouveau. Il est sorti le 28 juin 2023.

Il est développé par Proton AG, qui est l’entreprise à l’origine de Proton Mail, fondée en 2014 par un groupe de scientifiques qui s’étaient rencontrés au CERN (en Suisse).

Il faudra plus de recul pour confirmer s’il est au même niveau que Bitwarden, 1Password, ou Dashlane, mais il semble vraiment prometteur :

• Entièrement chiffré
• Fournit des extensions navigateurs (Firefox, Chrome, Edge, …) ainsi que des applis mobiles (Android et iOS)
• A une version gratuite avec mots de passe illimités, et nombre d’appareils illimité
• Open Source
• Hébergé en Suisse – un pays avec des lois très strictes en matière de vie privée

Par contre, comme il est tout nouveau, en ce début juillet 2023, il n’a pas autant de fonctionnalités que des gestionnaires de mots de passe qui existent depuis plus longtemps – pas de partage de mots de passe, par exemple – et il est uniquement disponible en anglais.

Du plus, même si la version gratuite est plutôt généreuse, la version payante est assez chère (plus que 1Password ou Dashlane – et bien plus que Bitwarden).
Les personnes qui se sont abonnées avant fin juillet 2023 pourront garder leur tarif à 1 € / mois, mais le prix normal est de 3,99 € par mois (avec un abonnement d’un an).

KeePass

Gratuit et Open Source.
En revanche, il n'est vraiment pas aussi pratique et facile d'utilisation que les autres options.
Par défaut, la base de mots de passe est stockée à 100 % sur votre PC, et la synchronisation sur d'autres appareils demande un peu plus de paramétrage.

Il y a aussi quelques variantes, comme KeePassXC.

Alternatives à éviter

• LastPass
• Le gestionnaire de mots de passe intégré à votre navigateur (en particulier Chrome)

LastPass

LastPass n'est pas au niveau des gestionnaires cités précédemment, en termes de sécurité.
Certaines données ne sont pas chiffrées, notamment les URLs de sites Web.

Il est aussi victime d'incidents de sécurité assez régulièrement.
En 2022, une attaque particulièrement grave a permis à des hackers d'obtenir certaines données utilisateur, comme des adresses de facturation, des adresses e-mail, des adresses IP, ainsi que des données des coffres-forts utilisateurs.

Bien que les données chiffrées (c.a.d. les mots de passe) soient protégées par le mot de passe maître de l'utilisateur – en supposant qu'il ne soit pas trop court ou prévisible – la fuite de données en clair représente un risque pour la vie privée des utilisateurs, et ces informations peuvent être utilisées pour mener des attaques par ingénierie sociale, du phishing ciblé, etc.

Le gestionnaire de mots de passe de Google

En utilisant le gestionnaire de mots de passe intégré à votre navigateur, vous vous enfermez dans son écosystème, et ce n'est pas aussi pratique qu'un gestionnaire à part entière pour tout ce qui n'est pas un site Web.
À l'opposé, Bitwarden, 1Password et Dashlane sont aussi capables de remplir automatiquement les champs de mots de passe dans les applis mobiles, et disposent d'applications dédiées qui ne dépendent pas d'un navigateur.

Plus inquiétant encore : par défaut, Chrome chiffre vos mots de passe avec une clé stockée dans votre compte Google, ce qui revient à donner accès à Google à tous vos mots de passe…
Un mode de fonctionnement plus sécurisé à été ajouté récemment (chiffrement sur l'appareil), mais il faut l'activer manuellement.

Pour aller plus loin

• Pour renforcer encore la sécurité de vos comptes, je vous encourage à lire mon article sur l'authentification à deux facteurs.