“Ces outils qui nous simplifient la vie” est une chronique dans laquelle je vous partage certains outils qui me sont bien utiles dans mon quotidien de développeur chez Deepki. Dans cette chronique, je vais volontairement aborder des sujets peu techniques parce que je considère qu’apprendre à bien maîtriser son ordinateur ne doit pas être l’apanage des développeurs et que cela doit être accessible à tous.

On l’a tous constaté avec le confinement : internet n’a jamais autant fait partie de nos vies. Aujourd’hui, on l’utilise pour s’informer, pour parler à nos proches, pour payer ses impôts, pour commander ses courses voire même pour ruiner ses parents avec la complicité du dernier jeu à la mode. Or, la plupart des services que l’on utilise sur internet ont un point commun : il faut se connecter avec un mot de passe. Qu’on le veuille ou non, les mots de passe font partie de nos vies et on en manipule toute la journée afin de bénéficier de tout ce qu’internet a à offrir. Et dans ce billet, je vais vous parler de l’une des meilleures façon de manipuler ses mots de passe : utiliser un gestionnaire de mots de passe.

Gérer ses mots de passe correctement

Pourquoi c’est important ?

Les mots de passe ont un rôle crucial. C’est notamment grâce à eux que l’on peut exercer notre identité sur internet. Si quelqu’un découvre l’un de vos mots de passe, cette personne peut alors usurper votre identité et les conséquences peuvent être terribles. “On estime que plus de deux millions de Français sont victimes chaque année du phishing”, cette escroquerie visant à vous envoyer de faux emails afin d’obtenir de votre part des informations importantes. Et le vol de mot de passe, ça n’arrive pas qu’aux autres : on peut tous en être victime. Mais heureusement, on va voir aujourd’hui comment s’en protéger convenablement.

Et si vous pensez que “moi de toute façon, je n’ai rien à cacher” ou que “les hackers, ils seront toujours plus forts : ils arriveront toujours à nous hacker”, je vous invite à voir les mots de passe comme la porte d’entrée de votre maison. Même si vous n’avez rien de valeur dans votre foyer, vous n’avez sans doute pas envie que n’importe qui s’introduise chez vous sans votre accord.

Voilà ce qu'il se passe quand on utilise azerty comme mot de passe

Et effectivement, un voleur extrêmement préparé pourra toujours trouver des stratagèmes alambiqués pour enfoncer la plus solide des portes blindées, mais est-ce une raison pour ne pas du tout fermer à clef votre porte d’entrée ? Si vous pensez que ce n’est pas raisonnable, dites-vous que c’est la même chose pour vos comptes sur internet : vous n’avez probablement pas envie que quelqu’un s’introduise sans votre accord. Et si possible, vous aimeriez vraisemblablement jouir de la meilleure protection possible tant que cela n’est pas trop contraignant.

Si en plus, vous avez un travail qui vous demande de vous connecter à un compte sur internet, alors il n’est plus seulement question de votre protection personnelle mais bien de votre responsabilité professionnelle. “La sécurité, c’est l’affaire de tous.” Cette phrase est complètement galvaudée mais elle reste vraie d’après moi car il suffit d’une personne qui ne gère pas correctement ses mots de passe pour mettre en danger toute une organisation. Donc il est de notre devoir à tous de gérer correctement ses mots de passe.

Quelle est la meilleure façon ?

Pour gérer correctement ses mots de passe, il faut donc trouver un système qui soit à la fois simple à utiliser tout en étant suffisamment sécurisé. Et ses mots de passe, on a tous sa façon à soi de les gérer. Passons en revue les stratégies de gestion de mots de passe les plus courantes pour évaluer à quel point elles sont bonnes.

Utiliser le même mot de passe partout

Cette méthode a l’avantage d’être très facile à utiliser puisque l’on n’a qu’un seul mot de passe à retenir. Mais le problème, c’est que si quelqu’un arrive à trouver notre mot de passe sur l’un des sites que l’on utilise, alors cette personne a accès à tous nos comptes. Or, tous les sites ne se valent pas en terme de sécurité et il suffit d’un mauvais élève pour compromettre tous nos comptes. (Une façon un peu grossière de tester est de faire une demande de mot de passe perdu. S’ils vous renvoient votre mot de passe actuel par email, cela veut dire que c’est un très mauvais élève alors ne leur faites pas confiance !) Cette stratégie revient donc en quelque sorte à mettre tous nos oeufs dans le même panier, ce qui est très risqué.

Facilité d’utilisation : ★★★★★
Sécurité : ★☆☆☆☆

Noter ses mots de passe quelque part

Que ce soit dans un carnet, sur des post-it ou sur un bloc-notes sur son ordinateur, si l’on note ses mots de passe quelque part, cela veut dire qu’il faut d’abord retrouver l’endroit où l’on a noté le mot de passe avant de pouvoir l’utiliser. Si l’on est à son bureau, cela peut être modérément pratique (encore faut-il bien les organiser) mais dès que l’on cherche à accéder à son compte ailleurs, cela devient nettement plus compliqué. Alors soit on n’accède pas à ses comptes ailleurs (ce qui n’est pas très pratique), soit il faut transporter physiquement ses mots de passe sur soi avec le risque de se les faire voler.

Car oui, il existe toujours une chance non négligeable que l’on se fasse voler le support de ses mots de passe. Et dans ce cas, cela peut devenir très compliqué car notre voleur peut alors utiliser nos comptes à sa guise alors que nous-même, nous ne pouvons pas (puisque nous n’avons plus accès à nos mots de passe). Cela devient alors un véritable cauchemar pour contacter tous nos sites pour modifier ses mots de passe. Néanmoins, on utilise quand même un mot de passe différent pour chaque site donc trouver l’un de nos mots de passe ne suffit pas pour trouver tous nos mots de passe.

Facilité d’utilisation : ★★☆☆☆
Sécurité : ★★☆☆☆

Ne retenir que le mot de passe de sa messagerie

En faisant cela, on n’a qu’un seul mot de passe à retenir, ce qui est très pratique. Mais ce qui ne l’est pas, c’est que pour tout compte auquel on veut se connecter, on doit faire une demande de mot de passe perdu, recevoir l’email, changer le mot de passe et enfin, on peut se connecter. Alors si c’est un compte sur lequel on se connecte rarement, on peut éventuellement l’accepter (même si cela reste très peu pratique) mais pour tout le reste cela représente une perte de temps importante. En terme de sécurité en revanche, comme les mots de passe changent constamment, cette méthode est très sécurisée. Elle résiste même au hacking social puisque même l’utilisateur ne connaît pas ses propres mots de passe.

Facilité d’utilisation : ★★☆☆☆
Sécurité : ★★★★★

Utiliser des mots de passe différents et les retenir dans sa tête

C’est la méthode qui paraît la plus évidente. Or, à moins d’avoir une mémoire exceptionnelle, il est quasiment impossible de se souvenir de tous ses mots de passe avec certitude et du premier coup. On finit toujours pas ne plus se rappeler quel était le mot de passe pour ce compte, confondre deux comptes, se tromper d’un caractère, etc. Ainsi, afin de pouvoir mieux se rappeler de nos mots de passe, on finit souvent par faire des concessions sur la complexité des mots de passe. Or, cela peut affecter la force de nos mots de passe et cela nous rend plus vulnérable à toute sorte d’attaque.

Facilité d’utilisation : ★★★☆☆ (dépend de notre mémoire)
Sécurité : ★★★☆☆ (dépend des concessions que l’on fait pour mieux les retenir)

Utiliser un gestionnaire de mots de passe

Comment est-ce que ça fonctionne ? C’est un service qui centralise tous nos mots de passe. Et pour y avoir accès, on doit utiliser un mot de passe (un master password). On n’a donc plus qu’à se souvenir d’un seul mot de passe : le master password. Et en terme de sécurité, on peut utiliser les mots de passe les plus forts possibles puisque c’est le gestionnaire de mots de passe qui va les retenir pour nous.

Facilité d’utilisation : ★★★★★
Sécurité : ★★★★★

Avec un peu de chance chers lecteurs, vous devez sans doute vous retrouver dans l’une de ces stratégies (voire une combinaison de plusieurs stratégies). Mais après ce petit tour d’horizon, il ressort quand même que le gestionnaire de mots de passe semble être la meilleure solution en terme de praticité et de sécurité. Cependant, même s’ils sont recommandés par les experts en sécurité, ils ne sont pas exempts de tout défaut et c’est pour cela qu’il me paraît important d’aborder les critiques légitimes que l’on peut formuler à leur encontre.

Les gestionnaires de mots de passe ne sont pas parfaits

Je vais ici tâcher de répondre aux critiques les plus courantes concernant les gestionnaires de mots de passe :

“Il faut faire sacrément confiance à son gestionnaire de mots de passe, lui aussi peut être vulnérable !”

C’est vrai. Et c’est d’autant plus vrai que si quelqu’un obtient un master password, il obtient tous les mots de passe du gestionnaire. Seulement, les gestionnaires de mots de passe, pour être convaincants, apportent un soin tout particulier à leur réputation et il est donc de la plus haute importance pour eux d’être les plus sécurisés possibles.

Tous les jours, on trouve de nouvelles vulnérabilités dans les différentes technologies que l’on utilise tous. Et ceux qui développent les gestionnaires de mots de passe sont à l’avant-garde de la sécurité informatique. C’est-à-dire qu’ils testent inlassablement tout leur système dans le but qu’il soit le plus sécurisé possible et, si jamais une faille est découverte dans leur système, elle va être réglée le plus vite possible puis communiquée à tous ses utilisateurs. En sécurité informatique, le risque zéro n’existe pas mais les gestionnaires de mots de passe les plus utilisés comptent parmi les meilleurs en la matière. Lorsqu’on choisit d’adopter un gestionnaire de mots de passe, il faut donc s’assurer au préalable que celui-ci a su faire ses preuves par le passé et qu’on peut lui faire confiance.

Et il faut noter que si jamais vous êtes prêts à mettre en place une double authentification (comme par exemple en recevant un SMS à chaque connexion), le risque est encore plus réduit.

“Je ne suis pas à l’aise avec le fait qu’une corporation possède tous mes mots de passe !”

Alors ça, ce n’est pas un problème car tout bon gestionnaire de mots de passe qui se respecte ne va pas avoir accès à vos mots de passe. C’est un petit peu technique mais en fait, nos mots de passe ne vont pas être conservés tels quels dans les bases de données du gestionnaire de mots de passe. En fait, ils ne vont conserver qu’une version chiffrée de nos mots de passe. Et cette version chiffrée est parfaitement inutilisable sans votre master password. Or, vous êtes le seul à détenir votre master password et êtes donc le seul à pouvoir déchiffrer vos mots de passe. Personne d’autre que vous ne pourra donc avoir accès à vos mots de passe.

“C’est trop compliqué pour moi !”

Mais voyons chers lecteurs, ne vous dévalorisez pas comme ça ! Je sais que cela peut paraître trop technique de prime abord. Mais derrière des mots qui font peur comme “gestionnaire de mots de passe” se cachent en réalité des solutions qui peuvent être très simples à mettre en place. Des ingénieurs sont passés par là et ont développé des solutions qui peuvent être utilisées par Madame ou Monsieur Tout-le-monde. Il suffit juste de prendre un petit peu de temps un jour pour le mettre en place. Mais par la suite, en ce qui me concerne, le gestionnaire de mots de passe ne m’a fait que gagner du temps et le bilan est clairement positif.

Ma recommandation : LastPass




Après avoir bien analysé toutes mes options, j’ai décidé d’adopter LastPass et c’est celui-ci que je vous recommande.

Ce qu’ils promettent

Pourquoi LastPass et pas un autre ? Premièrement parce que c’est celui qui a la réputation d’être le plus facile à utiliser en version gratuite. Pour moi, c’est ce critère qui était déterminant. Je veux passer le moins de temps possible à gérer les mots de passe. Cette réputation, ils ne l’ont pas eue par hasard. En effet, ils ont plus de 25 millions d’utilisateurs ce qui fait que LastPass est disponible sur tous les supports possibles.

Deuxièmement, ils avaient l’air solides en terme de sécurité. Leur logiciel a beau ne pas être open-source, ils restent transparents sur leurs méthodes de chiffrement, ce qui est très rassurant. Je suis également allé regarder leur historique et j’ai pu constater qu’ils n’avaient eu que très peu de failles et qu’à chaque fois ils ont été très réactifs pour les régler. Cerise sur le gâteau : ils ont fait preuve par le passé d’une grande transparence avec leurs utilisateurs concernant ces failles. Bref, on peut leur faire confiance en terme de sécurité.

Enfin, LastPass se présente sous la forme d’une extension de navigateur pour les ordinateurs et d’une appli mobile pour les mobiles. N’étant pas très fan des applications natives pour les ordinateurs, cela m’allait très bien. Et qui plus est, le partage entre les différentes versions de LastPass se passait paraît-il sans accroc, ce qui était également un point important pour moi.

Comment ça marche

Pour installer LastPass, il suffit d’installer l’extension de navigateur (Chrome, Firefox, etc) ou l’appli mobile puis de se créer un compte. Et rien de plus. C’est vraiment très simple ! À partir de ce moment-là, quand on se connecte avec son master password, on peut accèder à son vault (son coffre) qui contient tous nos mots de passe.

Le vault de LastPass dans lequel se trouvent mes mots de passe
En cliquant sur un service, on peut éditer le mot de passe ou le copier/coller

Quand on accède à une page où il y a un mot de passe connu, LastPass va remplir automatiquement les champs du formulaire. Si on possède plusieurs comptes sur un même site, on peut facilement sélectionner le compte avec lequel se connecter. Et si on s’inscrit sur un nouveau site, LastPass nous propose d’enregistrer automatiquement le mot de passe.

Ici, je peux choisir le compte avec lequel je me connecte

Ce qui m’a étonné

Sur le fonctionnement principal, LastPass ne m’a donc pas déçu : il proposait bien ce à quoi je m’attendais et le faisait bien. Mais d’autres aspects auxquels je ne m’attendais pas se sont avérés très utiles :

  • Le générateur de mot de passe très complet

LastPass propose son propre générateur de mots de passe. Le générateur est disponible en un clic et en autoremplissage dès qu’il y a un champ “mot de passe”. Et ce qui est très pratique c’est que l’on peut modifier les options très facilement pour correspondre aux contraintes des différents sites.

Le générateur de LastPass propose de nombreuses options modifiables à la volée
  • La veille des sites attaqués

Lorsque j’ai ajouté l’un de mes mots de passe, LastPass m’a prévenu que ce mot de passe avait été compromis et était disponible dans une base de mots de passe compromis et je me suis donc empressé de le changer. Or, vu tous les comptes que l’on peut avoir, il peut être assez dur de suivre toutes les éventuelles compromission. En utilisant LastPass, je suis certain d’être informé lorsque cela se produit et je trouve ça très confortable.

  • Le test de sécurité

LastPass propose d’évaluer la qualité de l’ensemble de nos mots de passe avec un security challenge à l’issue duquel on obtient un score global. Cela peut sembler un peu infantilisant mais moi ça a fait vibrer ma corde compétitive et cela m’a donné envie d’obtenir le score parfait. Et je trouve que c’est un bon exemple de gamification utilisée à bon escient : si cela peut nous encourager à être plus consciencieux avec l’usage de nos mots de passe, je suis prêt à me prêter au jeu.

Note : Il semblerait que le test de sécurité qui était disponible dans la version gratuite soit passé récemment dans la version premium de LastPass (2,90€ par mois).

  • Le changement automatique de mot de passe

C’est vraiment la fonctionnalité qui m’a bluffé. En un clic, on peut demander à LastPass de changer automatiquement notre mot de passe. Dans son navigateur, un onglet s’ouvre alors et LastPass prend la main pour effectuer toutes les actions permettant de changer de mot de passe. Et on n’a rien à faire nous-mêmes. Je ne m’attendais pas à ce genre de fonctionnalité aussi qualitative et encore moins dans la version gratuite. Mais cela montre bien à quel point leur produit est abouti.

Les alternatives à LastPass


KeePass

Parmi les nombreuses alternatives à LastPass, j’ai longtemps hésité à adopter KeePass. La raison principale est que KeePass est un projet open-source. Avec un projet open-source, on n’est pas obligés de croire son gestionnaire de mot de passe sur parole : on peut vérifier nous-mêmes s’il fait bien ce qu’il prétend. Cela offre donc une transparence vraiment appréciable que la concurrence ne propose pas.

Seulement, KeePass utilise une logique un peu différente car par défaut, le stockage est local et non sur le cloud. Et il n’existe pas non plus d’application mobile officielle. Et ça, ça veut dire que pour faire fonctionner un client web non-officiel, un client mobile non-officiel et la base de mots de passe en les synchronisant comme il faut, ça nécessite un peu de travail de notre part. Alors des tutoriels existent mais lorsqu’on les compare à LastPass où tout marche dès le début, il n’y a pas photo, LastPass est beaucoup plus pratique.

Mais si vous êtes prêts à vous lancer dans ce genre de configuration, KeePass semble être la meilleure option actuellement.




Dashlane est un concurrent qui ressemble beaucoup à LastPass. Très pratique et très sécurisé, Dashlane offre cependant moins de fonctionnalités dans sa version gratuite puisqu’elle est limitée à un seul appareil. Mais si vous êtes prêts à utiliser sa version premium (à 3,33€ par mois et avec VPN inclus ), Dashlane est sans doute l’une des meilleures options sur le marché. Eux aussi proposent le changement de mots de passe automatique et il paraîtrait qu’ils gèrent encore plus de sites différents que LastPass.

Qui plus est, Dashlane est à l’origine une entreprise française et même si ses investisseurs sont essentiellement américains, ils possèdent encore un bureau à Paris alors Cocorico !




C’est compliqué de parler de gestionnaire de mots de passe sans parler de Google Password Manager. Le problème principal du gestionnaire de mots de passe de Google est qu’il est intégré au navigateur. Cela veut dire qu’on ne peut pas l’utiliser pour se connecter à une app sur son smartphone. Et cela nous force également à utiliser le navigateur de Google. Or, un gestionnaire de mots de passe et un navigateur sont deux choses bien distinctes et il me semble important de bien les séparer. Et même en se mettant du point de vue de quelqu’un qui utilise déjà Google Chrome, je pense qu’il est important de se laisser la liberté de changer de navigateur du jour au lendemain si on le souhaite. Avec Google Password Manager, c’est possible mais ça complique sacrément les choses. C’est pour cela que je vous recommande de ne pas utiliser Google Password Manager et de préférer les autres options dont je vous ai parlé.

LastWords

Les gestionnaires de mots de passe, je vous ai expliqué de long en large pourquoi c’est bien de les utiliser, pourquoi c’est le choix raisonnable. Mais en vérité, en adoptant un gestionnaire de mots de passe, ce qui a été le plus important c’est que cela m’a libéré de la charge mentale que représentaient mes mots de passe. Plus jamais je ne perds de temps à cause d’un mot de passe et juste pour ça, il me serait impensable de revenir en arrière. Et pour moi, le fait que ce soit la façon la plus sécurisée de gérer ses mots de passe, c’est vraiment la cerise sur le gâteau. Je suis vraiment plus serein en ce qui concerne la gestion de mes comptes et ma vie sur internet est plus facile.

Et pourtant, même LastPass qui est l’un des gestionnaires les plus utilisés ne compte “que” 25 millions d’utilisateurs. À titre de comparaison, Facebook compte 2,6 milliards d’utilisateurs actifs. Les mauvaises habitudes de gestion de mots de passe sont beaucoup trop courantes alors que des outils simples, à la portée de tous existent. Je ne peux donc que vous encourager à vous y mettre si ce n’est pas déjà fait et à partager cet article aux personnes de votre entourage qui n’ont pas encore passé le pas !