Change ton porte-clé

Sécurité / Vie Privée 21 févr. 2019

Vous vous souvenez de cet article sur les mots de passe ? Ben aujourd’hui on va consolider un peu ça et améliorer le sujet. Comme ça vous aurez moins à craindre de vous balader sur l’internet. (parce que en vrai, ça craint)

Aujourd’hui j’ai le plaisir de vous introduire dans le monde merveilleux des gestionnaires de mots de passe ✨

Attention : Cet article n’est pas là pour vous faire un tuto d’utilisation, il en existe plein partout. Il est là pour vous expliquer avec mes mots, et essayer de vous convaincre, que d’utiliser ce genre d’outil à notre époque devrait être obligatoire et surtout banal. Il n’est pas non plus écrit pour rentrer dans les détails techniques des chiffrements utilisés, mais pour vous instruire et vous laisser décider si vous êtes concerné par leur utilisation (Spoiler : Oui).

Bon comme d’hab’, vous n’allez pas couper à une définition.

Définition globale : « Un gestionnaire de mots de passe c’est comme un coffre-fort secret, protégé par une suite de caractères que seul vous connaissez, et qui va contenir tous vos identifiants de connexion. »

Animation d'un gestionnaire de mots de passe factice, qui montre les principales fonctionnalités, comme le déverrouiller ou créer une entrée

On verra qu’il en existe plusieurs sortes, mais jusque-là je pense que vous avez déjà de l’avance sur mon discours.

Mais la première question cest : « Qu’est ce qui peut pousser à utiliser un gestionnaire de mots de passe ? »

Ce qui nous amène à notre première partie :

Pourquoi ?

Outre ce plagiat éhonté d’un petit vidéaste pas très connu, tout le monde, en cette époque d’ère numérique, doit pouvoir/savoir protéger ses données et ses accès facilement et simplement.

Les mots de passe sont partout, à chaque coin de rue ! Dans les villes, les campagnes, et même sur les réseaux sociaux.

Il est donc super important de savoir être efficace à ce sujet.

Je vais donc vous rabâcher les règles principales des mots de passe :

  1. Un mot de passe différent par compte. C’est chiant, mais c’est la plus importante. Si vous êtes flemmard au possible, faites au moins l’effort pour votre boîte mail, on y reviendra plus tard.
  2. N’utilisez pas le nom de votre chien, votre date d’anniversaire ou n’importe quel truc tout pourri. Un mot de passe ne devrait pas être créé par un humain, car le résultat serait influencé et donc plus facilement retrouvable par une personne mal intentionnée.
  3. Laissez-vous aller sur la longueur, vraiment, ne vous imposez pas de limite parce que plus le mot de passe est long, plus le temps de craquage de celui-ci sera long.

Vous avez capté ces règles ? Bien. Maintenant on va montrer point par point en quoi un gestionnaire de mot de passe convient à tous ces cas de figure et vous sera d’une grande aide pour les respecter.

1. Un mot de passe différent par compte

Ça, c’est vraiment l’avantage principal d’un gestionnaire de mot de passe !

Plus besoin de vous souvenir, de rien, vous pouvez stocker vos identifiants à la pelle et donc en mettre un différent à chaque fois !

Pourquoi c’est important ? Eh bien c’est très simple. Imaginez que vous créez un compte sur un site, juste pour accéder à un article par exemple. Vous mettez le même mot de passe que partout parce que vous êtes un grand optimiste, et là, MALHEUR ! La connexion n’était pas chiffrée (vous savez le cadenas dans la barre d’adresse là), et un malandrin à capuche était en train de regarder tout ce qu’il se passe sur le réseau. Il voit passer votre mot de passe tranquillou, tout lisible sur son écran, et bien sûr il est à côté de l’adresse mail que vous avez renseignée. Bon ben la suite est simple, il va essayer de se connecter à votre adresse mail, et là magie : Il a accès à tous vos comptes. Un petit « Mot de passe oublié » et il peut se connecter où il veut. :)

Cette histoire dystopique mais néanmoins réelle montre l’importance d’avoir un mot de passe différent par accès. Vous imaginez avoir la même clé pour tous les cadenas que vous achetez parce que c’est plus pratique ? Bah c’est pareil.

Avec un gestionnaire de mot de passe ce problème est résolu. L'avantage est qu'il peut même les créer lui-même. #transition

2. Ne créez pas vos mots de passe avec votre propre cerveau

Oui je suis d'accord, c’est un peu agressif comme titre mais c’est exactement ça.

L’humain est peut-être la faille la plus béante quand on parle de piratage (ingénierie sociale). Le cerveau humain est manipulable et ne devrait pas être utilisé pour créer des choses aléatoires.

Le gestionnaire rempli très bien ce rôle cependant. Dans la plupart des cas, on peut choisir les types de caractères utilisés, et si c’est fait de manière locale (non connecté à internet) c’est encore mieux voire recommandé.

L’avantage est également de pouvoir définir la taille, et là c’est le moment de se faire plaiz’ ! Personnellement, les mots de passe que je génère ont une taille de 40 caractères. Ça donne des trucs de ce type : P]qf<9sv}V6"V\kx@SZW:"'vtJucd&"vhp?*[#D, et là je peux vous dire que je me prends plus la tête.

3. Si, c’est la taille qui compte

Bon j’ai un peu débordé dans le point précédent mais j’en reparle parce que si je fais pas une partie dessus mes TOCs se seraient réveillés.

En parallèle à mon article précédent, je vous rappelle ici que plus vos mots de passe sont longs, plus ils sont sécurisés, et ce de manière plus significative qu’avec l’hétérogénéité de leur contenu.

Comme le gestionnaire va les générer et s'en souvenir pour vous, ne vous sentez pas limité et sortez le plus long mot de passe que vous pouvez !

Que choisir ?

Rien à voir avec l’union fédérale des consommateurs, je vous rassure.

Ici on va parler du choix à faire quand il s'agit de se mettre à utiliser un gestionnaire de mots de passe. Les différents types et les points forts/faibles de chacun. (aucune des listes ne sera exhaustive)

Les gestionnaires intégrés

Bon euh.. Je vous le dit tout de suite, passez votre chemin.

Personnellement je considère pas ça comme des gestionnaires de mots de passe, mais tellement de personnes les utilisent que je suis obligé d’en parler. C’est même très possible que vous en utilisiez un sans le savoir d’ailleurs.

Cette catégorie comporte entre-autres le petit truc dans votre navigateur qui vous propose d’enregistrer vos mots de passe, ou même qui vous connecte tout seul à vos sites préférés.

C’est nul, sécurité 0, franchement je vous conseille d’arrêter. Je dis ça pour vous hein.

Edit : J’ai été un peu médisant sur ce coup là. Certains services, comme celui de Firefox, peuvent êtres protégés par un mot de passe principal, et même sans synchronisation vers l’internet. Permettez-moi d’être un peu moins généraliste sur ce coup là et de laisser passer cette solution. Néanmoins, la plupart stockent vos identifiant de manière totalement claire, aussi simplement qu'un fichier texte avec vos mots de passe écrits dedans. D'où mon conseil de ne pas leur faire confiance.

Les gestionnaires en mode Web

La catégorie parfaite pour les plus flemmards d’entre-vous.

Tout se passe dans le navigateur, tout est synchronisé, on se crée un compte et c’est marre, tout fonctionne partout et ça prend pas de place.

Les mauvais côtés ? La programmation de leur outil n’est que rarement publique (on sait pas ce qu’il se passe quand on utilise leur service), le jour où l’entreprise fait faillite ou se fait pirater qui sait ce qui peut se passer avec vos données, et une connexion internet constante est presque toujours nécessaire.

Dans mon cas c’est surtout un problème de confiance, mais bon, si vous êtes sur Facebook vous n’avez plus rien à craindre. #çadénonce

Les plus connus :

Les générateurs

Alors ceux-là ont leur catégorie à part grâce à leur spécificité qui est de ne rien stocker. Ça vous en bouche un coin hein ?

En fait ces gestionnaires ne s’embêtent pas à devoir retenir un mot de passe, un nom de compte et tous ces trucs. Nan, ils se contentent d’en créer en fonction de différentes critères comme votre identifiant, le site souhaité et un mot de passe principal. Ce principe se nomme « la sécurité par l’obscurité ».

Le gros avantage c’est que ça fonctionne partout, tout le temps et qu’il n’y a rien à pirater puisque rien n’est stocké.

Le problème principal c’est qu’il va falloir se taper les champs à remplir afin de récupérer le mot de passe généré à chaque fois, et que c’est pas vraiment adapté si vous avez des besoins autres que pour des sites internets.

Les plus connus :

Les gestionnaires incorporés dans le disque dur

C’est une catégorie un peu à part qui sont plus physiques que les autres catégories.

En gros, ce sont des micro-processeurs qui sont installés sur la carte mère de la machine. Tous les mots de passe et données sensibles sont stockés dessus et ça permet une protection assez avancée contre le piratage. Ça peut aussi prendre tout simplement la forme d’une clé USB.

Les désavantages sont les contraintes matérielles, les dommages mécaniques, ou même les vols.

Bon par contre j’en connais aucun assez bien pour vous en recommander :/

Les logiciels autonomes

Là, entre objectivité et subjectivité je vais parler du type que j’utilise.

De mon point de vue, ce sont ceux qui possèdent le plus de fonctionnalités. En plus d’enregistrer vos mots de passe, ils vous permettent d’être plus précis dans l’utilisation et dans leur configuration (du moins pour la plupart).

Leur sécurité se base sur une base de mots de passe protégée par un mot de passe principal, et/ou un fichier clé si vous portez un chapeau en aluminium comme moi.

Ils sont sous la forme d’un logiciel à installer sur votre PC, qui va créer un fichier chiffré par ce fameux mot de passe principal.

Certains diront que protéger des mots de passe par un autre n'est pas super sécurisé, mais la réalité c'est pas ça.

Entre :

  • Un mot de passe partagé par plusieurs sites avec autant de possibilité de se le faire pirater

contre :

  • Un gros mot de passe sa mère qui n'est que dans votre tête, et qui garde des mots de passe bien massifs que vous ne connaissez pas.

Ben la deuxième solution est largement préférable.

Ceux que je recommande :

Pour finir

Utiliser un gestionnaire de mots de passe ne se fait pas sans un minimum de responsabilité. Vous ne serez jamais protégé à 100 % d’un vol d’identité, d’une perte des données ou de pertes financières.

Néanmoins, avec un peu de bonne conscience et de connaissances, vous pouvez améliorer significativement votre sécurité informatique à l’aide d’outils adaptés et dignes de confiance.

Ne prenez pas mon article comme la seule source d’information non plus. J’ai essayé de couvrir le plus de terrain possible, mais je ne suis pas le seul à avoir écrit sur le sujet, et il existe des textes qui seront de bons compléments. Alors soyez curieux et soyez sûrs de comprendre les actions que vous allez entreprendre.

En tout cas j’espère avoir rempli le rôle d’être mon propre complément en ce qui concerne les mots de passe, et que vous avez trouvé ce que vous cherchiez, ou non, en lisant cet article.

« The only time you can be completely free from risk is when you're in prison. »
- Edward Snowden

(Merci à bihetq pour sa relecture et à @Troll de m’avoir débloqué l’inspi pour le titre !)

Crédit gif : ssd.eff.org

Crédit photo : unsplash-logoRobert Gramner