Technologie
À bas les mots de passe !
Raphaël |
Je déteste les mots de passe. Dans mon entourage beaucoup de gens me disent « je déteste les mots de passe ». La plupart des gens que je connais haïssent tellement les mots de passe qu'ils utilisent toujours le même mot de passe simple pour l'ensemble de leurs comptes : administration, comptes bancaires, site Internet, partout où il faut s'inscrire. Le problème est que vos mots de passe sécurisent tellement de choses qu'ils sont la principale priorité des pirates lorsqu'ils souhaitent s'en prendre à vous ou à ce que vous possédez.
Certains médias tentent de sensibiliser sur l'importance des bonnes pratiques de sécurité informatique, mais très peu guident réellement les utilisateurs vers des choses simples pour tous. Je vais donc tenter de vous aider à régler définitivement ce problème de mot de passe.
D'où viennent les mauvaises pratiques ?
Commençons par l'évidence : si, comme moi il y a quelques années, vous n'avez pas d'outil fiable pour enregistrer vos mots de passe, vous utilisez probablement le même mot de passe partout ou un mot de passe facile à deviner. Soyons honnête, gérer ses mots de passe, c'est une charge mentale supplémentaire, c'est une connaissance de plus à acquérir, c'est un effort d'imagination et de mémoire à chaque site et c'est surtout une pratique informatique qui n'est jamais enseignée. Tout le monde fait donc au plus simple, au plus instinctif : un mot simple identique partout. 123456 est le mot de passe le plus utilisé au monde, suivi de près par d'autres suites logiques de nombres et de password ! Liste des pires mots de passe d'après NordPass
« Moi je n'ai rien à cacher »
C'est un discours très récurrent, beaucoup de gens pensent qu'ils n'ont pas besoin de sécuriser leurs comptes, car ils n'ont « rien à cacher ». C'est une facilité dans laquelle il ne faut pas tomber : nous avons tous, tout le temps, quelque chose à cacher. Cela s'appelle l'intimité. Vous n'avez pas forcément envie que votre boss sache que vous l'imitez chaque jour avant de prendre votre bain !
Cette intimité existe aussi sur Internet : vous n'avez pas envie qu'un pirate sache qui vous êtes, ce que vous faites ou d'autres informations qui lui permettrait d'en savoir suffisamment sur vous pour vous voler informations, biens ou argent.
L'économie du piratage est un sujet très intéressant quand on parle de sécurité. Dans le cas du vol de mot de passe, il est très rare qu'un pirate exploite directement les données qu'il a subtilisées. La plupart du temps, il constitue un dossier de données volées et il les vend sur un site spécialisé. Ainsi, le voleur de données devient très difficile à retrouver puisqu'il n'exploitera pas les données qu'il a obtenues. Un même mot de passe utilisé sur plusieurs sites décuplera les bénéfices du voleur parce qu'il revendra vos identifiants pour chaque site sur lesquels vous les avez utilisés et multiplie vos risques d'être pirate parce que l'acheteur de vos données fera tout pour les rentabiliser.
Imaginons que vous soyez abonné à un journal : si un pirate achète les accès à votre compte sur le site de ce journal, il saura quels journaux vous lisez. Il sera ensuite trivial pour lui de vous envoyer un e-mail prétextant une anomalie sur votre abonnement pour vous demander de payer rapidement pour ne pas rater un numéro. Avec toutes les informations trouvées sur vous, sur le site de votre journal favori et sur les autres sites accessibles avec le même mot de passe (boite e-mail, banque, site du gouvernement, sites d'actualité, etc.), il peut arriver à rassembler assez d'information pour gagner votre confiance absolue. C'est ce que l'on appelle une attaque par phishing ciblé. Le retour sur investissement est généralement énorme pour le pirate.
Vous comprenez l'intérêt d'avoir une politique fiable de sécurité numérique.
Mauvaise nouvelle : votre mot de passe a déjà été piraté !
J'ai pris conscience de la grosse problématique d'utiliser un mot de passe unique pour tous les sites le jour où j'ai pu consulter des fichiers de site Internet qui ont été piraté. Dans ces fichiers, j'y ai trouvé plusieurs de mes adresses e-mails accompagnées de mes mots de passe, visibles clairement, malgré les garanties de sécurité apportées par ces sites. Et détrompez-vous, il ne s'agissait pas de sites amateurs ou obscurs, mais bien de grands sites institutionnels, de site de grandes entreprises, des sites censé être parfaitement sécurisé. Même si c'est maintenant fortement déconseillé (voire illégal), encore beaucoup d'entreprises stockent encore vos mots de passe sans aucune sécurité. Vous l'avez compris, comme j'ai utilisé le même mot de passe sur ces sites et sur d'autres sites, des pirates ne se sont pas privés pour accéder à mes e-mails personnels.
Si vous voulez savoir si l'un de vos mots de passe est disponible dans ces fichiers de sites piratés, vous pouvez consulter le site haveibeenpwned.com et y saisir votre adresse e-mail. Si vous utilisez Internet depuis plusieurs années, il est fort probable que vous ayez été compromis.
Comment faire ?
Ma solution a été d'installer sur mon ordinateur et mon téléphone une application de gestion de mots de passe synchronisée. Il en existe plusieurs, leur principe est à peu près toujours le même : un logiciel protégé par un mot de passe unique vous permet d'enregistrer toutes vos informations sensibles (identifiants de connexion, comptes bancaires, cartes bancaires, mots de passe wifi, etc.).
Toutes vos informations sont chiffrées (cryptées) et impossible à consulter sans votre mot de passe principal. Pour une sécurité maximale, vous pouvez protéger ce fichier avec un système biométrique (empreinte digitale, reconnaissance faciale…).
Ce logiciel se connecte à votre navigateur pour vous aider à remplir les champs connus sur vos sites internet : mots de passe, adresse e-mail, numéro de carte bancaire, etc.
Il enregistre automatiquement sur un espace en ligne sécurisé une copie de votre fichier de mots de passe, afin que vous puissiez y accéder avec votre téléphone portable. De cette manière, où que vous soyez, vous avez accès à vos mots de passe.
Comparatif des acteurs majeurs du marché
J'ai recensé les principaux acteurs du marché. Pour pouvoir comparer les prix plus facilement, j'ai calculé le coût d'une utilisation pendant cinq ans, converti en euros si nécessaire. Attention, les taux de change sont susceptibles de varier et les tarifs ne sont pas garantis sur la durée, il ne s'agit qu'une évaluation approximative. Lorsque cela est possible, des liens d'affiliation vous permettent de bénéficier de remises. Cette liste n'est pas exhaustive, je m'efforcerai de la tenir à jour avec vos suggestions.
| Logiciel | Coût pour 5 ans d'utilisation | Logiciel en français | Synchronisation téléphone ⇄ ordinateur | Intégré aux navigateurs web | Propose de créer des mots de passe sécurisés | Stocke les clés Wifi, les numéros de CB… | Sécurité | Mon avis |
|---|---|---|---|---|---|---|---|---|
| 1Password 35,58 $ par an |
110,00 € | Oui | Oui | Oui | Oui | Oui | Code source impossible à contrôler. Propose un déverrouillage par biométrie. |
4/5 Leader du marché, propose une solution tout-en-un très intégrée. Très bon outil pour démarrer malgré un tarif un peu élevé. |
| NordPass 52,68 € par an |
137,40 € avec remises 262,80 € hors promotion |
Oui | Oui | Oui | Oui | Oui | Les développeurs affirment ne pas avoir accès à vos mots de passe. Code source impossible à contrôler. |
4/5 Propose de nombreuses remises : 52,56 € pour deux ans, remise étudiants… Interface agréable et très complète. Très bon outil pour démarrer malgré un tarif un peu élevé. |
| Bitwarden Gratuit avec options payantes |
000,00 € | Oui | Oui | Oui | Oui | Oui | Les développeurs affirment ne pas avoir accès à vos mots de passe. Code source ouvert. Propose un déverrouillage par biométrie. |
5/5 Le meilleur service gratuit. Seul défaut : le site internet est en anglais et l'application est par défaut en anglais (modifiable dans les préférences). Une version payante apporte plus de sécurité pour 10$ par an, ce qui reste très bon marché. |
| RoboForm 23,88 € par an |
119,40 € | Oui | Oui | Oui | Oui | Oui | Les développeurs affirment ne pas avoir accès à vos mots de passe. Code source impossible à contrôler. Propose un déverrouillage par biométrie. |
4/5 Un très ancien acteur du marché, connu dans les années 2000 comme un outil capable de pré-remplir non seulement les mots de passe, mais aussi tous les formulaire (nom, prénom, e-mail, téléphone, adresse, etc.). |
| LastPass 34,80 € par an |
174,00 € | Oui | Oui | Oui | Oui | Oui | Les développeurs affirment ne pas avoir accès à vos mots de passe. Code source impossible à contrôler. Propose un déverrouillage par biométrie. |
3/5 Sur ordinateur, s'installe uniquement dans le navigateur, ce qui est moins pratique pour des usages non web (clé wifi, etc.). Ressemble à Dashlane. Un peu cher. |
| Enpass 71,19 € à vie |
064,07 € Avec le coupon EN2F3-K76HM |
Oui | Oui | Oui | Oui | Oui | Les développeurs affirment ne pas avoir accès à vos mots de passe. Code source impossible à contrôler. Propose un déverrouillage par biométrie. |
6/5 Mon préféré. Permet de stocker votre fichier de mots de passe où vous souhaitez (Dropbox, Google Drive, sur un serveur personnel, etc.). Interface parfois un peu technique pour un débutant, mais la maîtrise de l'outil arrive très rapidement. Site en anglais mais logiciel en français. Formule sans abonnement très appréciable : vous payez une fois pour une utilisation sans limite. Remise avec le coupon EN2F3-K76HM. |
| Dashlane 39,99 € par an |
199,95 € | Oui | Oui | Oui | Oui | Oui | Les développeurs affirment ne pas avoir accès à vos mots de passe. Code source impossible à contrôler. Propose un déverrouillage par biométrie. Inclus un VPN pour augmenter votre sécurité en wifi public. |
3/5 Sur ordinateur, s'installe uniquement dans le navigateur, ce qui est moins pratique pour des usages non web (clé wifi, etc.). Ressemble à LastPass. Parmi les plus chers. |
| Buttercup Gratuit |
000,00 € | En partie traduit | Oui | Oui | Oui | Oui | Les développeurs n'ont pas accès à vos mots de passe. Code source ouvert. | 4/5 Permet de stocker votre fichier de mots de passe où vous souhaitez (Dropbox, Google Drive, sur un serveur personnel, etc.). Connait quelques défauts de jeunesse. Interface parfois peu intuitive pour un débutant. Site en anglais. |
| AuthPass Gratuit |
000,00 € | Oui | Oui | Non | Oui | Possible mais non supporté | Les développeurs n'ont pas accès à vos mots de passe. Code source ouvert. | 2/5 Projet encore trop jeune ne disposant pas d'intégration dans les navigateurs. Site en anglais mais logiciel en français. |
| Strongbox 89,98 $ à vie pour un téléphone et un ordinateur |
085,00 € | Oui | Trop compliqué pour un débutant Uniquement iPhone et Mac |
Uniquement Safari | Oui | Oui | Les développeurs affirment ne pas avoir accès à vos mots de passe. Code source impossible à contrôler. Propose un déverrouillage par biométrie. |
2/5 Très en deçà de la concurrence à tarif équivalent. Réservé à l'univers Apple. Site en anglais mais logiciel en français. |
| KeePass Gratuit |
000,00 € | Nécessite une extension | Non | Non | Oui | Oui | Les développeurs n'ont pas accès à vos mots de passe. Code source ouvert. | 1/5 L'un des premiers, difficile de ne pas l'évoquer, mais vraiment trop daté. Trop compliqué et trop peu intégré. Site et logiciel en anglais, une traduction est téléchargeable. |
| iCloud / Trousseau d'accès Mac Inclus dans les Mac et iPhone |
000,00 € Si vous avez un Mac ou un iPhone |
Oui | Uniquement iPhone, iPad et Mac | Uniquement Safari | Oui | Partiel et compliqué | Code source impossible à contrôler. Propose un déverrouillage par biométrie. | 1/5 C'est l'outil intégré dans tous les appareils Apple. Dommage qu'il soit aussi complexe et technique. Trop peu utilisable. |
| Le carnet de mots de passe en papier | 005,00 € | Oui | Non | Non | Non | Possible mais non supporté | Les mots de passes sont visibles par toutes les personnes qui ont accès au cahier. En cas de cambriolage, votre vie numérique est volée. | 1/5 L'outil rustique à l'épreuve des pirates, mais sédentaire et beaucoup trop vulnérable au feu et au vol. |
Note : "code source ouvert" signifie qu'il est possible pour n'importe qui de voir comment l'application fonctionne et de s'assurer que les règles de sécurité sont bien respectées. Un code source impossible à contrôler empêche toute forme de vérification par rapport aux promesses formulées par le vendeur.
Par quoi commencer ?
Une fois que vous avez installé, configuré et synchronisé votre gestionnaire de mots de passe sur votre téléphone et votre ordinateur, votre priorité absolue doit être de changer le mot de passe de votre boite aux lettres e-mail. C'est par elle que tout passe, c'est elle qui stocke tout, c'est grâce à elle que vous pouvez renouveler tous vos autres mots de passe. Pour cela, générez avec votre gestionnaire un mot de passe compliqué, d'au moins 10 caractères de tous types (lettres majuscules, minuscules, chiffres, ponctuation). Pensez à bien vérifier que le mot de passe est enregistré sur votre gestionnaire. La synchronisation entre votre téléphone et votre ordinateur se fera au bout de quelques minutes.
Une fois que c'est fait, testez. Ouvrez une fenêtre de navigation privée sur votre ordinateur ou votre téléphone et rendez-vous sur le site internet de votre boite aux lettres. Lorsqu'il vous sera demandé de vous connecter, le gestionnaire de mots de passe se manifestera pour vous proposer de remplir les champs à votre place. Suivez les instructions et vous devriez vous connecter simplement en cliquant sur le bouton approprié.
Ensuite, progressivement, modifiez quelques mots de passe chaque jour, jusqu'à ce que tous les sites sur lesquels vous êtes inscrit soient enregistrés sur votre gestionnaire. Inutile de vous mettre la pression immédiatement, vous avez déjà assez de choses à gérer avec cette nouvelle habitude. Vos priorité sont les sites sur lesquels vos coordonnées bancaires sont enregistrées : banque, vente en ligne (Amazon, CDiscount, drives, etc.), impôts, boutiques d'applications mobile (Google, Apple, Huawei, etc.), abonnements (Netflix, Salto, Deezer, Spotify, etc.)…
Si vous possédez plusieurs sites OnlineCreation.me, un gestionnaire de mots de passe sera salvateur : vous n'aurez qu'un clic à faire pour vous connecter à un site, trois clics pour passer d'un site à un autre. Vous allez adorer !
Dites-moi en commentaire comment vous gérez vos mots de passe aujourd'hui. Si vous testez un gestionnaire de mots de passe après lecture de cet article, dites-moi ce que vous en avez pensé, ça me permettra de mettre à jour l'article.