[Réflexion] Les gestionnaires de mots de passe

Publié le 28 avril 2020

Informatique Sécurité Services

 Attention, cet article date de plus d'un an. Les informations qu'il contient sont peut-être obsolètes. 

Bonjour à tous !

Aujourd’hui, nous allons parler de gestionnaire de mots de passe dans cet article. C’est un sujet que j’ai déjà abordé il y a plus de 3 ans maintenant dans cet article et qui est très important selon moi et trop pris à la légère par bien trop de personnes.

Pourquoi un gestionnaire de mots de passe ?

Il est important d’aborder ce sujet avec cette question. Alors oui, vous devez utiliser un gestionnaire de mots de passe car non, vous ne devez pas utiliser réutiliser le même mot de passe à plusieurs endroits, et non vous ne devez ni écrire vos mots de passe dans votre journal intime ni dans un Excel (ou équivalent).

L’intérêt d’avoir des mots de passe différents est simple: si l’un d’eux est compromis, vous n’avez que celui-ci à changer et aucun autre mot de passe n’est exposé, tous vos autres services sont donc sans danger.

Et à moins que vous ayez une mémoire excellente (je blague bien sûr !), il vous faut un outil qui les retiendra pour vous. C’est là qu’interviennent les gestionnaires de mots de passe. Un tableur, bloc-note ou autre ne sont pas des moyens sécurisés pour stocker vos mots de passe. Pourquoi ? Parce qu’un mot de passe sur un fichier Excel se craque très facilement/rapidement, et je ne parle même pas d’un fichier type bloc-note …

Il faut cependant nuancer tout cela. Il vaut mieux que vous utilisiez un fichier Excel sur un support chiffré que d’utiliser systématiquement le même mot de passe. Mais si vous utilisez un fichier Excel (impérativement sur un support chiffré donc), c’est que vous êtes déjà sensibilisés sur le sujet, et vous n’êtes qu’à quelques étapes d’une solution plus pérenne et efficace, c’est dommage …

Un petit mot concernant les phrases de passe du type wildlife-desolate-luckily-enticing-chatting, certes c’est plus facile à retenir que oC9j$gbRgS#ai^B%jCUp, mais c’est la même chose, il vous faudrait une phrase de passe différente pour chaque service, donc autant utiliser un gestionnaire de mots de passe. En revanche, la phrase de passe peut tout à fait être utilisée comme mot de passe maître de votre gestionnaire, c’est en effet le seul mot de passe à retenir, donc il est indispensable de ne pas l’oublier !

Bref, quoi que vous fassiez ou utilisiez, le plus important reste d’être au courant des risques encourus avec la solution adoptée. Le risque 0 n’existe pas, l’utilisation d’un gestionnaire de mots de passe ne voudra pas dire “sécurité 100% maximale” mais reste tout de même fortement recommandée.

Les gestionnaires que j’ai utilisés

Je vais vous exposer les différents gestionnaires que j’ai utilisés avant de finir par celui qui me convient à l’heure actuelle. Si vous n’en utilisez pas, je vous conseillerai celui dont je me sers actuellement. La description des autres gestionnaires vous donnera une idée sur les fonctionnalités et particularités qu’il est possible d’avoir.

Password-Manager

Derrière ce nom très original (ou pas) se cache le gestionnaire que j’ai utilisé pendant environ 3 ans. Mon fork est toujours disponible ici, mais je vous déconseille de l’utiliser pour les raisons que je vais évoquer plus tard. Cependant, je lui trouvais de nombreux avantages:

  • Open Source.
  • Chiffrement PBKDF2 (avec seulement 500 itérations cependant).
  • Configuration/installation simple.
  • Sauvegardes simples à effectuer/restaurer (les données restant évidemment chiffrées).
  • Gestionnaire peu connu donc peu utilisé donc peu d’intérêt pour un hacker d’y passer du temps. Je mets ce point en italique, car il ne veut pas dire grand-chose: c’est plus une remarque qu’un avantage.

Son principal inconvénient est qu’une connexion internet est indispensable (et que l’instance soit accessible et fonctionnelle forcément).

Le dernier avantage est devenu petit à petit un nouvel inconvénient: le gestionnaire n’étant plus maintenu par ses développeurs principaux, ça peut rapidement devenir un problème dans le sens ou la sécurité informatique est un domaine qui évolue très rapidement. Des failles sont trouvées régulièrement et je n’ai ni le temps, ni l’expertise pour maintenir le gestionnaire à un niveau respectable en termes de sécurité.

Passwords

J’ai le don pour utiliser des gestionnaires aux noms originaux on dirait ! Bref, j’ai utilisé ce gestionnaire pendant environ une dizaine de mois. Il offrait lui aussi de nombreux avantages mais avait un inconvénient principal: il était lent. Il fallait en effet passer par Nextcloud (j’adore cet outil, je l’utilise au quotidien, mais il n’est pas vraiment rapide, PHP oblige …) pour accéder à l’application passwords qui elle-même prenait du temps à charger pour déchiffrer tous les mots de passes.

Par rapport au gestionnaire précédent, celui-ci avait l’avantage de disposer d’applications mobiles et pour navigateurs. Ce qui permet l’auto-complétion dans les formulaires, et avouons-le c’est quand même ultra pratique !

Ce qui m’a fait quitter ce gestionnaire est notamment sa lenteur, j’en arrivais à avoir trop la flemme de créer de nouveaux mots de passe donc j’ai cherché autre chose.

Bitwarden

Pourquoi Bitwarden et non d’autres gestionnaires du même type ? Je n’en sais rien, passbolt avait également l’air bien mais son interface était peut-être moins claire.

Ces 2 outils sont donc similaires dans la mesure où ils sont Open Source (pré-requis 100% obligatoire pour stocker mes mots de passe) mais aussi parce qu’ils sont gratuits tout en possédant un abonnement premium qui “débloque” des fonctionnalités. Les entreprises vivent donc de ceux qui utilisent ces fonctionnalités premiums tout en mettant le code source à disposition. Nous sommes face à un très bon compromis je trouve !

Je l’utilise maintenant depuis un petit mois et j’en suis plutôt satisfait. Un prochain article du site traitera entièrement de Bitwarden (installation, sauvegardes, petites astuces …), donc je ne vais pas trop m’attarder ici.

Ses différents avantages sont tout de même:

  • Open Source.
  • Chiffrement PBKDF2.
  • Possibilité de l’héberger soi-même.
  • Sauvegardes simples à effectuer/restaurer.
  • Gestionnaire régulièrement audité. De plus, si une faille est découverte, elle sera très vite corrigée (sauf si découverte pas des personnes mal intentionnées bien sûr …). C’est l’avantage d’un gestionnaire maintenu par une entreprise car oui, tout logiciel comporte un risque de sécurité à ne pas négliger, même un gestionnaire de mots de passe.
  • Interface sobre, simple et efficace.
  • Applications mobiles et pour navigateurs: comme je l’ai dit précédemment, c’est très pratique.

Ses principaux défauts sont:

  • Étant un gestionnaire en ligne, il faut une connexion internet pour y accéder.
  • Il tourne sous Docker, et je suis malheureusement toujours un peu réfractaire à cette technologie, bien que j’aie effectivement franchi le pas ! Ce sera le sujet d’un prochain article dédié.
  • Pas d’historique des dernières connexions. On reçoit un mail pour toute nouvelle connexion, mais pas moyen d’avoir une liste depuis le client, c’est vraiment dommage …
  • Basé sur des technologies Microsoft, un peu dommage selon moi de ne pas utiliser des équivalents Open Source …

Ses fonctionnalités premiums sont intéressantes. On retrouve en effet:

  • Le plus important: la possibilité de gérer la double authentification en plus des mots de passe.
  • Une liste des mots de passe qui ont été exposés notamment via des failles répertoriées sur HIBP.
  • Une liste des mots de passe réutilisés au sein de votre coffre.
  • Une liste des mots de passe faibles (c’est marrant, les mots de passe des banques à 6 chiffres sont considérés comme faibles … passons …)
  • Une liste des mots de passe dont vous avez spécifié une URL n’étant pas en HTTPS mais seulement en HTTP.
  • La liste des sites sur lesquels vous avez un mot de passe mais dont vous n’avez pas configuré la double authentification (d’après le site twofactorauth).

Petit aparté sur la double authentification

Au premier abord, je pensais qu’utiliser son gestionnaire de mots de passe comme client pour la double authentification était une mauvaise idée: pourquoi mettre tous ses œufs dans le même panier ? Si le gestionnaire est piraté, le pirate aura toutes les clés pour accéder à vos services.

Puis je me suis rendu compte que je stockais (dans les notes) les codes de récupérations (ceux à utiliser quand vous ne pouvez pas résoudre la double authentification comme si votre smartphone n’a plus de batterie …). Donc au final, il n’y a pas vraiment de raisons de ne pas utiliser cette fonctionnalité. De toutes façons, si vous n’avez pas confiance en votre gestionnaire de mots de passe, autant ne pas l’utiliser et en adopter un autre !

D’autres gestionnaires/philosophies

Certes j’ai utilisé quelques gestionnaires, mais il en existe beaucoup d’autres. À commencer par KeePass.. !

KeePass ou KeePassXC

Très utilisé et très aimé, ce gestionnaire consiste en un seul fichier .kdbx que vous pouvez déchiffrer à l’aide du logiciel fourni avec. La liste des fonctionnalités est gargantuesque mais quelque-chose m’a toujours repoussé à l’idée de l’utiliser. Je pense que c’est justement lié à toutes les fonctionnalités: trop de fonctionnalités qui donnent une interface peu claire à mes yeux.

Je viens par exemple de réessayer KeePassXC. Je crée ma base de données, jusque-là tout va bien :) Ensuite, je veux rajouter un mot de passe, et je clique sur le bouton +. Perdu, c’était le bouton pour rajouter une base de données, il fallait cliquer sur l’icône de clé avec une flèche verte.

KeePassXC
KeePassXC

Bref, je suis peut-être un peu vieux jeu (ou de mauvaise foi !), mais je n’ai pas envie d’apprendre à utiliser un gestionnaire, il doit être simple et intuitif. D’autant que je ne suis pas seul à utiliser la solution que je choisis, des proches font également usage du même gestionnaire que moi, d’où cet argument … Il ne faut en effet pas repousser les gens et qu’ils prennent peur devant 40000 boutons, et c’est un vrai argument à prendre en considération, pas juste un petit tacle gratuit.

Si j’avais été amené à utiliser KeePassXC, ça aurait sûrement été en partie avec l’application Keeweb pour Nextcloud qui permet d’ouvrir les fichiers .kdbx directement depuis l’interface web de Nextcloud (indispensable si je ne suis pas chez moi pour ne pas avoir à installer un client lourd). De toutes façons, ce fameux fichier aurait été stocké sous Nextcloud pour permettre une synchronisation entre les différents supports que je suis amené à utiliser.

Les “gestionnaires” sans mots de passe

Il existe des gestionnaires qui ne retiennent rien en mémoire comme Master Password. En fait, vous retenez votre mot de passe principal (comme tout gestionnaire classique) et un hash (qui sera alors votre mot de passe) sera calculé en fonction du site que vous visitez. Par exemple votre mot de passe Twitter sera calculé à partir du mot de passe principal et de la chaine de caractère “twitter”. Il sera donc identique à chaque fois car le calcul est déterministe (par défaut, il donne toujours le même nombre de caractères dans le mot de passe par exemple).

Cette solution est selon moi pire que d’utiliser un même mot de passe-partout, je m’explique:

  • Un site veut des caractères avec majuscule, des chiffres etc… mais le mot de passe généré ne remplit pas les conditions: vous êtes bloqués … (bien que ces restrictions n’aient aucun sens, vous n’avez pas parfois pas le choix).
  • Votre mot de passe Twitter est compromis. La bonne nouvelle est que c’est votre seul mot de passe compromis. La mauvaise est que votre générateur génère tout le temps le même mot de passe, donc vous faites comment ? Vous mettez “twitter2” plutôt que “twitter” pour générer votre hash ?

Les gestionnaires non Open Source

Non envisageable à mes yeux, je ne saurai pas dire si c’est mieux ou pire que de ne pas en utiliser. Dans tous les cas, vous faites confiance aveuglément à une entreprise (dont le but est, par définition, de faire de l’argent):

  • Soit c’est payant: vous pouvez espérer que l’entreprise ne vive qu’avec vos paiements mais sans revendre vos informations personnelles.
  • Soit c’est gratuit avec des formules payantes: vous pouvez espérer que l’entreprise ne vive qu’avec les paiements de ceux qui utilisent l’offre payante mais sans revendre vos informations personnelles.
  • Soit c’est entièrement gratuit: dans ce cas, comment l’entreprise gagne de l’argent si ce n’est en jouant avec vos informations personnelles ?

À vos risques et périls …

Conclusion

Pour finir, j’espère que vous utilisez un gestionnaire ou que vous allez le faire prochainement ! Si ce n’est pas le cas, j’espère au moins vous avoir sensibilisé un minimum sur la nécessité d’utiliser un gestionnaire de mots de passe.

Quoi qu’il en soit, je n’ai pas la science infuse ni toujours raison, alors n’hésitez pas à utiliser la section des commentaires pour partager votre point de vue, cette section est là pour discuter et partager !

Commentaires




Ailleurs sur le Web


Home Screen Advantage - Infrequently Noted

A slide from Apple's presentation in Apple v. Epic, attempting to make the claim Epic could have just made a PWA if they didn't like the App Store terms because circa '20 Safari was so capable. LOL. Je n'aurai pas assez de popcorn pour le DM…

via Shaarli le 28 février 2024

800 employés de la poste britannique condamnés à tort à cause d’un logiciel défectueux - Next

En droit anglais et gallois, les ordinateurs sont considérés comme « fiables », sauf preuve du contraire, souligne The Guardian, ce qui « renverse la charge de la preuve normalement appliquée dans les affaires pénales ». Euh, ok !

via Shaarli le 15 janvier 2024

Mise en place et étude d'un Honey Pot SSH (Cowrie) | | Sécurité Informatique | IT-Connect (it-connect.fr) – wallabag

Article intéressant. C'est clairement dans la même démarche que mon article sur les phishing.

via Shaarli le 09 janvier 2024

Généré avec openring


Recettes de gourmands


Meringues

Pratique pour utiliser des blancs d'œufs, car les ingrédients sont au tant pour tant.

via cooking.pofilo.fr le 21 mars 2024

Risotto classique

Vraiment très simple mais le résultat est succulent.

via cooking.pofilo.fr le 28 février 2024

Pain italien

via cooking.pofilo.fr le 17 février 2024

Généré avec openring