[Réflexion] Les gestionnaires de mots de passe

Tags: Informatique Sécurité Services


Bonjour à tous !

Aujourd’hui, nous allons parler de gestionnaire de mots de passe dans cet article. C’est un sujet que j’ai déjà abordé il y a plus de 3 ans maintenant dans cet article et qui est très important selon moi et trop pris à la légère par bien trop de personnes.

Pourquoi un gestionnaire de mots de passe ?

Il est important d’aborder ce sujet avec cette question. Alors oui, vous devez utiliser un gestionnaire de mots de passe car non, vous ne devez pas utiliser réutiliser le même mot de passe à plusieurs endroits, et non vous ne devez ni écrire vos mots de passe dans votre journal intime ni dans un Excel (ou équivalent).

L’intérêt d’avoir des mots de passe différents est simple: si l’un d’eux est compromis, vous n’avez que celui-ci à changer et aucun autre mot de passe n’est exposé, tous vos autres services sont donc sans danger.

Et à moins que vous ayez une mémoire excellente (je blague bien sûr !), il vous faut un outil qui les retiendra pour vous. C’est là qu’interviennent les gestionnaires de mots de passe. Un tableur, bloc-note ou autre ne sont pas des moyens sécurisés pour stocker vos mots de passe. Pourquoi ? Parce qu’un mot de passe sur un fichier Excel se craque très facilement/rapidement, et je ne parle même pas d’un fichier type bloc-note …

Il faut cependant nuancer tout cela. Il vaut mieux que vous utilisiez un fichier Excel sur un support chiffré que d’utiliser systématiquement le même mot de passe. Mais si vous utilisez un fichier Excel (impérativement sur un support chiffré donc), c’est que vous êtes déjà sensibilisés sur le sujet, et vous n'êtes qu'à quelques étapes d’une solution plus pérenne et efficace, c’est dommage …

Un petit mot concernant les phrases de passe du type wildlife-desolate-luckily-enticing-chatting, certes c’est plus facile à retenir que oC9j$gbRgS#ai^B%jCUp, mais c’est la même chose, il vous faudrait une phrase de passe différente pour chaque service, donc autant utiliser un gestionnaire de mots de passe. En revanche, la phrase de passe peut tout à fait être utilisée comme mot de passe maître de votre gestionnaire, c’est en effet le seul mot de passe à retenir, donc il est indispensable de ne pas l’oublier !

Bref, quoi que vous fassiez ou utilisiez, le plus important reste d'être au courant des risques encourus avec la solution adoptée. Le risque 0 n’existe pas, l’utilisation d’un gestionnaire de mots de passe ne voudra pas dire “sécurité 100% maximale” mais reste tout de même fortement recommandée.

Les gestionnaires que j’ai utilisés

Je vais vous exposer les différents gestionnaires que j’ai utilisés avant de finir par celui qui me convient à l’heure actuelle. Si vous n’en utilisez pas, je vous conseillerai celui dont je me sers actuellement. La description des autres gestionnaires vous donnera une idée sur les fonctionnalités et particularités qu’il est possible d’avoir.

Password-Manager

Derrière ce nom très original (ou pas) se cache le gestionnaire que j’ai utilisé pendant environ 3 ans. Mon fork est toujours disponible ici, mais je vous déconseille de l’utiliser pour les raisons que je vais évoquer plus tard. Cependant, je lui trouvais de nombreux avantages:

  • Open Source.
  • Chiffrement PBKDF2 (avec seulement 500 itérations cependant).
  • Configuration/installation simple.
  • Sauvegardes simples à effectuer/restaurer (les données restant évidemment chiffrées).
  • Gestionnaire peu connu donc peu utilisé donc peu d’intérêt pour un hacker d’y passer du temps. Je mets ce point en italique, car il ne veut pas dire grand-chose: c’est plus une remarque qu’un avantage.

Son principal inconvénient est qu’une connexion internet est indispensable (et que l’instance soit accessible et fonctionnelle forcément).

Le dernier avantage est devenu petit à petit un nouvel inconvénient: le gestionnaire n'étant plus maintenu par ses développeurs principaux, ça peut rapidement devenir un problème dans le sens ou la sécurité informatique est un domaine qui évolue très rapidement. Des failles sont trouvées régulièrement et je n’ai ni le temps, ni l’expertise pour maintenir le gestionnaire à un niveau respectable en termes de sécurité.

Passwords

J’ai le don pour utiliser des gestionnaires aux noms originaux on dirait ! Bref, j’ai utilisé ce gestionnaire pendant environ une dizaine de mois. Il offrait lui aussi de nombreux avantages mais avait un inconvénient principal: il était lent. Il fallait en effet passer par Nextcloud (j’adore cet outil, je l’utilise au quotidien, mais il n’est pas vraiment rapide, PHP oblige …) pour accéder à l’application passwords qui elle-même prenait du temps à charger pour déchiffrer tous les mots de passes.

Par rapport au gestionnaire précédent, celui-ci avait l’avantage de disposer d’applications mobiles et pour navigateurs. Ce qui permet l’auto-complétion dans les formulaires, et avouons-le c’est quand même ultra pratique !

Ce qui m’a fait quitter ce gestionnaire est notamment sa lenteur, j’en arrivais à avoir trop la flemme de créer de nouveaux mots de passe donc j’ai cherché autre chose.

Bitwarden

Pourquoi Bitwarden et non d’autres gestionnaires du même type ? Je n’en sais rien, passbolt avait également l’air bien mais son interface était peut-être moins claire.

Ces 2 outils sont donc similaires dans la mesure où ils sont Open Source (pré-requis 100% obligatoire pour stocker mes mots de passe) mais aussi parce qu’ils sont gratuits tout en possédant un abonnement premium qui “débloque” des fonctionnalités. Les entreprises vivent donc de ceux qui utilisent ces fonctionnalités premiums tout en mettant le code source à disposition. Nous sommes face à un très bon compromis je trouve !

Je l’utilise maintenant depuis un petit mois et j’en suis plutôt satisfait. Un prochain article du site traitera entièrement de Bitwarden (installation, sauvegardes, petites astuces …), donc je ne vais pas trop m’attarder ici.

Ses différents avantages sont tout de même:

  • Open Source.
  • Chiffrement PBKDF2.
  • Possibilité de l’héberger soi-même.
  • Sauvegardes simples à effectuer/restaurer.
  • Gestionnaire régulièrement audité. De plus, si une faille est découverte, elle sera très vite corrigée (sauf si découverte pas des personnes mal intentionnées bien sûr …). C’est l’avantage d’un gestionnaire maintenu par une entreprise car oui, tout logiciel comporte un risque de sécurité à ne pas négliger, même un gestionnaire de mots de passe.
  • Interface sobre, simple et efficace.
  • Applications mobiles et pour navigateurs: comme je l’ai dit précédemment, c’est très pratique.

Ses principaux défauts sont:

  • Étant un gestionnaire en ligne, il faut une connexion internet pour y accéder.
  • Il tourne sous Docker, et je suis malheureusement toujours un peu réfractaire à cette technologie, bien que j’aie effectivement franchi le pas ! Ce sera le sujet d’un prochain article dédié.
  • Pas d’historique des dernières connexions. On reçoit un mail pour toute nouvelle connexion, mais pas moyen d’avoir une liste depuis le client, c’est vraiment dommage …
  • Basé sur des technologies Microsoft, un peu dommage selon moi de ne pas utiliser des équivalents Open Source …

Ses fonctionnalités premiums sont intéressantes. On retrouve en effet:

  • Le plus important: la possibilité de gérer la double authentification en plus des mots de passe.
  • Une liste des mots de passe qui ont été exposés notamment via des failles répertoriées sur HIBP.
  • Une liste des mots de passe réutilisés au sein de votre coffre.
  • Une liste des mots de passe faibles (c’est marrant, les mots de passe des banques à 6 chiffres sont considérés comme faibles … passons …)
  • Une liste des mots de passe dont vous avez spécifié une URL n'étant pas en HTTPS mais seulement en HTTP.
  • La liste des sites sur lesquels vous avez un mot de passe mais dont vous n’avez pas configuré la double authentification (d’après le site twofactorauth).

Petit aparté sur la double authentification

Au premier abord, je pensais qu’utiliser son gestionnaire de mots de passe comme client pour la double authentification était une mauvaise idée: pourquoi mettre tous ses œufs dans le même panier ? Si le gestionnaire est piraté, le pirate aura toutes les clés pour accéder à vos services.

Puis je me suis rendu compte que je stockais (dans les notes) les codes de récupérations (ceux à utiliser quand vous ne pouvez pas résoudre la double authentification comme si votre smartphone n’a plus de batterie …). Donc au final, il n’y a pas vraiment de raisons de ne pas utiliser cette fonctionnalité. De toutes façons, si vous n’avez pas confiance en votre gestionnaire de mots de passe, autant ne pas l’utiliser et en adopter un autre !

D’autres gestionnaires/philosophies

Certes j’ai utilisé quelques gestionnaires, mais il en existe beaucoup d’autres. À commencer par KeePass.. !

KeePass ou KeePassXC

Très utilisé et très aimé, ce gestionnaire consiste en un seul fichier .kdbx que vous pouvez déchiffrer à l’aide du logiciel fourni avec. La liste des fonctionnalités est gargantuesque mais quelque-chose m’a toujours repoussé à l’idée de l’utiliser. Je pense que c’est justement lié à toutes les fonctionnalités: trop de fonctionnalités qui donnent une interface peu claire à mes yeux.

Je viens par exemple de réessayer KeePassXC. Je crée ma base de données, jusque-là tout va bien :) Ensuite, je veux rajouter un mot de passe, et je clique sur le bouton +. Perdu, c'était le bouton pour rajouter une base de données, il fallait cliquer sur l’icône de clé avec une flèche verte.

KeePassXC
KeePassXC

Bref, je suis peut-être un peu vieux jeu (ou de mauvaise foi !), mais je n’ai pas envie d’apprendre à utiliser un gestionnaire, il doit être simple et intuitif. D’autant que je ne suis pas seul à utiliser la solution que je choisis, des proches font également usage du même gestionnaire que moi, d’où cet argument … Il ne faut en effet pas repousser les gens et qu’ils prennent peur devant 40000 boutons, et c’est un vrai argument à prendre en considération, pas juste un petit tacle gratuit.

Si j’avais été amené à utiliser KeePassXC, ça aurait sûrement été en partie avec l’application Keeweb pour Nextcloud qui permet d’ouvrir les fichiers .kdbx directement depuis l’interface web de Nextcloud (indispensable si je ne suis pas chez moi pour ne pas avoir à installer un client lourd). De toutes façons, ce fameux fichier aurait été stocké sous Nextcloud pour permettre une synchronisation entre les différents supports que je suis amené à utiliser.

Les “gestionnaires” sans mots de passe

Il existe des gestionnaires qui ne retiennent rien en mémoire comme Master Password. En fait, vous retenez votre mot de passe principal (comme tout gestionnaire classique) et un hash (qui sera alors votre mot de passe) sera calculé en fonction du site que vous visitez. Par exemple votre mot de passe Twitter sera calculé à partir du mot de passe principal et de la chaine de caractère “twitter”. Il sera donc identique à chaque fois car le calcul est déterministe (par défaut, il donne toujours le même nombre de caractères dans le mot de passe par exemple).

Cette solution est selon moi pire que d’utiliser un même mot de passe-partout, je m’explique:

  • Un site veut des caractères avec majuscule, des chiffres etc… mais le mot de passe généré ne remplit pas les conditions: vous êtes bloqués … (bien que ces restrictions n’aient aucun sens, vous n’avez pas parfois pas le choix).
  • Votre mot de passe Twitter est compromis. La bonne nouvelle est que c’est votre seul mot de passe compromis. La mauvaise est que votre générateur génère tout le temps le même mot de passe, donc vous faites comment ? Vous mettez “twitter2” plutôt que “twitter” pour générer votre hash ?

Les gestionnaires non Open Source

Non envisageable à mes yeux, je ne saurai pas dire si c’est mieux ou pire que de ne pas en utiliser. Dans tous les cas, vous faites confiance aveuglément à une entreprise (dont le but est, par définition, de faire de l’argent):

  • Soit c’est payant: vous pouvez espérer que l’entreprise ne vive qu’avec vos paiements mais sans revendre vos informations personnelles.
  • Soit c’est gratuit avec des formules payantes: vous pouvez espérer que l’entreprise ne vive qu’avec les paiements de ceux qui utilisent l’offre payante mais sans revendre vos informations personnelles.
  • Soit c’est entièrement gratuit: dans ce cas, comment l’entreprise gagne de l’argent si ce n’est en jouant avec vos informations personnelles ?

À vos risques et périls …

Conclusion

Pour finir, j’espère que vous utilisez un gestionnaire ou que vous allez le faire prochainement ! Si ce n’est pas le cas, j’espère au moins vous avoir sensibilisé un minimum sur la nécessité d’utiliser un gestionnaire de mots de passe.

Quoi qu’il en soit, je n’ai pas la science infuse ni toujours raison, alors n’hésitez pas à utiliser la section des commentaires pour partager votre point de vue, cette section est là pour discuter et partager !

Commentaires




Ailleurs sur le Web


8 Minutes and 46 Seconds: How George Floyd Was Killed in Police Custody [Video] - The New York Times

Poignant. Un excellent travail journalistique pour révéler la vérité.

via Shaarli le 01 juin 2020

Covid-19 : en Chine, des caméras pour surveiller les portes d'entrée de confinés - Next INpact

Lorsque les travailleurs communautaires lui ont expliqué, à la fin de sa quarantaine, qu'il pouvait garder la caméra gratuitement, il était tellement furieux qu'il l'a cassé avec un marteau devant eux. On est tellement en retard sur la Chine da…

via Shaarli le 31 mai 2020

Covid-19 : une pandémie de « solutionnisme technologique » - Next INpact

Ah les dystopies ... C'était vraiment intéressant et intriguant dans les livres, mais ça l'est drôlement moins quand la réalité s'en rapproche ...

via Shaarli le 14 avril 2020

Généré avec openring