Les gestionnaires de mot de passe sont-ils tous sûrs?

Mis à jours 27 mars 2023

Les gestionnaires de mots de passe se sont avérés être une méthode sûre et fiable pour protéger vos informations d’identification. Non seulement la grande majorité des spécialistes de la cybersécurité sont d’accord avec ce fait, mais nous le sommes également. En utilisant des techniques de cryptage avancées, un gestionnaire de mots de passe permet de sécuriser vos mots de passe et de les protéger contre toute personne qui tenterait d’y accéder.

Bien que les médias aient fait état de vulnérabilités dans certains gestionnaires de mots de passe, il existe des fournisseurs réputés qui n’ont été impliqués dans aucune faille de sécurité. Grâce à un développement continu et à des pratiques de sécurité avancées, ces fournisseurs peuvent garantir une protection solide de vos mots de passe.

Dans cet article, nous répondrons à des questions importantes concernant les gestionnaires de mots de passe. Telles que la manière dont ils sécurisent vos mots de passe, les risques potentiels liés à leur utilisation et la question de savoir si vous devriez en utiliser un. Vous pourrez ainsi en savoir plus sur les gestionnaires de mots de passe et décider en toute connaissance de cause s’ils sont le bon choix pour vous.

Comment les gestionnaires de mots de passe sécurisent-ils vos mots de passe ?

C’est un programme, une extension au navigateur, ou un outil qui peut stocker en toute sécurité tous les mots de passes que vous voulez sauvegarder.

Ainsi, vous n’aurez plus à vous souvenir de plusieurs mots de passe complexes. Que ce soit pour des sites web ou encore pour votre Mac ou PC.

Les gestionnaires de mots de passe utilisent plusieurs méthodes pour sécuriser vos mots de passe. Ils emploient un processus de cryptage sécurisé qui utilise un code spécifique pour protéger le transfert de données en ligne. Le cryptage AES 256 bits de qualité militaire et le cryptage XChaCha20, largement utilisé, garantissent tous deux que le craquage des mots de passe prendrait plus d’une vie.

Les meilleurs gestionnaires de mots de passe utilisent également une architecture « zéro connaissance » pour crypter vos mots de passe avant qu’ils ne quittent votre appareil. Même le fournisseur ne peut pas les déchiffrer lorsqu’ils se trouvent sur un serveur. Certains gestionnaires de mots de passe offrent des fonctions de sécurité supplémentaires, telles que le rappel de changer régulièrement de mot de passe et la vérification de sa force. Ils peuvent même analyser le « dark web » pour vérifier si l’un de vos identifiants est apparu en ligne.

Avec un gestionnaire de mots de passe, vous n’avez qu’à vous souvenir de votre mot de passe principal. Si vous choisissez un mot de passe principal sûr, mais mémorable et unique, et que vous l’associez à une authentification à deux facteurs (2FA), vous pouvez renforcer votre sécurité. Pour une sécurité encore plus grande, envisagez d’utiliser l’authentification multifactorielle (MFA), qui fait appel à plusieurs méthodes pour authentifier une connexion. L’utilisation de l’authentification biométrique, telle que l’empreinte digitale ou le balayage du visage, est également une bonne idée.

Quels sont les risques liés à l’utilisation d’un gestionnaire de mots de passe ?

L’utilisation d’un gestionnaire de mots de passe peut réduire considérablement le risque de piratage en ligne, mais il est important de comprendre les risques potentiels que cela implique. Voici les principaux risques à prendre en compte lors de l’utilisation d’un gestionnaire de mots de passe :

1. Toutes les données sensibles en un seul endroit.

Un gestionnaire de mots de passe peut regrouper toutes vos données sensibles en un seul endroit, y compris les détails de votre carte de crédit et vos notes sécurisées. En cas de violation, les pirates pourraient avoir accès à tous vos comptes. Le verrouillage des options de paiement et la modification des mots de passe de tous les comptes pourraient suffisamment prendre de temps pour permettre aux pirates de causer des dommages importants.

2. La sauvegarde n’est pas toujours possible.

Si le serveur du gestionnaire de mots de passe tombe en panne, votre seul espoir est que le fournisseur ait fait une copie de sauvegarde. Ce risque augmente si vous décidez de conserver votre coffre-fort hors ligne sur l’un de vos appareils. Toutefois, certains gestionnaires de mots de passe, tels que NordPass et 1Password, conservent des copies de sauvegarde pour vous en cas de panne du serveur.

3. Tous les appareils ne sont pas suffisamment sûrs.

Les gestionnaires de mots de passe peuvent être piratés si votre appareil est infecté par un logiciel malveillant. C’est pourquoi les utilisateurs de gestionnaires de mots de passe devraient investir dans un antivirus fiable qui sécurisera d’abord tous leurs appareils et réduira les risques.

4. Ne pas utiliser l’authentification biométrique.

L’authentification biométrique, telle que l’empreinte digitale ou la numérisation du visage, est un excellent moyen d’ajouter un niveau de sécurité supplémentaire. Les gestionnaires de mots de passe tels que NordPass, RoboForm et Keeper proposent de telles méthodes sur les appareils qui prennent en charge l’authentification biométrique.

5. Un mauvais gestionnaire de mots de passe.

Certains gestionnaires de mots de passe ont un cryptage plus faible, peu de fonctionnalités et de mauvaises critiques. Lorsqu’il s’agit de sécuriser votre coffre-fort, économiser quelques euros par mois ne doit pas être votre principale priorité. C’est particulièrement vrai pour les gestionnaires de mots de passe gratuits, qui ne disposent souvent pas des fonctions de sécurité nécessaires pour protéger efficacement vos informations d’identification à tout moment.

6. Oubli du mot de passe principal.

Si vous oubliez votre mot de passe principal, vous devrez peut-être récupérer chaque identifiant un par un. Vous pouvez également conserver votre mot de passe principal (ou un indice) dans un endroit sécurisé, tel qu’un coffre-fort.

Dans l’ensemble, bien que l’utilisation d’un gestionnaire de mots de passe comporte certains risques, en particulier si vous ne prenez pas les précautions nécessaires, les avantages liés à l’utilisation d’un gestionnaire de mots de passe réputé l’emportent sur les risques.

Est-ce que les gestionnaires de mots de passe sont-ils fiables ?

Malgré les inquiétudes qui entourent les gestionnaires de mots de passe, les bons gestionnaires de mots de passe sont hautement sécurisés et difficiles à pirater. Par exemple, Keeper et RoboForm utilisent le cryptage AES-256 pour s’assurer que les personnes non autorisées ne peuvent pas accéder à vos données. NordPass utilise également le cryptage avancé XChaCha20 pour parvenir au même résultat.

En outre, les trois gestionnaires de mots de passe que nous recommandons le plus suivent l’approche « zéro connaissance ». De plus, ils proposent une authentification multifactorielle, ce qui en fait une option plus sûre et plus pratique que la plupart d’autres choix disponibles.

Concernant la sécurité, l’aspect le plus critique pour vous est votre mot de passe principal, car il déverrouille l’accès à tous vos autres mots de passe. Il est donc essentiel de créer un mot de passe principal robuste, composé d’au moins 12 caractères, de différents symboles et impossible à deviner. Pour plus de conseils, consultez notre guide sur la création d’un mot de passe robuste.

Quel type de gestionnaire de mots de passe est le plus sécuritaire ?

Les habitués des gestionnaires de mots de passe connaissent probablement les trois types de gestionnaires. Chacun d’entre eux présente des avantages et des inconvénients, y compris des nuances en matière de sécurité. Examinons tous les types un par un et déterminons lequel est le plus sûr.

Gestionnaires de mots de passe via un navigateur Web

Sécurité: Sûr
Exemples: Gestionnaires de mots de passe intégrés aux navigateurs (Chrome, Firefox, Safari)

Avantages:

Très facile à utiliser
Gratuit

Inconvénients

Pas de synchronisation entre navigateurs
Pas de synchronisation entre navigateurs
Peu d’entre eux mesurent la longueur du mot de passe

Si le cryptage et l’authentification à deux facteurs sont essentiels à la sécurité, il n’est peut-être pas judicieux de se fier uniquement aux gestionnaires de mots de passe basés sur un navigateur. Bien qu’ils semblent sûrs à première vue, un examen plus approfondi révèle certaines limites préoccupantes.

Tout d’abord, les gestionnaires de mots de passe établis sur un navigateur ne fonctionnent qu’avec un navigateur spécifique. Si vous décidez de passer de Safari à Chrome ou à Firefox, vous risquez de rencontrer des difficultés pour importer et exporter vos mots de passe. En outre, il n’existe aucun moyen de synchroniser votre coffre-fort de mots de passe entre différents navigateurs, ce qui rend vos mots de passe vulnérables s’ils sont stockés dans un endroit non sécurisé.

Deuxièmement, certains gestionnaires de mots de passe par navigateur n’intègrent pas de générateur de mots de passe. Cette fonction est essentielle pour créer des mots de passe uniques et forts, car les générer manuellement peut s’avérer une tâche difficile et chronophage.

Enfin, les gestionnaires de mots de passe par navigateur ne peuvent pas identifier les mots de passe faibles ou réutilisés, ni déterminer si vos identifiants de connexion sont compromis sur le dark web. Il faut donc procéder à des vérifications manuelles à l’aide d’outils distincts, ce qui peut s’avérer fastidieux et chronophage.

Dans l’ensemble, il est important de considérer les limites des gestionnaires de mots de passe basés sur un navigateur avant de s’y fier uniquement pour la sécurité des mots de passe.

Gestionnaires de mots de passe basés sur le cloud

Sécurité: Élevé
Exemples: NordPass, RoboForm, Keeper

Avantages:

Très pratique
Accès facile depuis n’importe où
Sauvegarde dans le cloud
Dépendant de l’Internet

Inconvénients

Aucun contrôle sur la sécurité de votre coffre-fort
Des serveurs tiers stockent vos données

En comparaison avec les gestionnaires de mots de passe basés sur un navigateur, les gestionnaires de mots de passe basés sur le cloud sont plus sûrs, car ils disposent de plus de fonctionnalités qui renforcent la sécurité.

Tout d’abord, la plupart des gestionnaires de mots de passe dans le cloud fournissent une sauvegarde de votre coffre-fort. En cas d’incident sur le serveur, vous pouvez récupérer une version récente de votre base de données.

En outre, les gestionnaires de mots de passe basés sur le cloud, comme NordPass, vous permettent de stocker à la fois des mots de passe, et des notes sécurisées et les détails de votre carte de crédit. Vous pouvez ainsi protéger toutes les informations sensibles.

De plus, les gestionnaires de mots de passe basés sur le cloud détectent les mots de passe réutilisés et faibles, génèrent des mots de passe forts et vérifient que vos comptes n’ont pas fait l’objet d’une fuite. Ils vous permettent également de partager facilement les entrées de votre coffre-fort, même avec ceux qui n’utilisent pas le même service.

Enfin, les gestionnaires de mots de passe sur le cloud fonctionnent sur plusieurs navigateurs et systèmes d’exploitation. Cela signifie que vous n’aurez pas à vous demander comment copier et coller quelque chose de votre base de données en toute sécurité.

Gestionnaires de mots de passe sur ordinateur

Sécurité: La plus élevée
Exemples: 1Password, BitWarden, Dashlane

Avantages:

La solution la plus sûre
Ne nécessite pas de connexion internet

Inconvénients

Pas d’accès depuis d’autres appareils
Partage compliqué des mots de passe
Sauvegardes manuelles

Vous avez peut-être remarqué un astérisque à côté de la note de sécurité, indiquant que la sécurité des gestionnaires de mots de passe de bureau dépend uniquement de l’utilisateur.

Les gestionnaires de mots de passe de bureau peuvent constituer l’option la plus sûre pour le stockage de vos données. En fait, ils les stockent localement sur l’un de vos appareils, qui n’a pas besoin d’être connecté à l’internet, ce qui minimise le risque de piratage. Toutefois, la sécurité dépend également des actions de l’utilisateur. La faille de sécurité la plus probable se produirait si un utilisateur installait par inadvertance un enregistreur de frappe et saisissait son mot de passe principal. Pour éviter cela, l’authentification biométrique peut être utilisée.

Toutefois, l’utilisation d’un gestionnaire de mots de passe sur un ordinateur de bureau présente certains inconvénients inhérents à sa nature. Tout d’abord, l’utilisateur est tenu d’effectuer des sauvegardes régulières et, en cas de dysfonctionnement ou de panne de l’appareil, les données stockées seront perdues. Ensuite, l’accès aux mots de passe à partir d’autres appareils ou leur partage peut s’avérer peu pratique.

Que faire si votre gestionnaire de mots de passe est piraté ?

Dans la plupart des cas, si votre gestionnaire de mots de passe est piraté, tous vos mots de passe ne tomberont pas entre de mauvaises mains. Cependant, même le gestionnaire de mots de passe le plus sûr peut présenter une vulnérabilité grave que tout le monde a négligée.

Commençons par le fait que vos mots de passe sont cryptés localement. Les gestionnaires de mots de passe n’ont aucun moyen de déchiffrer vos données, car ils utilisent une politique de zéro connaissance. Ainsi, si un pirate s’introduit dans votre coffre-fort, il ne verra que des informations cryptées.

il est possible qu’un pirate accède à votre appareil physique par le biais d’un vol, d’un logiciel malveillant ou d’un enregistreur de frappe. Néanmoins, il aurait toujours besoin de votre mot de passe principal pour y parvenir. Si vous utilisez l’authentification biométrique, telle que l’identification des empreintes digitales ou des visages, la probabilité d’une violation réussie devient incroyablement faible.

Si un pirate parvient à installer un logiciel malveillant sur votre appareil, il est recommandé de réinstaller le système d’exploitation et d’actualiser tous les mots de passe de votre coffre-fort. En outre, il est fortement conseillé d’activer le 2FA ou le MFA qui exige des facteurs d’authentification supplémentaires pour vérifier une tentative de connexion. Cela vous permettra d’être alerté de toute demande inhabituelle reçue par l’application d’authentification.

Quelques exemples de piratage des gestionnaires de mots de passe

La liste des piratages notables de gestionnaires de mots de passe est assez courte. Sinon, ils n’auraient pas la réputation qu’ils ont aujourd’hui. C’est pourquoi j’ajouterai également les vulnérabilités signalées qui n’ont peut-être pas causé de dommages.

1. En 2015, LastPass a détecté une intrusion dans ses serveurs. Les pirates ont pris les adresses électroniques des utilisateurs et les rappels de mots de passe, entre autres informations. Il n’y a pas eu de dommages connus, car même si vous utilisiez un mot de passe principal faible et que les attaquants le déchiffraient, ils devraient toujours vérifier l’accès par courrier électronique.
2. En 2016, de nombreuses failles de sécurité ont été signalées par des hackers et des experts en sécurité. Parmi les gestionnaires de mots de passe concernés figuraient LastPass, Dashlane, 1Password et Keeper. Dans la plupart des cas, l’attaquant doit encore recourir au phishing pour amener l’utilisateur à révéler certaines données.
3. En 2017, LastPass a signalé une grave vulnérabilité dans ses modules complémentaires de navigateur et a demandé à ses abonnés de ne pas l’utiliser. Elle a été corrigée en moins de 24 heures. Keeper et OneLogin ont également connu des problèmes qui n’ont pas fait de victimes.
4. En 2019, de graves vulnérabilités ont été découvertes dans le code de Dashlane, LastPass, 1Password et KeePass. Cela s’appliquait aux utilisateurs de Windows 10 et seulement si le bon logiciel malveillant était installé. Une fois de plus, les utilisateurs n’ont pas eu à déplorer de victimes.
   En août 2022, LastPass a de nouveau été piraté. Aucune donnée utilisateur n’a été endommagée, le pirate n’ayant exfiltré qu’une partie des informations internes.
5. En décembre 2022, LastPass a été victime d’une nouvelle intrusion. Malgré les affirmations initiales selon lesquelles aucune donnée utilisateur n’avait été compromise, LastPass a annoncé quelques semaines plus tard que les pirates avaient pris une sauvegarde des coffres-forts. Ces derniers contenaient des données utilisateur cryptées telles que des mots de passe, ainsi que des adresses électroniques, des informations de facturation et des adresses IP.

Les gestionnaires de mots de passe payants sont-ils sécuritaires ?

La plupart des gestionnaires de mots de passe payants sont bien plus sécuritaires que la majorité des gestionnaires de mots de passe gratuits. Ces derniers sont souvent bogués, développés par des entreprises douteuses et contiennent parfois même des logiciels malveillants. Malgré cela, il existe des gestionnaires de mots de passe gratuits de qualité qui sont aussi sûrs que les services payants. En fait, les premiers comprennent généralement une version gratuite. C’est donc une bonne idée de les comparer et de voir ce qui manque.

En général, les gestionnaires de mots de passe gratuits et payants utilisent un cryptage de niveau militaire et une architecture à connaissance zéro. Cela signifie qu’il n’y a aucun moyen de déchiffrer votre base de données même si quelqu’un s’y introduit. Le fournisseur ne dispose pas non plus d’une clé pour déverrouiller vos données. C’est pourquoi il est essentiel d’utiliser un mot de passe principal adéquat, un 2FA et de garder vos appareils à l’abri des logiciels malveillants.

Est-ce que les gestionnaires de mots de passe peuvent être utilisés en toute sécurité par les entreprises ?

Oui, les gestionnaires de mots de passe peuvent être utilisés en toute sécurité par les entreprises. En fait, leur utilisation n’est pas seulement sûre, elle est même essentielle. La majorité des violations de données au sein des entreprises sont dues à des mots de passe faibles et réutilisés.

Le meilleur gestionnaire de mots de passe pour les entreprises génère non seulement des mots de passe forts, mais détecte également les violations de données et permet le partage de mots de passe cryptés entre les employés. En outre, notre meilleur gestionnaire de mots de passe pour entreprises NordPass propose des paramètres à l’échelle de l’entreprise. Ceux-ci permettent à l’administrateur de déterminer si les mots de passe cryptés peuvent être partagés en dehors de l’entreprise ou non.

Compte tenu de tous ces éléments, les gestionnaires de mots de passe aident les organisations à éviter les fuites massives de données et les pertes financières.

Est-ce que les gestionnaires de mots de passe gratuits sont sans risque ?

La sécurité accrue d’un gestionnaire de mots de passe haut de gamme se traduit par des fonctionnalités supplémentaires. Les versions gratuites sont généralement dépouillées et manquent d’options, dont certaines peuvent être liées à la sécurité.

Par exemple, certains gestionnaires de mots de passe gratuits ne prennent pas en charge les données biométriques, telles que les empreintes digitales ou l’identification faciale. Cela signifie que vous devrez toujours saisir votre mot de passe principal.

En outre, d’autres services gratuits n’offrent pas la possibilité d’auditer vos mots de passe. Si votre coffre-fort remonte à plus de quelques années, il y a de fortes chances que ces mots de passe ne soient pas assez forts.

De plus, il est difficile de trouver un gestionnaire de mots de passe gratuit qui intègre un scanner du dark web. Au contraire, un gestionnaire de mots de passe haut de gamme vérifie constamment le dark web pour voir si l’un de vos comptes a fait l’objet d’une fuite.

Faut-il utiliser un gestionnaire de mots de passe ?

Oui, vous devriez utiliser un gestionnaire de mots de passe. Il vous permettra de garder une trace de vos mots de passe sans avoir à les mémoriser. Certains coffres-forts de mots de passe peuvent également générer et modifier des mots de passe pour vous en un seul clic, ainsi que stocker en toute sécurité d’autres types de données, comme les informations relatives aux cartes de crédit. Un gestionnaire de mots de passe rend par ailleurs plus sûr le partage de vos données avec votre famille et vos amis. C’est un bien meilleur moyen que d’écrire vos informations de connexion dans un courrier électronique ou une messagerie non cryptée.

Bien entendu, vous devez faire confiance à l’entreprise qui se cache derrière votre gestionnaire de mots de passe. Cependant, la plupart d’entre elles ont une réputation irréprochable. En outre, ils sont beaucoup moins risqués qu’une application douteuse ou un module complémentaire de navigateur que les gens installent sans trop réfléchir.

Certes, ils présentent des failles et des vulnérabilités. Mais, en fin de compte, ce n’est pas seulement le gestionnaire de mots de passe qui protège vos informations les plus précieuses. Vous devez également utiliser un antivirus fiable pour empêcher les logiciels malveillants d’infecter votre appareil. La mise à jour de votre logiciel n’est pas moins importante, tout comme la vérification des applications et des extensions que vous vous apprêtez à installer.