Choisir un gestionnaire de mots de passe

Pour sécuriser tous ses comptes sur Internet, il est fortement recommandé d’utiliser un mot de passe différent pour chaque compte… Facile à dire, mais comment tous les retenir ? Avec un gestionnaire de mots de passe, bien sûr !


Pour retenir tous vos mots de passe, il existe diverses méthodes. Il y a la solution du carnet ou des posts-it, pas très fiable car ça peut se perdre ou être dégradé par l’environnement en plus de laisser vos identifiants à la portée de tous (à moins d’y cacher ou d’utiliser un coffre-fort). Il y a la solution de tous les copier à la main dans un fichier texte ou Excel, mais tout le monde pourrait également y avoir accès et ce même à distance en cas de piratage. Il y a la solution du cerveau où vous apprenez tous vos mots de passe par cœur, mais gare aux trous de mémoire… Il y a aussi la solution d’acheter un appareil dédié pour stocker ses mots de passe, what ?! Ça coûte cher, ça bouffe des piles, ça a une durée de vie limitée et quand ça ne fonctionne plus, vous ne pouvez rien récupérer ! Ou il y a la solution du gestionnaire de mots de passe, un logiciel destiné à enregistrer tous vos mots de passe de manière sécurisée dans un fichier.

« Ou sinon il reste la solution d’utiliser le même mot de passe de partout. »

HORS DE QUESTION ! J’ai récemment vu un conseil qui tourne sur le web qui dit que l’on peut utiliser le même mot de passe partout s’il est assez complexe. Même si ça peut sembler être un bon compromis, ÇA NE L’EST PAS ! L’intérêt d’utiliser un mot de passe différent partout est de prévenir le piratage d’un compte, afin que le pirate ne puisse pas accéder à vos autres comptes. Peu importe la complexité de votre unique mot de passe, si l’un de vos comptes se fait pirater, tous vos autres comptes sont aussi compromis.

Et puis le gestionnaire de mots de passe, en plus de stocker tous vos mots de passe de manière sécurisée, a d’autres avantages :

  • Il vous permet de voir l’ensemble des comptes que vous possédez sur le web.
  • Il peut faire de l’auto-complétion, c’est-à-dire entrer automatiquement le mot de passe correspondant lorsque vous vous connectez à un site web.
  • Il peut générer des mots de passe pour vous afin de vous faire gagner du temps lorsque vous vous inscrivez sur un site.

Mais comment fonctionne un gestionnaire de mots de passe ?

C’est très simple à comprendre : tous vos mots de passe sont stockés dans un fichier qui est en réalité une base de données. La base de données quant à elle est chiffrée avec un mot de passe dit maître que vous aurez défini. Personne ne peut accéder à la base de données tant que l’utilisateur n’a pas entré son mot de passe maître, c’est l’équivalent d’un code ou d’une clé pour ouvrir une porte blindée.

Un gestionnaire c’est donc cool, mais il en existe beaucoup et on ne sait pas forcément lequel choisir. Chacun dit qu’il est le meilleur, chacun vous promet moult choses, on vous balance des termes techniques pour vous bluffer… alors lequel prendre ?

« Mais je n’ai pas eu à choisir moi, mon navigateur peut enregistrer mes mots de passe tout seul ! »

NE FAITES PAS ÇA NON PLUS ! Les navigateurs n’enregistrent pas les mots de passe de manière sécurisée, en clair tout le monde peut les voir ! En plus, il n’est pas toujours possible d’accéder facilement aux mots de passe stockés dans un navigateur pour les utiliser sur un autre logiciel (pour vous connecter sur Discord par exemple), ce qui vous limite à n’utiliser vos comptes que via le navigateur.

Pour choisir votre gestionnaire, deux critères primordiaux sont à respecter : vérifiez que le gestionnaire chiffre bien vos mots de passe et vérifiez qu’il s’agit d’un logiciel open-source. C’est vraiment important, car c’est un critère de qualité et de sécurité : l’un des principes de l’open-source est que tout le monde peut voir le code source d’un logiciel, donc comment le gestionnaire fonctionne, donc comment et avec quelles sécurités sont stockés nos mots de passe. Il vous est impossible de voir ce que fait un gestionnaire propriétaire de vos mots de passe (propriétaire = contraire d’open-source/libre), ni même de vous assurer qu’ils soient stockés en toute sécurité, tout se base sur la confiance et vous savez qu’il ne faut jamais faire confiance à qui que ce soit lorsqu’il s’agit de données sensibles.

Avec le critère de l’open-source, nous éliminons d’office pas mal de gestionnaires connus : LastPass, Dashlane, 1Password et j’en passe.

« Mais attends, si on peut voir comment sont protégés les mots de passe, un hacker saura comment faire pour y pirater non ? »

Et bien non, car ça revient à seulement voir comment est fabriqué une porte blindée. Au final le pirate, ou le cambrioleur, ne saura pas passer outre la porte sans le code ou la clé que représente votre mot de passe maître. En plus, l’open-source a l’avantage de permettre à tout le monde de participer au développement du programme, donc des professionnels de la sécurité peuvent venir renforcer cette porte si besoin.

On a aussi tendance à penser que parce que l’on ne voit pas à quoi ressemble la porte blindée, un gestionnaire propriétaire est plus sûr, mais justement qui vous dit qu’ils n’utilisent pas une porte en bois ? Au passage, ce modèle de sécurité s’appelle la sécurité par l’obscurantisme et il a été prouvé plusieurs fois que cette méthode n’est pas fiable.

Bref, revenons à nos moutons. Si les deux critères de sélection que je viens de vous donner vous suffisent à choisir votre gestionnaire de mots de passe idéal, je vous autorise à quitter cet article dès maintenant. Si vous hésitez encore, restez avec moi car nous allons maintenant comparer les gestionnaires open-source les plus connus. Accueillons dès à présent :

  • KeePass (+ ses variantes), le plus ancien gestionnaire de la liste et qui est encore en développement
  • Buttercup, une alternative plus user-friendly à KeePass
  • bitwarden, une alternative à LastPass et 1Password, plus complet que KeePass/Buttercup
  • Encryptr, un gestionnaire utilisant le SpiderOak Zero Knowledge Cloud pour la synchronisation
  • Master Password, un gestionnaire qui ne stocke pas mais qui utilise un algorithme pour reproduire vos mots de passe
  • Less Pass, une extension Firefox et Chrome alternative à Master Password

Alors, lequel est le meilleur ? Dressons les avantages et les inconvénients de chacun !


KeePass

KeePass est le plus ancien gestionnaire de mots de passe open-source connu encore en développement. Il fait ce qu’on lui demande, de manière très efficace. Vous pouvez retrouver son code source ici.

Avantages :

  • Logiciel léger
  • Logiciel certifié et qui a reçu des prix
  • Utilise les algorithmes de chiffrage les plus sûrs au monde : AES et Twofish
  • Disponible sur énormément de plateformes (Windows, Mac, Linux, iOS, Android, Windows Phone 7/8, Windows Mobile, BlackBerry, mobile Java, etc…)
  • Possibilité d’y installer des plugins
  • Possède une multitude de réglages pour combler tous les besoins
  • Possibilité de chiffrer avec un fichier .key, ou de carrément combiner un mot de passe et un fichier .key
  • Possibilité d’ouvrir un fichier depuis une URL (depuis un serveur FTP, un serveur web ou autre)

Inconvénients :

  • N’est pas très facile d’utilisation pour un débutant
  • Un peu dur à installer sur Mac et Linux (il faut soit installer Mono, soit utiliser un fork communautaire)
  • Ne possède pas d’extension officielle pour les navigateurs (si vous êtes sur Firefox, je vous recommande d’installer Kee)
  • Ne possède pas d’application mobile officielle (mais cite néanmoins des portages communautaires sur son site)

Buttercup

Même s’il n’a aucun lien avec KeePass, je qualifie ce gestionnaire de version plus simplifiée de ce dernier. Vous pouvez retrouver le code source ici.

Avantages :

  • Facile d’utilisation
  • Utilise un chiffrage AES 256 bits, qui comme dit précédemment est l’un des plus sûrs au monde
  • Disponible sur Windows, Mac et Linux
  • Disponible sur iOS et Android via une application officielle (avec support de Touch ID sur iOS)
  • Propose une extension officielle pour Firefox et Chrome (d’autres navigateurs sont à venir)
  • Propose une synchronisation native avec Dropbox, ownCloud, NextCloud ou WebDAV

Inconvénients :

  • Possède moins de réglages que KeePass
  • Ne possède pas de système de plugins

Un autre inconvénient pour certaines personnes est que l’application Buttercup pour PC a été faite avec Electron, ce qui la rend plus lourde. Personnellement cela ne me dérange pas donc je n’y compte pas comme un inconvénient, mais je le mentionne au cas où.


bitwarden

J’ai suivi ce projet d’assez près, une alternative open-source à LastPass et 1Password qui se veut donc plus complet que KeePass et Buttercup qui se contentent seulement de stocker des mots de passe. Il s’agit au final d’un gestionnaire assez intéressant mais qui a le défaut d’être un service. Code source ici.

Avantages :

  • Possède des fonctionnalités supplémentaires tels que le partage de mots de passe, l’enregistrement de vos cartes bancaires, l’écriture de notes, le stockage en ligne chiffré (payant), etc…
  • Utilise un chiffrage AES 256 bits
  • Disponible sur Windows, Mac et Linux
  • Disponible sur iOS et Android via une application officielle
  • Propose une extension officielle pour 8 navigateurs
  • Accessible depuis une interface web

Inconvénients :

  • Vous n’avez pas un fichier mais un compte sur leurs serveurs, donc vous n’êtes pas libre de l’emplacement où se trouve la base de données et votre base peut être récupérée en cas de piratage de leurs serveurs. Même si la base n’est par la suite pas exploitable grâce au chiffrage, cela constitue une faiblesse dans la sécurité.
    • Il est néanmoins possible d’héberger vous même votre propre serveur bitwarden, mais cela est beaucoup plus complexe que d’utiliser un fichier et nécessite de posséder un ordinateur qui doit rester allumé/un serveur distant pour accéder à son compte.
  • Vous devez payer un abonnement pour utiliser l’authentification à deux facteurs avec une clé YubiKey, FIDO U2F ou Duo (sauf peut être en cas d’auto-hébergement, je n’ai pas testé).

Encryptr

Encryptr est peu ou prou la même chose que Buttercup avec un compte au lieu d’un fichier, mais il utilise une technologie ZKIP (cité comme étant le SpiderOak Zero Knowledge Cloud) pour synchroniser vos données de manière sécurisée sur leurs serveurs. Pour faire très court, le principe du ZKIP est qu’un fournisseur de preuves prouve à un vérificateur qu’il connaît une information sans toutefois la lui divulguer. Le code source est par là.

Avantages :

  • Facile d’utilisation
  • Totalement gratuit
  • Utilise un chiffrage AES avec la méthode de chiffrement par bloc appelée CRYPTON
  • Utilise la technologie ZKIP pour la synchronisation des données, qui évite le transfert de données sensibles et donc réduit considérablement le risque d’interception
  • Disponible sur Windows, Mac et Linux
  • Disponible sur iOS et Android via une application officielle

Inconvénients :

  • Ne propose pas d’extension officielle pour navigateurs
  • Même problème que pour bitwarden : vous n’avez pas un fichier mais un compte sur leurs serveurs et les problèmes que cela engendre

Master Password

La particularité de ce gestionnaire de mots de passe est qu’il n’en stocke aucun : il les reproduit à l’aide de données que vous aurez fourni auparavant tels que votre nom et votre adresse e-mail. Code source sur GitHub.

Avantages :

  • Ne stocke pas les mots de passe, donc plusieurs avantages :
    • Aucun fichier à copier/synchroniser ni de compte à créer
    • Pas de risque de piratage d’une quelconque base de données
    • Aucune connexion avec un service en ligne, tout se fait localement
  • Disponible directement via une interface web
  • Disponible sur iOS et Android via une application officielle
  • Disponible via une application Java (Windows/macOS/Linux) + une application macOS native
  • Disponible également en version CLI

Inconvénients :

  • Si quelqu’un connaît les données que vous avez entrée pour générer vos mots de passe, il peut les reproduire et donc les retrouver
  • Pas d’extension pour navigateurs

LessPass

Ce gestionnaire est similaire à Master Password, sauf que vous avez la possibilité d’héberger une base de données chez vous. Code source par là.

Avantages :

  • Même avantage que pour Master Password : ne stocke pas les mots de passe (sauf cas d’utilisation d’une base de données)
  • Disponible directement via une interface web
  • Disponible sur Android
  • Propose une extension pour Firefox et Chrome
  • Disponible en version CLI
  • Possibilité d’héberger une base de données sur Cozy Cloud

Inconvénients :

  • N’est finalement disponible que sur peu de plateformes :
    • Pas d’application iOS
    • Pas d’application graphique pour bureau, uniquement une version CLI
  • Même problème que pour Master Password : si quelqu’un connaît les données que vous avez entrée, un hacker peut reproduire vos mots de passe

J’ai longtemps été un utilisateur de KeePass mais avouons le, ce logiciel se fait vieux. C’est pour cela que j’ai récemment migré vers Buttercup qui remplit bien les fonctions que j’attends d’un gestionnaire, même si l’extension pour navigateurs est limitée (obligé d’avoir l’application de bureau pour parcourir sa liste de mots de passe) et a un fonctionnement un peu étrange.

Si je devais personnellement conseiller un gestionnaire de mots de passe, ce serait donc Buttercup mais je pourrais également conseiller Master Password ou Less Pass qui ont un fonctionnement très intéressant. Il n’y a en réalité pas de gestionnaire meilleur que les autres, c’est à vous de peser le pour et le contre de chacun pour choisir votre gestionnaire idéal !

Cryonid

Freedom and privacy is what I'm fighting for.

Vous aimerez aussi...

4 réponses

  1. Pofilo dit :

    Un excellent article 🙂
    Je partage tout à fait ton point de vue, surtout sur les Dashlane & co. Si c’est pour avoir des mots de passe différent mais les donner à une entreprise, autant ne rien faire ^^

    J’avais fait un article sur mon site à propos de Password-Manager (https://github.com/zeruniverse/Password-Manager que j’ai forké ici https://git.pofilo.fr/pofilo/pmanager/), il est assez simple à installer et uniquement disponible en ligne. L’extension pour navigateur est en développement ici (https://github.com/BenjaminHae/PwChromeExtension), mais n’est pas encore réellement utilisable (on peut donc dire qu’il n’y a pas d’extension pour navigateurs pour l’instant).

    Sinon, le gestionnaire physique est une bonne blague quand même ^^
    Pas de sauvegarde, et en plus, il faut taper les mots de passe à la main systématiquement haha

  2. Djan dit :

    Concernant Keepass
    > N’est pas très facile d’utilisation pour un débutant

    C’est vrai. Mais sa complicité est proportionnelle à ses fonctionnalités. Cela dit maîtriser les fonctions de base peut se faire en une heure.

    > Un peu dur à installer sur Mac et Linux (il faut soit installer Mono, soit utiliser un fork communautaire)

    KeepassX est disponible dans la plupart des dépôts et s’installe en quelques secondes et fonctionne très bien. Son fork KeepassXC est encore plus puissant et peut s’installer assez facilement en rajoutant des dépôts sous Debian/Ubuntu/Mint…

    > Ne possède pas d’extension officielle pour les navigateurs (si vous êtes sur Firefox, je vous recommande d’installer Kee)

    C’est parce qu’il n’y en a pas besoin. Keepass est nativement compatible en saisie-automatique avec toutes les applications. il suffit de configurer la saisie automatique dans les entrées.

    > Ne possède pas d’application mobile officielle (mais cite néanmoins des portages communautaires sur son site)

    C’est vrai mais les applications KeepassDX et Keepass2Android sont totalement compatibles avec les bdd Keepass.

    • Cryonid dit :

      Tu réponds exactement ce que je dis déjà dans l’article.
      Mais concernant la saisie semi-automatique, je n’ai pas trouvé comment y mettre en place, donc j’utilise Kee et c’est plus simple.

      • seb dit :

        J’ai essayé par 2 fois (à un an d’intervalle) d’utiliser Keepass et Keepass2droid avec base de données sur Freebox server.
        Ce n’est pas du tout user friendly, et je n’ai jamais réussi à utiliser le remplissage automatique (il faut apparemment changer de clavier a chaque fois qu’on est dans un champ login/mdp, donc perte de tps incroyable).
        Je teste désormais Bitwarden qui semble beaucoup plus accessible (je regarderai plus tard si on peut stocker la base de données (ou le compte) sur un serveur perso.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.