Dans le monde numérique d’aujourd’hui, la sécurité des données personnelles est d’une importance cruciale. 61% des piratages sont dus à l’utilisation d’informations d’identification volées ou mal utilisées.

Alors comment protéger efficacement vos données ? Une des premières lignes de défense contre les atteintes à la sécurité en ligne est une gestion efficace de ses mots de passe.

Cet article vous guidera à travers les meilleures pratiques pour créer, stocker et utiliser vos mots de passe de manière sécurisée en mettant l’accent sur l’utilisation d’outils dédiés.

Des mots de passe on en a pour tout : compte bancaire, applications mobiles, espaces clients, plateforme de streaming. Qu’ils soient personnels ou professionnels, les mots de passe ont une place importante dans la gestion de nos accès et de nos données privées.

Au fur et à mesure des années, les différentes plateformes nous ont demandé d’étoffer nos mots de passe. De les rendre plus complexe. D’y ajouter des caractères spéciaux, des majuscules, d’éviter les dates de naissance, de les changer tous les 3 mois, bref, avec la multiplication des comptes, c’est devenu rapidement compliqué de retenir tous ces mots de passe.

De ce fait, rare sont ceux qui prennent le temps d’avoir une gestion minutieuse et ne prennent pas la peine de chercher plus loin que le nom du chien ou une combinaison de chiffres faciles à retenir :

Statistiques sur les mots de passe

 

Des mots de passe d’une simplicité affligeante, doublé du fait que beaucoup d’utilisateurs se mettent à reprendre ce même mot de passe sur la plupart de ses comptes, sans le changer. Résultat : 69% des français utilisent le même mot de passe pour plusieurs comptes.

Statistiques sur les Français et leur mot de passe

Alors, ça peut-être compréhensible. Il n’est pas évident de se créer un mot de passe complexe par site. Si vous avez 150 comptes, il vous faudrait 150 mots de passe, c’est difficilement gérable.

On pourrait alors penser qu’il suffirait d’avoir un mot de passe fort, très fort, que l’on réutilise partout, parce qu’on le sait inviolable. On retient un mot de passe très complexe, jugé indevinable, et on le répand sur une grande partie de ses comptes.

Que se passe t-il dans ce cas, si l’un des sites sur lequel vous avez enregistré votre mot de passe, subit une attaque et laisse fuiter vos données ?

Imaginons que vous utilisiez un mot de passe très fort, de 17 caractères, contenant chiffres, lettres, caractères spéciaux et que dans ce mot de passe il n’y ait pas de mot du dictionnaire (ou le nom d’une entreprise). Vous utilisez ce mot de passe sur plusieurs outils comme Amazon, Netflix, le site des Impots, votre messagerie Outlook professionnelle et le site de cagnotte Leetchi, pour faire des cadeaux lors des pots de départ.

Tout va bien jusqu’au jour où Leetchi annonce qu’une « erreur technique » a fait fuiter une partie de ses 14 millions d’utilisateurs, entrainant ces données dans la nature (traduction : sur le web et à portée des pirates).

Cela veut dire quoi ? Vos données personnelles (email, nom, prénom, mot de passe, etc) peuvent etre à la vue de tous. Les pirates peuvent compiler ces données pour les croiser et retrouver d’autres de vos accès grâce à ces infos.

Imaginez alors que votre fameux mot de passe soit de la partie et qu’en plus il soit le même sur de nombreuses plateformes. Il ne reste plus qu’a croiser les données pour voir si on ne peut pas trouver d’autres infos sur vous, comme une carte bleue sur Amazon ou Netflix, ou accéder à votre boite email professionnelle. Cette technique est très courante chez les pirates et s’appelle le « credential stuffing« .

Il s’agit de récupérer les données d’une fuite, et tenter de se connecter sur un ensemble de site en réutilisant les données jusqu’à trouver un site où vous utilisez les mêmes données (ou un mot de passe faible) et aspirer une donnée intéressante (un profil avec des privilèges, des données bancaires, des données sensibles, etc).

Fonctionnement des tentatives d'infiltration simultanées

De plus, il est important de souligner que la rapidité de piratage des mots de passe augmente chaque année. En 2020, un mot de passe de 8 caractères avec des lettres majuscules, minuscules, des symboles et des chiffres pouvait être trouvé en 8 heures. En 2023, il ne faut plus que 5 minutes pour y parvenir. Laissez leur quelques années et ça deviendra quelques secondes. Il est donc crucial de suivre de bonnes pratiques pour protéger vos comptes en ligne.

Temps de décryptage d'un mot de passe

S’il est humainement trop complexe (voir impossible) de retenir 150 mots de passe différents et qu’en avoir un seul, aussi fort soit-il, est bien trop risqué. Que faire ? La réponse est simple :

Utiliser un gestionnaire de mot de passe

L’idée paraissait absurde il y a 5 ans :

« Mettre ses mots de passe dans un outil pour qu’il les retienne à ma place ? Bahahaha quelle bêtise. J’en ai 5 que je connais par cœur et ils sont ultra compliqués« 

Michel de la compta

Michel riait avec convictions il y a dix ans, jusqu’à ce que la fuite de données passe par l’un de ses comptes, que sa CB soit collectée sur Netflix et des heures à passer au téléphone avec la banque pour faire opposition, se faire rembourser (haha, non) et changer de CB.

 

Le concept est relativement simple. Un logiciel (que l’on appelle gestionnaire) collecte l’ensemble des mots de passe que vous saisissez, les stocke dans son coffre-fort, et vous les met à disposition dès que vous avez besoin de vous connecter quelque part. Que ce soit sur PC, Mac, Mobile ou tablette.

Il existe de nombreux outils sur le marché. Les navigateurs proposent également cette fonctionnalité nativement sur leur interface, mais leur possibilité est pour l’instant assez réduite. Nous allons plutôt mettre la lumière sur les outils externes.

 

La plupart des logiciels de gestion de mots de passe sont payants (on parle alors de version premium), mais ils sont également disponibles en version gratuite. Dans ce cas, les fonctionnalités sont limitées (nombre restreint de mots de passe, synchronisation limitée, pas d’accès de secours pour les proches, pas d’authentification à double facteur…), mais le degré de sécurité est identique pour vos mots de passe. En version gratuite, pour une personne, certains font très largement le travail, donc pas de risque pour le porte-monnaie, ni pour la sécurité.

Qu’ils soient propriétaires, open-source, en ligne ou uniquement via application, les gestionnaires de mot de passe sont nombreux. Voici les outils les plus connus :

1Password
bitwarden
Keepass
Lastpass
NordPass

 

Le fonctionnement des gestionnaires de mot de passe

Un logiciel de mot de passe fonctionne avec un mot de passe Maitre. C’est là où il vous faudra avoir quelque chose de fort et que vous pourrez retenir. Cela facilite grandement les choses puisqu’il n’y a plus qu’un seul mot de passe à retenir. C’est ce mot de passe qui sera votre seul et unique porte d’entrée sur l’applicatif.

Vous pourrez également coupler ce mot de passe à une authentification biométrique, Windows Hello ou Touch ID. Pratique !

Débloquez votre gestionnaire avec l'empreinte biométrique

La gestion sécurisée de vos mots de passe

Le gestionnaire vous permets donc de stocker donc tous vos identifiants et mots de passe au même endroit : sur votre compte, et il les rend ensuite accessibles via tous vos appareils.

Toutes ces informations sont stockées de manière sécurisée. En effet toutes les données conservées sur les serveurs du gestionnaire sont cryptées et seul l’utilisateur possède la clé de ses propres informations.

Le cryptage est un cryptage de bout en bout, ce qui signifie que les données sont également cryptées lorsque vous interrogez votre compte et seul vous, pouvez les lire. Si on prend l’exemple de 1Password, il s’agit d’un cryptage de type AES-256 bits, et d’un protection PBKDF2 contre les attaques par force brute.

Pour réaliser le décryptage il faut une clé spécifique, celle-ci est stockée en local sur votre ordinateur (ou votre appareil mobile). Pour pouvoir utiliser la clé de décryptage il faut que vous saisissiez votre mot de passe, du coup tout est sécurisé.

Le fonctionnement est extrêmement simple. Dès que vous arrivez sur une page de connexion/création de compte, l’outil propose de remplir les champs qu’il détecte. Si vous avez déjà une paire identifiant/mot de passe, l’outil vous proposera de le remplir. Si vous n’en avez pas, il vous proposera d’en créer un et de l’enregistrer.

Créer un mot de passe

Naviguez sur le site sur lequel vous voulez créer votre compte. Quand vous arrivez dans le champ de saisie du mot de passe, l’outil vous proposera un mot de passe, qu’il enregistrera tout seul dans sa base de données.

Mot de passe suggéré

Remplissage automatique

Même chose dans l’autre sens.
Vous voulez vous rendre sur un site sur lequel vous avez déjà un compte. Quand vous vous rendez sur la page de connexion, l’outil détecte les champs et vous propose de les remplir :

Auto-complétion Android

Le coffre fort de vos mots de passe

Vos mots de passe sont désormais accessible sur votre PC, votre Mac, votre tablette, votre smartphone, et vous pouvez être certains que chaque mot de passe est désormais unique et suffisamment complexe.

Le gestionnaire de mot de passe

Et c’est tout !

Et finalement, pourquoi cela devrait-il être plus compliqué ? Vous pensiez que c’etait le cas ?

Alors évidemment, ces outils peuvent proposer (dans leur version premium principalement) d’aller plus loin dans la gestion de vos mots de passe :

  • Tester la robustesse de vos mots de passe et souligner ceux qui ne sont pas assez forts pour les changer
  • Connexions synchronisée sur plusieurs appareils (généralement limité à 1 ou 2 en gratuit)
  • Permettre le partage de mots de passe entre vos proches, vos collègues
  • Créer des espaces personnels/professionnels dans vos mots de passe
  • Gérer la double authentification
  • Proposer un système de connexion « Passwordless »

Il n’y a de « meilleur » outil, que celui qui vous conviendra le mieux selon votre usage.

Au regard de votre niveau de maturité sur le sujet, de votre besoin, vous n’allez pas utiliser le même outil.

Par exemple Bitwarden et NordPass ont une version gratuite qui peut suffire à la majorité d’entre vous. KeePass souffre d’une interface graphique très austère mais l’outil est totalement gratuit, et est recommandé par la CNIL de par son côté Français/Open-Source.

Quant à LassPass, 1Password, ils ont des fonctionnalités en version payante, qui sont pour certains indispensables et non accessible en version gratuite. On s’adresse plus à des profils professionnels qui gèrent non seulement leurs mots de passe personnels, mais aussi ceux de clients, d’accès SSH, FTP, des clés etc..

A vous de jouer désormais !