C’est une recommandation que vous avez peut-être déjà entendue, en parlant de sécurité informatique avec un proche : “Tu devrais utiliser un gestionnaire de mots de passe”. À raison, surtout si vous êtes du genre à avoir la fâcheuse manie d’utiliser toujours le même mot de passe pour tous vos comptes. Car cet outil pourra vous aider à améliorer votre sécurité.
Un gestionnaire de mots de passe, c’est quoi exactement ?
S’il fallait choisir une image facile à saisir, on prendrait bien sûr celle du coffre-fort. Voilà ce qu’est un gestionnaire de mots de passe : un logiciel offrant un espace dédié pour vos codes d’accès. Vous êtes la seule personne à connaître la combinaison pour ouvrir ce coffre-fort. Une fois que vous avez pris le mot de passe dont vous aviez besoin, il vous suffit de le refermer.
Bien sûr, le monde des atomes n’est pas celui des bits : dans le numérique, il n’y a pas d’acier pour protéger vos données. Aucune paroi n’existe vraiment : la protection se fait grâce à des procédés mathématiques qui cachent le contenu. On appelle cela le chiffrement. Si ce processus est bien appliqué, alors les informations sont sécurisées et verrouillées.
Un gestionnaire de mots de passe. Allégorie. Source : Brook Ward
Pour ouvrir ce coffre-fort numérique, vous avez besoin d’une “clé” spéciale. C’est ce qu’on appelle le mot de passe maître. C’est ce mot de passe qui est très important et qu’il faut impérativement bien mémoriser. Si vous l’oubliez, vous ne pourrez plus ouvrir votre gestionnaire de mots de passe. Pour plus de sécurité, ce mot de passe doit être unique et assez solide.
Le gestionnaire peut fonctionner sous différentes : il peut s’agir d’un programme à installer sur son ordinateur (ou son smartphone). Cela peut être une extension de navigateur web ou même une fonctionnalité en son sein. Cela peut aussi être un service à distance, dans le cloud d’un prestataire. Parfois, cela peut être un mix entre une installation locale et une synchronisation par le cloud.
Quel est l’intérêt d’un gestionnaire de mots de passe ?
Le principal avantage du gestionnaire de mots de passe est d’agir comme une mémoire infaillible, pour vous. Il est très difficile, pour ne pas dire impossible, de se souvenir de la totalité de ses mots de passe. C’est encore plus compliqué lorsque l’on veut en créer un unique et complexe par service (ce qui est la meilleure pratique à avoir).
Le gestionnaire de mots de passe est donc une sorte de mémoire déportée, que vous pouvez consulter à la demande. Chaque fois que vous avez besoin de vous connecter à un compte, déverrouillez votre gestionnaire de mots de passe et récupérez vos informations de connexion. Vous pouvez composer des mots de passe très durs, sans vous soucier de les retenir.
Selon la solution choisie, un gestionnaire peut inclure des options en plus : un emplacement pour stocker ses données de paiement (une carte bancaire), une rubrique pour créer des notes confidentielles (le code Wi-Fi de la box), etc. Certains services fournissent aussi une analyse des mots de passe et vous donnent des conseils d’amélioration.
Mémoriser tous ses mots de passe est excessivement difficile. Les gestionnaires peuvent vous épauler. Source : Mozilla
Les gestionnaires de mots de passe ont fortement évolué au fil des ans pour être aussi commodes à utiliser que possible. Ils proposent d’enregistrer le nouveau mot de passe créé lors de la création d’un compte ; ils remplissent automatiquement les formulaires ; ils s’interfacent avec les navigateurs ; ils se synchronisent entre plusieurs appareils, et ainsi de suite.
Les gestionnaires de mots de passe sont-ils sûrs ?
Les gestionnaires de mots de passe sont parfois vus avec méfiance, pour des raisons diverses. Parmi les critiques courantes, on retrouve l’accusation de ne pas proposer une solution 100 % sûre, celle de regrouper tous les mots de passe à un seul endroit, ou encore de confier les “clés” de ses comptes à des tiers, dont les outils ne sont pas forcément open source (le code est consultable).
Pourtant, ces gestionnaires de mots de passe sont conseillés par des spécialistes en sécurité informatique. C’est le cas de l’Agence nationale de la sécurité des systèmes d’information, qui gère la cybersécurité de l’État de ses structures vitales. Idem pour l’Electronic Frontier Foundation, une puissante organisation américaine dédiée à la défense des libertés numériques.
Bien sûr, le risque zéro en informatique n’existe pas. Mais il faut garder un regard lucide sur la réalité du péril et, surtout, évaluer une stratégie par rapport aux autres et se demander laquelle est la meilleure. Qu’est-ce qui renforce le mieux le niveau de sécurité global ? Qu’est-ce qui réduit le mieux les risques et les erreurs ? En clair, il faut faire la balance du bénéfice-risque.
Il peut arriver qu’une faille de sécurité soit décelée sur un de ces logiciels. C’est déjà arrivé, et cela arrivera encore. Mais cela n’implique pas toujours une vulnérabilité au niveau des mots de passe eux-mêmes. En outre, il faut comparer cet incident, qui est assez rare, par rapport aux autres menaces, plus fréquentes, qui pèsent sur les mots de passe.
Si vous écartez le gestionnaire de mots de passe, que reste-t-il ? L’option de les noter dans un carnet ? On ne va pas se mentir : c’est pire. Faut-il les mémoriser soi-même ? Bon courage, car en moyenne chaque personne est inscrite sur des dizaines de comptes. Et si vous pensez utiliser un seul et même mot de passe pour vous faciliter la vie, avez-vous vraiment gagné en sécurité, alors ?
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.