Quel gestionnaire de mot de passe choisir ?
Dans mes formations en cybersécurité, j’aborde évidemment les mots de passe et j’insiste sur la nécessité pour chacun d’adopter un gestionnaire de mots de passe.
Et systématiquement, on me demande : “Tu nous conseilles lequel ?”.
Alors je me suis dit qu’un petit comparatif pourrait vous aider à choisir selon votre besoin.
(Pour ceux qui ont la flemme de tout lire, le résumé TL ; PL est à la fin)
Pourquoi un gestionnaire de mots de passe ?
Un bon mot de passe est :
- Long (12 caractères minimum)
- Complexe (lettres, chiffres, symboles)
- Utilisé une seule fois pour un seul site.
Et là vous allez me dire : « déjà que je n’arrive pas à retenir UN mot de passe long et complexe, alors en retenir une centaine pour tous mes sites, n’y pense même pas… »
C’est pourquoi vous devez utiliser un gestionnaire de mot de passe : une application qui stocke, génère et met à jour les mots de passe pour vous. Et pour accéder à cette application, vous avez besoin d’un mot passe. Et finalement c’est le seul que vous aurez à retenir puisqu’il vous permet d’accéder à tous les autres. C’est votre Mot de Passe Maitre : il doit donc être long et complexe.
Voyez cela comme un coffre-fort avec une grosse clé que vous détenez, qui une fois ouvert contient toutes vos autres clés.
Des gestionnaires de mot de passe, il y en a plein : en application locale sur votre machine, nativement proposé par votre navigateur, ou encore en extension / applications web en ligne. Lequel choisir ? Tentons de comprendre et de faire un peu de tri :
1. Les applications locales
Elles s’installent localement sur votre machine ou mobile, et ne communiquent pas avec l’extérieur. De fait, les mots de passe qui y sont stockés restent sur place et ne peuvent pas être partagés avec d’autres appareils ni d’autres personnes.
Pas très pratique, mais en revanche, c’est la solution la plus sécurisée puisque rien ne circule sur internet. Même si les fichiers de mot de passe sont fortement chiffrés, c’est toujours plus rassurant de savoir qu’ils ne sortent pas de son PC.
Le plus connu est sans conteste KeePass, et c’est d’ailleurs lui qui est recommandé par l’ANSSI.
2. Les gestionnaires proposés nativement par votre navigateur
Tous les navigateurs modernes proposent d’enregistrer vos logins/mot de passe dès que vous les saisissez dans un site web, puis ils remplissent pour vous le formulaire de connexion la fois suivante.
C’est pratique, intégré au navigateur. Franchement, si tout le monde utilisait cela ce serait déjà un progrès considérable. C’est mieux que de réutiliser le même mot de passe partout, mais ils restent rudimentaires et si l’on creuse un peu, pas très bien sécurisées.
- Parce que les mots de passe sont stockés dans le profil de votre navigateur, et qu’un navigateur ça n’est pas construit pour stocker des mots de passe, donc le chiffrement des données n’est pas très sécurisé.
- Parce que les fonctionnalités sont très basiques (pas de MFA, pas de proposition de mot de passe, pas d’évaluation du mot de passe que vous saisissez, etc.)
- Parce que cela vous lie à votre navigateur : impossible de partager ces mots de passe si vous en utilisez plusieurs en parallèle.
3. Les extensions de navigateurs / applications en ligne
Ce sont des services dédiés, disponibles comme une application pour mobile et/ou une extension dans vos navigateurs
Fondamentalement, ils proposent la même chose que les gestionnaires natifs des navigateurs : enregistrer vos logins/mot de passe dès que vous les saisissez dans un site web, puis remplir les formulaires de connexion. Mais ils offrent aussi beaucoup plus de services, parmi lesquels :
- Authentification forte à plusieurs facteurs (MFA)
- Evaluation de vos mots de passe (non, 123456 n’est pas un bon mot de passe, même si c’est toujours le plus utilisé…)
- Génération instantanée de mots de passe dès que vous avez besoin d’un créer un, comme ça vous ne le voyez même pas ! Le meilleur mot de passe, c’est celui qu’on ne connait pas !
- Vérification de vos mots de passe existant, et suggestions de changement lorsqu’ils sont trop faibles, ou en doublons
- Veille cybersécurité : ils vous alertent si un site web a été piraté et si vos données en ont été extraites, puis vous proposent de modifier votre mot de passe instantanément.
Contrairement aux gestionnaires proposés nativement par les navigateurs, ces services en ligne sont agnostiques et disponibles sur quasiment tous les navigateurs. On peut donc saisir un mot de passe dans Firefox et le retrouver dans Chrome pour peu que l’extension soit installée sur les deux.
Pour assure cette synchronisation entre les navigateurs et les applications, il faut que ce coffre-fort soit stocké en ligne, sur les serveurs de l’entreprise. En théorie, tout ce qui est stocké chez eux est fortement chiffré et serait inexploitable pour un hacker qui parviendrait à pirater leur service. Mais en pratique, il faut avoir confiance dans leur service, comme pour un voiturier à qui vous laissez vos clés.
Personnellement, c’est ce que je vous recommande ; un bon compromis entre confort et sécurité.
Il y en a beaucoup sur le marché, des gratuits, des payants, des « ça dépend », alors lequel choisir ? En voici quelques-uns avec leurs avantages / inconvénients.
1Password
36 EUR /an (60 EUR /an pour la version famille)
Avantages
- Chiffrement très sécurisé avec le système de « clé secrète » nécessaire pour tout nouvel appareil
- N’a connu aucun hack jusqu’à présent
- Mode « voyage » pour marquer certaines parties du coffre-fort comme étant « sécurisée pour voyager » (certains pays vous demandent de déverrouiller vos mobiles et gestionnaires de mot de passe à la douane…)
- Authentification à 2 facteurs (2FA)
Inconvénients
- Honnêtement je n’ai rien trouvé.
Dashlane
Gratuit ou 40EUR /an (60 EUR /an pour la version famille)
Avantages
- Possibilité de notifier une personne de confiance en cas de problème
- Interface utilisateur
- VPN intégré dans l’offre premium
- Authentification à 2 facteurs (2FA)
- Possibilité de stocker son coffre-fort en local et de gérer soi-même la synchronisation.
Inconvénients
- Version gratuite trop limitée : 50 mots de passe, un seul appareil, pas de stockage de document
- Version payante plus chère que ses concurrents, pour un rapport qualité/prix moins intéressant.
Bitwarden
Gratuit ou 10EUR /an (40 EUR /an pour la version famille)
Avantages
- Logiciel Open Source.
- Peut être installé sur votre propre serveur.
- Authentification à 2 facteurs (2FA)
- Totalement gratuit, avec option payante offrant 1 Go de stockage de fichiers chiffrés.
Inconvénients
- Pas d’authentification biométrique sur Mac.
- Ne fonctionne pas avec les onglets privés de Firefox.
- Impossibilité de sauver des mots de passe en « basic http authentification ».
Lastpass
Gratuit ou 36/an (48 EUR /an pour la version famille)
Avantages
- La meilleure offre gratuite sur plusieurs appareils, mais un seul partage de mot de passe à la fois.
- Authentification à 2 facteurs (2FA)
- L’interface est pas mal
Inconvénients
- Le service a connu quelques hacks dans le passé, et son extension Chrome peut se faire hacker assez simplement
- L’application Android n’est pas très performante.
Keepass
On en parle quand même, car avec un peu de bidouille il est possible de stocker son coffre-fort dans un service en ligne (ex : Dropbox), et de le synchroniser entre appareils.
Avantages
- Stockage en local
- Open Source
- Recommandé par l’ANSSI
Inconvénients
- Intégration dans le navigateur possible via des pluggins, mais compliquée.
- Interface utilisateur digne des années 90
- Pas de synchronisation à moins de bidouiller.
En résumé (TL ; PL)
- Si vous avez moins de 50 mots de passe à stocker : Dashlane version gratuite
- Si vous avez plus de 50 mots de passe, mais que vous voulez rester sur du gratuit : LastPass
- Si vous souhaitez payer pour un meilleur service: 1Password
- Si vous voulez de l’Open Source : Bidwarden
- Si vous ne voulez pas que ce gestionnaire soit hébergé par un service externe, et si vous voulez le truc le plus sécurisé recommandé par l’ANSSI : KeePass
Mais le plus important : utilisez-en un !