Gestionnaire de mots de passe

L'utilisation d'un gestionnaire de mot de passe est une très bonne pratique, à condition de choisir un bon outil. Je ne dirai pas le bon outil, car selon ses exigences, ses usages, différents outils peuvent convenir.

Les critères de choix

Il faut souvent faire des compromis sur les points suivants :

  • L'ergonomie question de goût et de facilité d'utilisation, sans incidence sur la sécurité (sauf si cela vous incite à faire de fausses manip') ;
  • La sécurité intrinsèque, qui peut être bonne ou mauvaise, en utilisant de bons algorithmes ou de mauvais, ou en les employant mal, etc.
  • L'intégration avec le système d'exploitation, les navigateurs web, etc. Autant cela facilite l'usage, autant cela nuit à la sécurité puisque cela multiplie la surface d'attaques.
  • Le type de stockage en local ou en ligne. La différence est énorme : en ligne, vous avez plus de fonctionnalités et de facilité à l'utiliser, mais vous augmentez considérablement le risque de vol de vos mots de passe.
  • Le mode de licence ouvert ou non. En sécurité, on considère qu'un code accessible (à défaut d'être open source) a l'avantage de pouvoir être examiné, amélioré et audité. Avec un code propriétaire, il faut faire confiance à l'éditeur.

Après, tout dépend de si vous êtes paranoïaque ou pas. Sur le site Pixel[1] (du journal Le Monde), cinq outils ont été regardés, en se basant sur un article de NextInpact[2]. Étonnamment, le meilleur en termes de sécurité est le moins bon en termes d'ergonomie, et réciproquement.

Quelques éléments

DashLane et LastPass font partie de la catégorie des outils en ligne. Un spécialiste de sécurité a dézingué[3] la qualité de leurs codes (au niveau sécurité), ce qui n'est guère rassurant, alors que KeePass ne présentait pas de faille apparente, et a même eu droit à plusieurs inspections (un audit de code encadré par la commission européenne[4] et une certification de premier niveau par l'ANSSI, sur une version ancienne).

Du point de vue d'un attaquant, un gestionnaire de mots de passe en ligne est une cible de choix ! LastPass en a fait les frais en 2015[5] puis en 2017[6], en plusieurs temps[7][8], au travers des extensions pour navigateurs web.

Keeper met l’accent sur une solution dite « sans connaissance », mais des chercheurs en sécurité[9] remettent en cause ces affirmations. Keeper aussi a eu les mêmes ennuis que LastPass dans son extension pour navigateur en 2016[10] ainsi qu'en 2017[11], en même temps que LastPass. Il est également connu pour ne pas être enclin à aider les chercheurs en sécurité, en les poursuivants en justice pour diffamation[12], ce qui n'est pas pour entretenir un climat serein pour les échanges avec la communauté SSI.

Liste d'outils

  • LastPass (LogMeIn)
  • DashLane
  • KeePass
  • Keeper Security
  • RoboForm
  • StickyPassword
  • EnPass
  • 1Password
  • Lieberman Software
  • ManageEngine

Sources

Références

  1. « Quel gestionnaire de mots de passe est fait pour vous ? », sur Pixel (Le Monde), (consulté le 2 mai 2018)
  2. Vincent Hermann, « Mots de passe : on vous aide à choisir le gestionnaire qu'il vous faut », (consulté le 2 mai 2018)
  3. Julien Lausson, « Mots de passe : Après LastPass, la sécurité de Dashlane mise à mal - Tech », sur Numerama, (consulté le 3 mai 2018)
  4. Julien Lausson, « Mots de passe : le code source de KeePass audité pour l'UE - Tech », sur Numerama, (consulté le 2 mai 2018)
  5. (en) « Password Manager Breached — Is There a Safe Alternative? », sur Security Intelligence, (consulté le 3 mai 2018)
  6. Colin Lecher, « LastPass security flaw could have let hackers steal passwords through browser extensions », sur The Verge, (consulté le 3 mai 2018)
  7. (en) « Vulnerabilities in LastPass allowed attackers to steal passwords », sur Security Affairs, (consulté le 3 mai 2018)
  8. (en) « Another hole opens up in LastPass that could take weeks to fix », sur Naked Security, (consulté le 3 mai 2018)
  9. (en) « A bug in Keeper password manager leads to sparring over "zero-knowledge" claim », sur ZDNet,
  10. (en) « Keeper: Trusted UI is injected into untrusted webpage », sur Google Zero
  11. (en) « Update for Keeper Browser Extension 11.4.4 », sur Keeper Security,
  12. (en) « Security firm Keeper sues news reporter over vulnerability story », sur ZDNet,